Aller au contenu

Messages recommandés

  • 1 an après...
Posté(e)

OK c'est cool, j'ai pour ma part besoin d'aide..... ainsi je me permets de copier/coller un poste publié dans un autre sujet en espérant avoir ici plus de visibilité.... rolleyes.gif .....

Bonjour c'est exactement ce que je me dis aussi : c'est cool d'être maitre à bord, sur les mails aussi.... et pour le fun je suis d'accord... Saut que là faut y arriver... j'ai déjà joué avec deux trois truc son mon syno (DS408) et je trouve ce truc génial... mais là je perd un peu les pédales... je m'explique :

Comme j'ai une ip PAS FIXE (sur le contrat de mon FAI en tout cas) j'utilise Dydns.org que met régulièrement à jour mon syno (et ma box) pour un forward systématique d'adresse entre toto.homeftp.net (de dyndns) et mon IP (qui pourrait bouger, mais ça c'est géré par le dam de mon syno et ma box : sfr box)....

Apres comme J'ai pris sur GANDI un nom de domaine, appelons le aussi "toto.org", comme ça j'ai mon domaine à moi toto.org avec plein de forward du style :

syno.toto.org ==> toto.homeftp.net:5000 et sur ma box le port correspondant et forwardé vers le syno...

www.toto.org ==> toto.homeftp.net:80 et sur ma box le port correspondant et forwardé vers le syno...

ftp.toto.org ==> toto.homeftp.net:21 et sur ma box le port correspondant et forwardé vers le syno...

ETC......

J'ai installé mail station 2, qui pro le moment me permet de récupérer uniquement des mail d'adresse "pop" et je ne sais interroger mailstation2 que via l'interface webmailhttp://adressesyno/mail

mais j'ai plusieurs questions :

Sur le dsm3 : à quoi sert "serveur de messagerie" dans le panneau de configuration..... quel nom de domaine faut il inscrire ??? pourquoi faire....

Sur mailstation2 :

Comment le consulter via un client IMAP, est ce possible ? (l'idée est d'utiliser Iphone ou autre pour accéder, modifier, classer, envoyer mes mails tout en sachant que ça se passe vraiment dans mon syno et pas que sur l'iphone.....

Comment faire en sorte que les mails arrivent directement sur mon syno avec mon parcours du combattant : Gandi > DYNDNS > SYNO..... histoire de ne plus passer par des boites POP type sfr.fr ....

D'avance merci beaucoup pour votre aide... ce coup ci j'en ai bien besoin....

Arnaud.

Je complete mes questions : pour le moment j'accède à mail station2 via mon login Admin du syno... comment puis je décliner des identité / adresse mail /login différents ???

Merci encore

Arnaud

Je complete encore : à ce jour gandi me forward mes mail moi@toto.org sur mon adresse moi@sfr.fr...... comme j'aimerai me passer de SFR....

Posté(e)

Toutes tes questions ont une r

Posté(e)

C'est parti je vais procéder ainsi.

A lire ta réponse, j'ai l'impression que ce que je veux faire serait possible c'est déjà de la lumière au bout du tunnel...

Merci, je vais faire de mon mieux pour tout trouver comme un grand...

Bonne soirée.

Arnaud

Posté(e)

oui, tu peux faire ce que tu veux !

attention à la confusion entre serveur de messagerie et mailstation :

mailstation : interface web d'accès à la messagerie, avec possibilité de récupération de comptes mail externe

serveur de messarie : smtp (postfix) et pop/imap (dovecot), permettant de gérer les mails de ton domaine. Le nom de domaine à y mettre est donc le tien (toto.org)

  • 4 mois après...
Posté(e) (modifié)

bonjour à tous, étant donné que j'ai une question de fonctionnement général , je me permet de poster ici !

Quelqu'un pourrait m'éclairer sur le fonctionnement du serveur mail ?, voici ma question :

J'utilise donc le syno comme serveur mail avec un relay vers le serveur de mon Fai ( pcq je ne sait pas modifier mes ptr record et que je veux pas que mes mails soient marqués comme spam et pcq un serveur payant coute cher ) donc mes mails sont relayés pour l'envoi du syno vers le fai puis vers le serveur de destination , par exemple gmail. Au niveau des ports ca donne quoi ?

Edit : Je viens de voir que mon fai ( en relais ) ne prend que sur le port 25 , donc le serveur du syno est sur le 25 aussi , maintenant ma question est la suivante, est-ce utile d'avoir du ssl sur le port smtp ? dans la mesure ou j'ai l'authentification du syno pour envoyer un mail via le serveur smtp et que j'ai configuré imap avec tls sur 993 .. ? Pas envie de payer pour un relai smtp externe en ssl alors que celui de mon fai marche bien !

Sinon autre question aussi, comment mon iphone arrive à envoyer un mail via mon serveur smtp sur le port 25 qui passe par le relai de mon fai aussi sur le 25 alors que à la base , mon fai bride les emails entrants sur le port 25 ? Théoriquement je pourrait pas avoir qqch qui rentre via le port 25 non ?

any tought ?

Merci , tout cela est un peu flou dans ma tête !

Modifié par jee27
Posté(e)

Le transport des mails entre serveurs smtp se fait normalement sur le port 25 (non crypt

Posté(e) (modifié)

non c'est bien entrant, je ne peut pas recevoir de message ,d'ou le besoin de recourir au gateway dyndns qui renvoie vers un autre port (ex 2525 externe qui est natté vers le port 25 en interne )

Donc si je résume , pas de soucis à avoir si mon serveur smtp du syno est sur le port 25 - et autre chose, à quoi sert la configuraiton des ports dans les paramètre de roundcube puisque si je ne me trompe pas , il n'est pas possible de faire tourner le serveur smtp sur un autre port si ? ( Si oui comment ? par exemple le 465 en ssl ? gmail par exemple utilsse le port 465 en ssl pour son serveur smtp , pas de risque en utilisant le port 25 en clair sur le syno ?

Sinon le cryptage n'est-il pas relatif dans la mesure ou il faut que tout les intermédiaires l'utilise pour qu'il soie efficace ?

Edit : Il y a moyen de mettre le port 25 en ssl en fait ? quand je le met sur port 25 pour le serveur smtp avec ssl ca passe, idem dans roundcube ?

merci pour les précisions en tout cas !

Edit : je crois que je vais me répondre à moi même , il faut , sauf erreur, décommenter ces lignes dans master.cf pour avoir accès au serveur smtp en ssl sur le port 587 :

submission inet n - n - - smtpd

-o smtpd_tls_security_level=may

-o smtpd_sasl_auth_enable=yes

# -o smtpd_client_restrictions=permit_sasl_authenticated,reject

RE edit : apparement ca fonctionne mais seulement avec les 3 premières lignes décommentée .. avec celle du dessous, ca ne marche pas .. La dernière ligne rejette tout les mails entrant sur le port 587 , serait-il possible d'appliquer cette ligne mais uniquement pour envoyer des mails , pas pour en recevoir ?

Modifié par jee27
Posté(e)

FInalement et après moultes chipoteries, voici ma config :

Donc mon fai filtre le port 25 entrant, donc j'utilise une gateway dydns qui redirige vers le port 587, j'ai donc ouvert dans mon routeur ce port ainsi que dans le FW du syno. ( et par conséquent j'ai fermé le port 25 du syno dans le FW et sur le routeur ) Dans postfix j'ai décommenté

submission inet n - n - - smtpd afin d'utiliser le port 587 , j'ai mit "-o smtpd_tls_security_level=may" de manière à ne pas bloquer les mails entrant sans tls , j'ai laissé -o smtpd_sasl_auth_enable=yes , mais j'ai rajouté smtpd_tls_auth_only=yes et finalement j'ai pas touché à la ligne # -o smtpd_client_restrictions=permit_sasl_authenticated,reject car ca rejetait tout les mails entrants..

ps : merci http://www.postfix.org/postconf.5.html

Quelqu'un saurait me dire si cette configuration est "sécurisée" ?

Merci beaucoup !

Posté(e)

personne pour me donner son avis ?

J'ai aussi désactivé la commande VRFY dans postfix pcq j'ai lu que c'était pas top ..

Jsuis loin d'être un pro et je teste un peu la config de mailstation, j'essaie sourtout de pas transformer mon nas en passoire, donc si quelqu'un pouvait me dire si cette config est "sécurisée" ou sinon m'indiquer dans quel sens aller ca me ferait super plaisir ! ^^

(PS : j'utilise imap over ssl sur le port 993 , c'est le seul port ouvert avec le 587 )

Merci d'avance !

Posté(e)

ton explication était incomplète au départ, manifestement ça va mieux maintenant !

En résumé :

- ton port 25 entrant est bloqué par ton fai, tu utilises donc un service de passerelle smtp, qui reçoit les mails de ton domaine et les renvoie vers ton syno sur un port différent

- tu es attaché à la sécurité de ton syno, qui ne semble pour l'instant te servir (côté internet) que pour les mails

- le syno embarque un serveur smtp (postfix) configuré pour accepter les connexions authentifiées (pour éviter que le serveur smtp soit utilisé par des spammeurs). Du fait du transfert du mot de passe, la connexion doit être cryptée pour éviter qu'il puisse être sniffé, d'où l'emploi de starttls (sur port 25). Il s'agit bien là de la connexion d'un client voulant envoyer un mail, et pas de la communication entre serveurs smtp qui n'est pas cryptée et s'effectue aussi sur le port 25 (donc le transfert des mails entre serveurs smtp est en clair !)

- tu as configuré le port submission (587), tu as fait ça comme il faut, mais ce n'était pas utile (il suffisait de rediriger le port 2525 vers le 25), sachant que pour recevoir les mails, ssl/tls ne sont pas utilisés, et que la conf de base du syno est correcte pour envoyer les mails (authentification, et starttls sur port 25).

- pour VRFY, tu as bien fait de le désactiver

- pour imap over ssl, OK, c'est ce qu'il faut faire depuis l'extérieur pour éviter que le mot de passe soit sniffé. Après, le contenu des mails qui transitent...

- effectivement, si tu n'utilises que smtp et imaps, seuls deux ports doivent être ouverts.

Ta configuration de submission me semble douteuse, dans la mesure où tu n'impose pas l'authentification. Habituellement, on met cela :


submission inet n       -       -       -       -       smtpd

  -o smtpd_sasl_auth_enable=yes

  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject



Je ne suis pas spécialiste de postfix, et dans le domaine de la sécurité, il vaut mieux avoir affaire à des spécialistes. Tu peux cependant essayer de tester ton serveur sur l'un des nombreux sites dédiés à cet usage, ou alors en te connectant en telnet à ton serveur et en essayant d'envoyer un mail sans t'authentifier :
telnet tonserveur 587

220 tonserveur ESMTP

helo test.fr

250 "HELO OK."

mail from: toto@test.fr

250 "MAIL FROM OK."

rcpt to: nimportequi@nimportequoi.com

tu devrais avoir une réponse négative (erreur 550)

(à faire depuis l'extérieur)

Posté(e)

merci pour cette réponse! en fait l'explication pour submission c'est que c'est ce port la qui va remplacer le port 25 pour recevoir les mails et quand je mettait -o smtpd_client_restrictions=permit_sasl_authenticated,reject , aucun mail ne rentrait, ( je pense que c'est du au fait que ca impose une authentification ) , en réalité j'avais vu que de mettre la sécurité tls sur may , et d'imposer une authentification par tls , fesait en sorte que le serveur ne demande à prioris pas d'authentification mais refuse le relay si le client ne le fait pas ..

Résultat du telnet :

Jserver> telnet julienghys.eu 587

220 julienghys.eu ESMTP Postfix

helo test.fr

250 julienghys.eu

mail from: test@test.fr

250 2.1.0 Ok

rcpt to: test@test.fr

554 5.7.1 <test@test.fr>: Relay access denied

et pour les commandes dispo sur le serveur :

Jserver> telnet julienghys.eu 587

220 julienghys.eu ESMTP Postfix

ehlo testing

250-julienghys.eu

250-PIPELINING

250-SIZE 52428800

250-ETRN

250-STARTTLS

250-ENHANCEDSTATUSCODES

250-8BITMIME

250 DSN

donc pas d'authentification mais relay refusé si pas d'auth..

J'espère que ca suffit comme "sécurité"

Posté(e)

le port submission sert à soumettre un mail au serveur -depuis un client pour l'envoyer- et pas à recevoir les mails de ton domaine.

je persiste à dire que cette manip est inutile (je l'utilise personnellement pour une raison bien particulière : connecté en wifi sur une freebox, le port 25 sortant est bloqué par défaut, j'utilise donc le port 587 sur mon smartphone), il suffit de rediriger le port externe vers le 25 interne.

avec smtpd_tls_security_level = may, tu dis à postfix que l'encryptage tls est optionnel. Avec smtpd_tls_auth_only=yes tu forces l'usage de tls s'il y a authentification. Avec smtpd_sasl_auth_enable=yes, tu actives l'authentification via sasl.

il n'y a là aucune règle interdisant la connexion sans authentification (ce sont alors les règles de main.cf qui s'appliquent). Quel intérêt alors à faire cette manip, qui a comme seule conséquence d'ouvrir un deuxième port (fait un netstat -ta pour le vérifier) si tu peux rediriger ton port externe sur le 25 ? ça ne serait utile que dans l'impossibilité (au niveau de ton routeur) de rediriger un port sur un autre.

ceci dit, ta conf semble correcte au niveau openrelay (mais cela ne vient pas de ton activation de submission, puisque tu as supprimé la fameuse ligne -o smtpd_client_restrictions=permit_sasl_authenticated,reject qui rejetait toute connexion non authentifiée.

enfin, tu fais comme tu veux !

ceci dit, tu as plus de deux ports ouverts :

nmap tondomaine

Starting Nmap 5.00 ( http://nmap.org ) at 2012-05-29 12:48 CEST

Interesting ports on ton ip

Not shown: 995 filtered ports

PORT STATE SERVICE

443/tcp open https

587/tcp open submission

993/tcp open imaps

1723/tcp open pptp

6881/tcp open bittorrent-tracker

la dernière ligne, c'est mal ;) et pas sécurisé...

Posté(e) (modifié)

merci de ta réponse - En effet, j'ai oublié de précisé que mon fai bloquait non seulement le port 25 entrant mais empêchait aussi sur son modem de creer une règle Nat de redirection d'un port externe vers le port 25 interne - donc la solution que j'utilise ( utiliser le port 587 pour recevoir à la place du 25 ) est la seule solution possible à part acheter un autre routeur et mettre mon modem en switch

En ce qui qui concerne les autres ports, il ya un vpn , un reverse proxy et photostation et par contre le port bittorent la c'est pas volontairement ouvert dans le routeur , je vais aller jeter un oeil à tout ca !

En tout cas merci de tes commentaires !

Edit : en fait la règle : smtpd_tls_security_level may

Opportunistic TLS: announce STARTTLS support to remote SMTP clients, but do not require that clients use TLS encryption.

N'empeche effectivement pas en soit une connection sans authentification mais combinée avec

smtpd_tls_auth_only (default: no)

When TLS encryption is optional in the Postfix SMTP server, do not announce or accept SASL authentication over unencrypted connections.

elle a pour effet de masquer l'authentification si la connection n'est pas encryptée , d'ou je pense le fait qu'on pense que cette authentification n'est pas nécessaire alors qu'elle l'est

fin possible que je me trompe !

Modifié par jee27
Posté(e) (modifié)

Par contre dans main.cf j'ai bien :

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

ligne qui est censée rejeter tout les destinataires qui ne sont pas authentifié ou qui ne font pas partie de mon domaine : donc a priori ca évite de servir de relay spam puisque ca accepte les mails à un destinataire (existant ) de mon domaine mais rejete tout les autres si pas d'authentification

smtpd_sender_restrictions = reject_unknown_sender_domain : ca si j'ai bien compris ca rejete les mails dont le domaine du destinataire est inexistant

finalement j'ai rajouté : smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_reverse_client_hostname

, ca bloque tout les client sans ptr record valable ( si je ne me trompe ) tout en autorisant les client authentifié et fesant partie de mon domaine, donc mon syno !

edit : finalement j'ai déplacé la ligne client restriction de main.cf à master.cf tel que:

smtpd_client_restrictions=permit_sasl_authenticated,permit_mynetworks,reject_unknown_client_hostname

de toute facon en reception j'ai que le serveur de dyn sur le port 587 , donc tant que celui la est accepté ! et pour les autres ils sont authentifiée !

Merci à toi Cricx en tout cas !

a priori c'est pas mal non ?

Modifié par jee27
Posté(e)

OK pour l'interdiction de nat vers le port 25, tu n'en avais pas parlé... il faut tout dire ! Mais je serais toi, j'utiliserai la box en bridge avec un routeur derrière (ce que j'ai fait chez moi)

pour revenir à smtpd_tls_security_level may : When TLS encryption is optional in the Postfix SMTP server, do not announce or accept SASL authentication over unencrypted connections (postfix n'annonce pas ni n'accepte d'authentification sur des connexions non authentifiées -> si pas tls/ssl, pas d'auth, ce qui n'implique pas en soi le rejet de la connexion non authentifiée. C'est bien la règle du main.cf permit_sasl_authenticated et reject_unauth_destination qui jouent leur rôle.

Ce qui tendrait à faire penser qu'une simple ligne

submission inet n – n – – smtpd
aurait le même effet. attention aux règles de filtrage comme reject_unknown_reverse_client_hostname (ça arrive chez les gens très bien). je te mets ci-dessous mes règles (minimalistes, mais efficaces) :

broken_sasl_auth_clients = yes

smtpd_sasl_auth_enable = yes

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

smtpd_sender_restrictions = reject_unknown_sender_domain

smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_pipelining, sleep 5, reject_rbl_client zen.spamhaus.org

smtpd_sasl_authenticated_header = yes

smtpd_tls_security_level = may

#en option, filtrage des malwares

#body_checks = regexp:/usr/syno/mailstation/etc/malwareblocklist

[/code]

note l'usage de la liste de filtrage zen.spamhaus.org

attention encore : la ligne permit_mynetworks ne parle pas des utilisateurs de ton domaine, mais des postes de ton réseau local

smtpd_sender_restrictions = reject_unknown_sender_domain : ça rejete les mails dont le domaine [b]expéditeur[/b] est inexistant

dès lors que tu as une règle permit_sasl_authenticated, les utilisateurs authentifiés pourront toujours utiliser ton serveur. Une règle permit_mynetworks permettra aux utilsateurs de ton réseau local, même non authentifiés, à utiliser ton serveur.

Ce sont donc des règles d'usage de ton serveur pour l'envoi de messages.

Les autres règles qu'on ajoute en général visent à limiter les spams (vérification du ptr, du ehlo, du domaine expéditeur...) sans provoquer de charge processeur comme avec l'antispam (les messages sont rejetés avant transfert).

Tu as beaucoup de littérature à ce sujet sur internet, tu peux configurer ton serveur aux petits oignons !

Mais ce n'est pas toujours suffisant : les quelques spams que je reçois transitent par le serveur mx secondaire (celui de nas-forum) qui a des règles de filtrage plus élastiques (les messages sont bien repérés comme spams, mais pas rejetés)

Posté(e)

vraiment instructif ! Finalement j'ai retravailler les client_restrictions, en ajoutant en reject à la fin avec un permit sasl_auth et permit_mynetwork mais en creant un fichier mynetwork avec des ranges ips dont 127.0.0.0/16 192.168.0.1/16 et l'ip du mailhop dydns qui est censée me renvoyer les mails : 216.146.32.0/16 ( qui est donc censé autoriser toute ip : 216.146.XX.XX )

en gros : -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.