Richard Tuquet Laburre wrote:
c'est quoi cette legende urbaine???essaye de remplacer cette ligne par inet_interfaces = all et de relancer postfix
Mais cela n'est-il pas dangereux en faisant de son serveur un open-relay?
En même temps, je n'ai pas toute sa configuration et ses paramètres de sécurité sous la main.
Ptet que matthieu s'est comme moi, inspiré du document disponible à http://www.eme-enseignement.fr/caleca/smtp/installation_de_postfix.htm
et dans lequel, il est indiqué :
* Cherchez dedans "inet_interfaces", qui doit par défaut être égal à "localhost". * Ne succombez pas, par simplicité, à l'envie de remplacer "localhost" par "all", ce qui potentiellement risquerait d'en faire un "open relay", mettez plutôt $myhostname, localhost.
Cette information est selon Madko, fausse... et je veux bien le croire
Ce qui serait intéressant de savoir, c'est quel paramètre (ou plutôt quelles associations de paramètres) font que postfix est configuré en "open relay" et ce non pas pour le mettre en place mais pour être sûr de ne pas le mettre en place
Ptet le paramètre my_network associé avec des valeurs smtpd_sender_restrictions "optimistes" ?
tout a fait, si tu inclus trop de monde dans le my_networks du server smtp, là il va faire du relay avec plein de monde. et plus ya de monde, plus c'est open, donc open relay (wow, ça c'est une phrase choc)
apres si les restrictions du sender ne sont pas restrictive, genre si tu permet a qqun d'utiliser un domaine d'expedition qui n'existe meme pas, bonjour la liberté et le spam
mais d'apres la doc, c'est clair que si ton postfix il ecoute que sur son loopback, ba t'aura beau le configuré comme un pied, il pourra pas etre open relay (mais en meme temps il pourra pas servir a grand chose)
qq petites questions...pour rebondir sur ton éclaircissement... 1/ tu conseilles quoi pour smtpd_sender_restrictions ?
tout depend de ce que tu veux faire, les docs de postfix pour lutter contre le spam sont plutot bien foutu
en general c'est pas mal deja d'interdire les domaines inconnu et non resolvable (reject_unknown_sender_domain), de passer eventuellement par un fichier access.db et de pas oublier une bonne liste de rbl
2/ je comprends pas bien l'effet du paramètre check_relay_domain, du paramètres smtpd_recipient_restrictions
la c'est pas non plus tres clair pour moi
apparement check_relay_domains se sert d'une variable $relay_domains pour les domaines accepter pour le relayage
ça sert surtout pour les mx secondaire
3/ j'ai mis en place une authentification SASL + TLS ; et my_network = 127.0.0.0/8 ; cela ne contredit pas ce que tu dis ?
pourquoi ça contredit? tu as bien mis un my_network tres restrictif donc tu es loin du open relay
jparlais du inet_interface en localhost qui l'a est tres inutile pour faire un serveur de mail
comme tu utilise sasl tu as du ajouter permit_sasl_authenticated dans les sender_restrictions non?
---------------------------------- Informations, désabonnement, règles, obligations sur la liste Aide-Linux : http://lists.ze-linux.org/howto_ml.html