Salut,
 
j'ai, je pense, un petit problème avec l'authentification SASL de mon postfix.
Des recherches sur google ne me donnent pas grand chose car soit les différents how-to n'utilisent pas la meme méthode, soit ca leur fait comme moi (ce qui m'étonne).
 
En gros : j'utilise le demon saslauthd avec mechanism plain, qui semble bien fonctionné vu que ca me donne comme ce site en telnet (a partir de l'exterieur) : http://workaround.org/articles/ispmail-sarge/#test
 
Mon problème est que je trouve bizarre que de l'extérieur je puisse en telnet envoyer un mail sans avoir besoin de m'authentifier. En fait je n'ai pas besoin de faire un "auth plain ......" pour attaquer un mail from:...
 
Exemple :

 
 
voilà. si vous avez une idée ou si vous pouvez me dire que c'est le fonctionnement normal.
 
Mon but est d'empecher d'envoyer des mails en telnet à mes utilisateurs existants sans s'etre authentifier avant.
 
Notez que je n'ai pas de pb d'open relay, exemple :
 

 
 
Merci de votre aide

Bonjour ,
 
J'ai a peu pres le meme probleme que toi, je n'arrive pas a obligé mes utilisateurs à s'authentifier!!
 
et a priori,, l'authentification ne semble interesser personne!! (vive le SPAM!!)
 
Si t'as des infos, n'hesite pas!! (je ferais de meme ;-)

ce qui me semble bizarre c'est que tous les sites que j'ai vu utilisant les mots de passe Unix (shadow ou pam), ca ne demande pas d'authentification. Les différents howto ou on voit l'authentification c'est avec sasldb ou mysql...
 
Si j'ai des infos, je les mets ici ;-)

pour moi c'est le fct normal.. il accepte tout si c'est dans my_destination... le login-pwd c'est pour utiliser comme relay

si tu cherches a envoyer un mail a un domaine géré par ton postfix il est tout a fait normal que celui ci l'accepte sans broncher.
C'est le comportement normal.

la variable smtp_sender_dependent_authentication devrait probablement répondre a une partie de ton problème ( si tu souhaites forcer l'utilisateur de ton smtp a s'authentifier , note bien que je précise l'utilisateur ... toute connection sur ton smtp devra etre authentifié pour pouvoir etre accepter . )
Tu peux aussi en utilisant permit_sasl_authenticated , et en mettant des restrictions au niveau de ton mynetwork , forcer l'authentification  ( cf http://www.postfix.org/postconf.5. [...] mynetworks et http://www.postfix.org/postconf.5.html#mynetworks )

ok merci Mikala et Bigon. Donc impossible d'empecher l'envoi de mail vers mon domaine postfix a partir de l'extérieur en telnet. Peut etre avec TLS ?
 
Je sais que ca fait la meme chose chez Free sur leur postfix quand tu as une IP de chez eux (sinon ca refuse). Donc je peux peut etre refusé les IP autre que celle de mon réseau non ?
 
Bref je ne comprends quand meme aps trop pourquoi c'est le fonctionnement normal, le SASL devrait quand meme forcer l'authentification et ce avant de savoir si je vais envoyer un mail vers quelqu'un de mon domaine postfix...

justement non.
Quel interet de forcer une authentification pour envoyer un mail qui sera 'légitiment' recu par le MTA  ?
l'authentification est utile dans le cadre ou tu veux te servir du dit MTA pour faire parvenir le mail a un autre MTA ce afin de t'assurer que tu n'es pas un relais ouvert notamment aux spammeurs.

oui apres reflexion, ca se tient ;-)
J'ai trouvé une autre solution, je check le ehlo. Comme ca seul un MX peut passer (à ce que j'ai compris)
 
le seul truc qui me gene, c'est que je reponds quand meme au ehlo, vu que ce genre de parametre ne se teste qu'au moment du RCPT. Et ca me gene d'envoyer mon hostname, j'ai pas envie qu'on connaisse le nom interne de ma machine, meme si ca n'a que peu d'importance, mais j'aime faire les choses proprement.
D'ailleurs à ce propos, comment envoyer en réponse au ehlo autre chose que le hostname ? j'aimerais plutot envoyer mon domaine de messagerie (qui est différent de mydomain) :
mon hostname est par ex truc.toto.net et je voudrais que la réponse au ehlo soit mail.domaine.tld (le vrai que j'ai acheté).
 
J'ai fouillé google de partout et surtout le site postfix mais impossible de trouver un paramètre pour ca...

tu as essayé de lire la documentation de postfix?
smtpd_banner réponds a ton problème.

non, je parle de :
 
220 host.domain.tld ESMTP Postfix (Debian/GNU)
ehlo host
250-hostname
 
j'aimerais que ca me réponde autre chose que hostname ;-)

myhostname.

on peut metre n'importe quoi dedans ? mouarf le c**, je pensais qu'on devait vraiment laisser le nom réel de la machine.
 
Merci Mikala ;-)

Je vais voir du coté de la directive smtp_sender_dependent_authentication, mais elle n'est valable qu'a partir de la version 2.3 (je suis en 2.2.8) et en plus, comme tu le dis, est valable pour toutes les connexions sur le port 25 (client et serveur) , donc pas utile dans mon cas.
 
J'ai deja essayé  avec smtpd_sender/client_permission : permit_sasl_authenticated, reject mais ca ne va pas
 
Je vais passer par my_network.
 
Merci pour la réponse!!