#1 Le 15/01/2008, à 00:52
- jnrt
SASL, TLS et smtp -> etre certain que les echanges sont cryptés
Bonsoir,
j'ai installé un serveur postfix avec le tls + sasl
pour etre certain que tout fonctionne, j'ai forcé l'usage de tls dans le main.conf "smtpd_enforce_tls = yes"
quand j'envoie des mails, j'ai le message d'erreur suivant:
The mail system
<xxxx@xxxxx.xx>: host 127.0.0.1[127.0.0.1] said: 530 5.5.0 Rejected by
MTA([127.0.0.1]:10025): 530 5.7.0 Must issue a STARTTLS command first,
id=13097-05 (in reply to end of DATA command)
est-ce à dire que la liaison n'est pas sécurisée ?
mon postconf -n
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
home_mailbox = Maildir/
inet_interfaces = all
inet_protocols = ipv4
local_recipient_maps = proxy:unix:passwd.byname $alias_maps
mailbox_command = maildrop
mailbox_size_limit = 0
mydestination = localhost.pressbook-rp.fr, pressbook-rp.fr, ns27840.ovh.net, localhost.ovh.net, localhost,
mydomain = pressbook-rp.fr
myhostname = ns27840.ovh.net
mynetworks = 127.0.0.0/8
myorigin = /etc/mailname
notify_classes = resource, software, protocol, bounce, policy, delay
recipient_delimiter = +
relayhost =
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_enforce_tls = yes
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination,
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_tls_CAfile = /etc/postfix/ssl/www.pressbook-rp.fr.cert
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/postfix/ssl/www.pressbook-rp.fr.cert
smtpd_tls_key_file = /etc/postfix/ssl/www.pressbook-rp.fr.key
smtpd_tls_loglevel = 2
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
par ailleurs sans "smtpd_enforce_tls = yes" j'arrive à envoyer des mails sans sélectionner TLS dans mon client !
dans mes log de postfix j'ai :
connect from stc92-1-82-227-107-44.fbx.proxad.net[82.227.107.44]
Jan 14 22:32:04 ns27840 postfix/smtpd[10853]: setting up TLS connection from stc92-1-82-227-107-44.fbx.proxad.net[82.227.107.44]
Jan 14 22:32:05 ns27840 postfix/smtpd[10853]: TLS connection established from stc92-1-82-227-107-44.fbx.proxad.net[82.227.107.44]: TLSv1 with cipher AES128-SHA (128/128 bits)
que signifie "TLS connection established" alors que mon client n'est pas configuré pour utiliser le tls ?
avez vous des idées
bien à vous
#2 Le 15/01/2008, à 10:33
- toniotonio
Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés
Rejected by
MTA([127.0.0.1]:10025)
tu peux faire voir le master.cf ?
sinon quelle est ta version de postfix ?
smtpd_use_tls = yes et smtpd_enforce_tls = yes sont 2 parametres obsoletes.
et d'une maniere generale, imposer le TLS sur un serveur branché sur le net et a vocation a recevoir des mails de n'importe ou, ce n'est pas possible.
Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Hors ligne
#3 Le 15/01/2008, à 16:15
- jnrt
Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés
Bonjour
mon master.cf :
#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - - - - smtpd
#submission inet n - - - - smtpd
# -o smtpd_enforce_tls=yes
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#smtps inet n - - - - smtpd
# -o smtpd_tls_wrappermode=yes
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#628 inet n - - - - qmqpd
pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
qmgr fifo n - n 300 1 qmgr
#qmgr fifo n - - 300 1 oqmgr
tlsmgr unix - - - 1000? 1 tlsmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
smtp unix - - - - - smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay unix - - - - - smtp
-o smtp_fallback_relay=
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - - - - showq
error unix - - - - - error
retry unix - - - - - error
discard unix - - - - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - - - - lmtp
anvil unix - - - - 1 anvil
scache unix - - - - 1 scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# See the Postfix UUCP_README file for configuration details.
#
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe
flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
${nexthop} ${user}
smtp-amavis unix - - y - 2 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes
-o disable_dns_lookups=yes
-o max_use=20
127.0.0.1:10025 inet n - y - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o smtpd_data_restrictions=reject_unauth_pipelining
-o smtpd_end_of_data_restrictions=
-o mynetworks=127.0.0.0/8
-o strict_rfc821_envelopes=yes
-o smtpd_error_sleep_time=0
-o smtpd_soft_error_limit=1001
-o smtpd_hard_error_limit=1000
-o smtpd_client_connection_count_limit=0
-o smtpd_client_connection_rate_limit=0
-o receive_override_options=no_address_mappings,no_header_body_checks,no_unknown_recipient_checks
*************************
en réalité la seule chose que je souhaite savoir est : ma liaison cleint/serveur est elle sécuriée avec TLS ? je souhaite m'assurer que mes logins ne sont pas envoyés en clair sur internet.
j'utilise le programme maxbulk pour mais campagne d'emailling. si je configure ce logiciel avec SSL OFF et esmpt / login / password mes mail partent ... si je met SSL ON, rien ne marche !
ça m'a mis la puce à l'oreil quand a savoir si j'étais bien sécurié
ma version de postfix est : 2.4.5
merci encore pour ta réponse
#4 Le 15/01/2008, à 17:15
- jnrt
Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés
j'ai ça aussi dans les log :
setting up TLS connection from stc92-1-82-227-107-44.fbx.proxad.net[82.227.107.44]
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:before/accept initialization
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:error in SSLv2/v3 read client hello A
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:error in SSLv3 read client hello B
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:error in SSLv3 read client hello B
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 read client hello B
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 write server hello A
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 write certificate A
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 write key exchange A
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 write server done A
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 flush data
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:error in SSLv3 read client certificate A
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:error in SSLv3 read client certificate A
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 read client key exchange A
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:error in SSLv3 read certificate verify A
Jan 15 08:21:05 ns27840 last message repeated 3 times
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 read finished A
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 write change cipher spec A
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 write finished A
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 flush data
#5 Le 15/01/2008, à 19:42
- toniotonio
Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés
de quel login parles tu ?
ceux de la connection smtp lors de l'envoi du mail, le login SASL ?
j
Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Hors ligne
#6 Le 15/01/2008, à 20:21
- jnrt
Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés
oui, ce sont les log pendant l'envoi d'un mail
#7 Le 15/01/2008, à 23:40
- toniotonio
Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés
quand tu parles d'envoi c'est:
en reception sur ton serveur ? (donc smtpd)
ou en envoi de ton serveur vers un autre smtp (donc smtp)
Dernière modification par toniotonio (Le 15/01/2008, à 23:40)
Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Hors ligne
#8 Le 16/01/2008, à 00:31
- jnrt
Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés
de mon PC vers le serveur ovh, donc les log du serveur ==> SMTPD
merci encore