Re: authentification SMTP

Page principale

Répondre à ce message
Auteur: Jérôme Kieffer
Date:  
À: guilde
Sujet: Re: authentification SMTP
On Mon, 19 Dec 2022 18:01:35 -0500
Xavier Belanger <guilde@???> wrote:

> Bonjour,
>
> Je ne connaissais pas 'gsasl' mais il semble que cela fasse
> le même travail que openssl en mode client, et au vu des
> réponses que tu obtiens, tu as les outils qu'il faut pour
> tester.
>
> Quelle est ta configuration pour Postfix, en particulier
> pour 'smtpd_client_restrictions', 'smtpd_recipient_restrictions'
> et tout ce qui est en 'sasl_*' ?
>
> Le plus simple éventuellemt est de fournir le résulat
> de la commande "postconf -n" qui liste tout ce qui a été
> configuré explicitement.


Bonjour Xavier,

Merci de ton aiguillage. Très longtemps, j'ai eu postfix en mode
"chroot" mais sans réussir à le faire fonctionner l'authentification.
Récemment je me suis dit que le problème venait peut être du chroot,
mais maintenant, sans chroot, ca marche pas mieux.

J'ai l'impression que c'est dans la configuration de postfix, la partie
qui pointe vers la configuration de sasl mais pas facile de debuguer:
j'aurais bien fait un strace sur le demon mais il y a tellement de
bruit que c'est pas réaliste.

Normalement, le chroot est configuré dans /etc/postfix/master.cf

# service type  private unpriv  chroot  wakeup  maxproc command + args
smtp      inet  n       -       -       -       -       smtpd
smtps     inet  n       -       n       -       -       smtpd     
        -o smtpd_tls_wrappermode=yes 
        -o smtpd_sasl_auth_enable=yes 
        -o syslog_name=postfix/smtps 
        -o smtpd_client_restrictions=permit_sasl_authenticated,reject
submission inet  n      -       n       -        -   smtpd
        -o syslog_name=postfix/submission
        -o smtpd_etrn_restrictions=reject
        -o smtpd_enforce_tls=yes 
        -o smtpd_sasl_auth_enable=yes
        -o smtpd_tls_security_level=encrypt
        -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
```


Voici la configuration de `postconf -n`:

```
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
body_checks = regexp:/etc/postfix/body_checks
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
compatibility_level = 2
daemon_directory = /usr/lib/postfix/sbin
debug_peer_level = 1
debug_peer_list = terre-adelie.org
debugger_command = PATH=/usr/bin:/usr/X11R6/bin xxgdb $daemon_directory/$process_name $process_id & sleep 5
default_destination_concurrency_limit = 10
forward_path = /home/$user/.forward
hash_queue_names = active bounce defer flush incoming deferred
home_mailbox = Maildir/
inet_protocols = ipv4
local_destination_concurrency_limit = 2
mail_owner = postfix
mailbox_command = /usr/bin/procmail
maximal_queue_lifetime = 45
message_size_limit = 40960000
milter_protocol = 6
mydestination = localhost, $myhostname, localhost.$mydomain, $mydomain, [...] islay.$mydomain
mydomain = terre-adelie.org
myhostname = islay.terre-adelie.org
mynetworks = 127.0.0.0/8, 192.168.1.0/24, [...]
myorigin = $myhostname
non_smtpd_milters = $smtpd_milters
queue_directory = /var/spool/postfix
relay_domains = $mydestination, [...]
sender_canonical_maps = hash:/etc/postfix/canonical
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = may
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Debian)
smtpd_delay_reject = yes
smtpd_helo_restrictions = reject_invalid_hostname
smtpd_milters = inet:127.0.0.1:8892
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_policy_service inet:127.0.0.1:10023
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_path = smtp
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_mynetworks,reject_unknown_sender_domain
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/letsencrypt/live/islay.terre-adelie.org/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/islay.terre-adelie.org/privkey.pem
smtpd_tls_loglevel = 4
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_exchange_name = /var/run/prng_exch
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/transport
```

Ca m'a permis de retirer quelques "inconsistances" dans la config, mais
ca marche toujours pas mieux.
En tous cas, merci de ton aide.

A++

Jerome