Re: Probleme Postfix + SASL depuis l'exterieur
Cyrille Blanpain a écrit : Bonjour Bonsoir, J'ai configurer postfix avec TLS et SASL, j'utilise saslauthd mon probléme est le suivant, l'authentification est demandé dans mon réseau interne, mais pas depuis l'exterieur. Je suis en debian sarge. Telnet en interne: [EMAIL PROTECTED]:~ $ telnet monserveur.cerege.fr 25 Trying xxx.xxx.xx.x... Connected to monserveur.cerege.fr. Escape character is '^]'. 220 monserveur.cerege.fr ESMTP ehlo shiva 250-monserveur.cerege.fr 250-PIPELINING 250-SIZE 3000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH LOGIN PLAIN DIGEST-MD5 250-AUTH=LOGIN PLAIN DIGEST-MD5 250 8BITMIME quit 221 Bye pourrait-on avoir la sortie des log suivant: mail.log, et auth.log pour ta connections telnet depuis l'extérieur? Telnet depuis l'exterieur avec le même ehlo: [EMAIL PROTECTED]:~ $ telnet monserveur.cerege.fr 25 Trying xx.xx.xx.x... Connected to monserveur.cerege.fr. Escape character is '^]'. 220 ** ehlo kilauea 502 Error: command not implemented Si je met un HELO voici le résultat: [EMAIL PROTECTED]:~ $ telnet monserveur.cerege.fr 25 Trying xx.xx.xx.x... Connected to monserveur.cerege.fr. Escape character is '^]'. 220 ** helo kilauea 250 monserveur.cerege.fr la il ne m'est pas annoncé: 250-PIPELINING 250-SIZE 3000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH LOGIN PLAIN DIGEST-MD5 250-AUTH=LOGIN PLAIN DIGEST-MD5 250 8BITMIME Et si à ce stade de la connexion j'envoi: AUTH PLAIN Y2JsYW5wYWluAGNibGFucGFpbgBsaXNzbnR0dw== depuis l'interieur c'est accepté je peux continuer. 235 Authentication successful depuis l'extérieur: 502 Error: command not implemented Le serveur accepte ehlo hostname en interne et le refuse depuis l'exterieur en acceptant uniquement helo hostname ? Je ne trouve pas la régle qui est à l'origine de cela. De plus en interne sans authentification, j'ai un magnifique relaying denied. Fichier /etc/postfix/main.cf: * # See /usr/share/postfix/main.cf.dist for a commented, more complete version #smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_banner = $myhostname ESMTP biff = no # appending .domain is the MUA's job. append_dot_mydomain = no # Uncomment the next line to generate delayed mail warnings #delay_warning_time = 4h myhostname = monserveur.cerege.fr alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = monserveur.cerege.fr,localhost.cerege.fr,localhost,cerege.fr relayhost = mynetworks =xxx.xx.xx.0/23,10.12.4.0/24,127.0.0.0/8 mailbox_command = procmail -a $EXTENSION mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all message_size_limit=3000 # sasl config broken_sasl_auth_clients = yes smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = # tls config smtp_use_tls = yes smtpd_use_tls = yes smtp_tls_note_starttls_offer = yes smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom smtpd_client_restrictions =permit_sasl_authenticated, reject_unauth_destination, reject_invalid_hostname, check_client_access hash:/etc/postfix/access, permit_mynetworks, reject_rbl_client relays.ordb.org, check_policy_service inet:127.0.0.1:6, permit smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks reject_unauth_destination content_filter = smtp-amavis:[127.0.0.1]:10024 Fichier /etc/postfix/sasl/smtpd: pwcheck_method: saslauthd mech_list: digest-md5 plain login Fichier /etc/default/saslauthd: ** # This needs to be uncommented before saslauthd will be run automatically START=yes MECHANISMS=pam PARAMS=-m /var/spool/postfix/var/run/saslauthd Fichier /etc/pam.d/smtp: auth required pam_unix.so nullok try_first_pass account required pam_unix_passwd.so nullok try_first_pass session required pam_unix_passwd.so nullok try_first_pass Voila le probléme posé j'éspére avoir été clair et merci de votre aide. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Probleme Postfix + SASL depuis l'exterieur
On Wed, 17 Jan 2007, Christophe Garault wrote: Attention, l'authentification DIGEST-MD5 n'est prise en compte que par le service auxprop, pas par saslauthd ni authdaemond. Voir plus loin. Je te remercie de ton aide, j'ai fait ce que tu as indiqué, a savoir: /etc/postfix/sasl/smtpd.conf pwcheck_method: saslauthd mech_list: plain login plus de md5 et j'ai enlévé: smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination Mais le probléme persiste. en interne: [EMAIL PROTECTED]:~ $ telnet monserveur.cerege.fr 25 Trying xxx.xx.xx.x... Connected to monserveur.cerege.fr. Escape character is '^]'. 220 monserveur.cerege.fr ESMTP ehlo shiva 250-monserveur.cerege.fr 250-PIPELINING 250-SIZE 3000 250-VRFY 250-ETRN 250-AUTH LOGIN PLAIN DIGEST-MD5 250-AUTH=LOGIN PLAIN DIGEST-MD5 250 8BITMIME En externe: [EMAIL PROTECTED]:~ $ telnet monserveur.cerege.fr 25 Trying xxx.xx.xx.x... Connected to arbois.cerege.fr. Escape character is '^]'. 220 ** ehlo kilauea 502 Error: command not implemented helo kilauea 250 arbois.cerege.fr Donc pourquoi depuis l'extérieur je ne peux pas faire de sasl et pourquoi EHLO est interdit au profis de HELO. Merci de votre aide -- Cyrille Blanpain CEREGE UMR6635 Europole de l'Arbois BP 80 13545 AIX EN PROVENCE CEDEX 4 Tel : +33 (0)4.42.97.15.25
Re: Probleme Postfix + SASL depuis l'exterieur
Cyrille Blanpain a écrit : Donc pourquoi depuis l'extérieur je ne peux pas faire de sasl et pourquoi EHLO est interdit au profis de HELO. Arf, en plus de mon post précédent qui n'a pas pu passer sur la liste (sorry autre email) voici une piste à explorer: http://archives.neohapsis.com/archives/postfix/2005-02/thread.html#706 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Probleme Postfix + SASL depuis l'exterieur
Cyrille Blanpain a écrit : Donc pourquoi depuis l'extérieur je ne peux pas faire de sasl et pourquoi EHLO est interdit au profis de HELO. Ah ben tout est là en fait, désolé de ne pas avoir percuté plus tôt! Le HELO est la commande de base (RFC821) qui n'indique pas les extensions du serveur smtp dont sasl fait partie. Seule la commande EHLO (RFC 2821) présentera sasl et tout le reste. Par contre je n'ai pas vraiment d'idée sur la raison qui désactive les extensions depuis l'extérieur (ESMTP). Que te donnes un postconf ? A ta place je regarderais de près des paramètres comme smtp_discard_ehlo_keywords ou smtpd_sasl_exceptions_network. La liste des paramètres (plus de 400 !) et leur signification est dispo sur le site de Postfix: http://www.postfix.org/postconf.5.html PS: essayes quand même un EHLO avec un nom pleinement qualifié comme test.cerege.fr Bon courage et n'hésites pas à poster sur la liste de Postfix, ils sont très sympas. -- Y'a aucun problème Jules. Je m'en occupe vieux. Toi pendant ce temps là tu calmes le jeu. Je vous envoie Wolf qui devrait rappliquer d'une minute à l'autre. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Probleme Postfix + SASL depuis l'exterieur
Bonjour J'ai configurer postfix avec TLS et SASL, j'utilise saslauthd mon probléme est le suivant, l'authentification est demandé dans mon réseau interne, mais pas depuis l'exterieur. Je suis en debian sarge. Telnet en interne: [EMAIL PROTECTED]:~ $ telnet monserveur.cerege.fr 25 Trying xxx.xxx.xx.x... Connected to monserveur.cerege.fr. Escape character is '^]'. 220 monserveur.cerege.fr ESMTP ehlo shiva 250-monserveur.cerege.fr 250-PIPELINING 250-SIZE 3000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH LOGIN PLAIN DIGEST-MD5 250-AUTH=LOGIN PLAIN DIGEST-MD5 250 8BITMIME quit 221 Bye Telnet depuis l'exterieur avec le même ehlo: [EMAIL PROTECTED]:~ $ telnet monserveur.cerege.fr 25 Trying xx.xx.xx.x... Connected to monserveur.cerege.fr. Escape character is '^]'. 220 ** ehlo kilauea 502 Error: command not implemented Si je met un HELO voici le résultat: [EMAIL PROTECTED]:~ $ telnet monserveur.cerege.fr 25 Trying xx.xx.xx.x... Connected to monserveur.cerege.fr. Escape character is '^]'. 220 ** helo kilauea 250 monserveur.cerege.fr la il ne m'est pas annoncé: 250-PIPELINING 250-SIZE 3000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH LOGIN PLAIN DIGEST-MD5 250-AUTH=LOGIN PLAIN DIGEST-MD5 250 8BITMIME Et si à ce stade de la connexion j'envoi: AUTH PLAIN Y2JsYW5wYWluAGNibGFucGFpbgBsaXNzbnR0dw== depuis l'interieur c'est accepté je peux continuer. 235 Authentication successful depuis l'extérieur: 502 Error: command not implemented Le serveur accepte ehlo hostname en interne et le refuse depuis l'exterieur en acceptant uniquement helo hostname ? Je ne trouve pas la régle qui est à l'origine de cela. De plus en interne sans authentification, j'ai un magnifique relaying denied. Fichier /etc/postfix/main.cf: * # See /usr/share/postfix/main.cf.dist for a commented, more complete version #smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_banner = $myhostname ESMTP biff = no # appending .domain is the MUA's job. append_dot_mydomain = no # Uncomment the next line to generate delayed mail warnings #delay_warning_time = 4h myhostname = monserveur.cerege.fr alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = monserveur.cerege.fr,localhost.cerege.fr,localhost,cerege.fr relayhost = mynetworks =xxx.xx.xx.0/23,10.12.4.0/24,127.0.0.0/8 mailbox_command = procmail -a $EXTENSION mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all message_size_limit=3000 # sasl config broken_sasl_auth_clients = yes smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = # tls config smtp_use_tls = yes smtpd_use_tls = yes smtp_tls_note_starttls_offer = yes smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom smtpd_client_restrictions =permit_sasl_authenticated, reject_unauth_destination, reject_invalid_hostname, check_client_access hash:/etc/postfix/access, permit_mynetworks, reject_rbl_client relays.ordb.org, check_policy_service inet:127.0.0.1:6, permit smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks reject_unauth_destination content_filter = smtp-amavis:[127.0.0.1]:10024 Fichier /etc/postfix/sasl/smtpd: pwcheck_method: saslauthd mech_list: digest-md5 plain login Fichier /etc/default/saslauthd: ** # This needs to be uncommented before saslauthd will be run automatically START=yes MECHANISMS=pam PARAMS=-m /var/spool/postfix/var/run/saslauthd Fichier /etc/pam.d/smtp: auth required pam_unix.so nullok try_first_pass account required pam_unix_passwd.so nullok try_first_pass session required pam_unix_passwd.so nullok try_first_pass Voila le probléme posé j'éspére avoir été clair et merci de votre aide. -- Cyrille Blanpain CEREGE UMR6635 Europole de l'Arbois BP 80 13545 AIX EN PROVENCE CEDEX 4 Tel : +33 (0)4.42.97.15.25
Re: Probleme Postfix + SASL depuis l'exterieur
Cyrille Blanpain a écrit : Bonjour Bonsoir, Telnet en interne: [...] 250-AUTH LOGIN PLAIN DIGEST-MD5 250-AUTH=LOGIN PLAIN DIGEST-MD5 Attention, l'authentification DIGEST-MD5 n'est prise en compte que par le service auxprop, pas par saslauthd ni authdaemond. Voir plus loin. Si je met un HELO voici le résultat: [EMAIL PROTECTED]:~ $ telnet monserveur.cerege.fr 25 Trying xx.xx.xx.x... Connected to monserveur.cerege.fr. Escape character is '^]'. 220 ** helo kilauea 250 monserveur.cerege.fr Tu peux aussi restreindre le helo à des machines fqdn. C'est mieux pour éviter les spams... Voici le contenu de la section de mon main.cf à adapter à ta situation (ne pas utiliser tel quel sans savoir!): smtpd_recipient_restrictions = reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/client_checks, reject_rbl_client relays.ordb.org, reject_rbl_client list.dsbl.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client dnsbl.sorbs.net, permit depuis l'extérieur: 502 Error: command not implemented Le serveur accepte ehlo hostname en interne et le refuse depuis l'exterieur en acceptant uniquement helo hostname ? Je ne trouve pas la régle qui est à l'origine de cela. De plus en interne sans authentification, j'ai un magnifique relaying denied. Voyons cela. Fichier /etc/postfix/main.cf: * [...] myorigin = /etc/mailname Quezacko??? Normalement on met myorigin = $mydomain ou quelque chose de similaire. Aurais-je raté une spécificité de Debian? smtpd_client_restrictions =permit_sasl_authenticated, reject_unauth_destination, reject_invalid_hostname, check_client_access hash:/etc/postfix/access, permit_mynetworks, reject_rbl_client relays.ordb.org, check_policy_service inet:127.0.0.1:6, permit smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks reject_unauth_destination Il n'est pas utile d'avoir ces 2 restrictions qui ne se différencient que par le moment ou le client se fera jeter. Et encore, avec le delay à no cela revient au même. En plus dans ton smtpd_recipient_restriction il semble manquer une virgule entre les 2 permit. C'est peut-être là l'origine du pb? Fichier /etc/postfix/sasl/smtpd: pwcheck_method: saslauthd mech_list: digest-md5 plain login Comme indiqué + haut, le digest-md5 n'est pas pris en compte par saslauthd. Amha il serait bon de l'enlever ou de passer à auxprop. Voila le probléme posé j'éspére avoir été clair et merci de votre aide. J'espère t'avoir un peu aidé. A+ -- Christophe Garault -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Probleme Postfix + SASL depuis l'exterieur
Cyrille Blanpain a écrit : [...] Voila le probléme posé j'éspére avoir été clair et merci de votre aide. J'oubliais, tu peux également jouer sur le niveau de log dans ton smtpd.conf: lo_level: 6 Ca peux pas faire de mal pendant la phase de test. ;-) Bon courage. -- Christophe Garault -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
