philpep's blog - tag postfix

Ssmtp pour remplacer sendmail

Mon, 04 Jan 2010 23:10:53 GMT

Sur mon serveur FreeBSD j'ai 4 jails et par défaut le système envoie régulièrement des security run output à root@localhost pour l'informer de ce qu'il se passe sur le système (nouveau fichiers etc). Tout ça c'est très bien sauf que un hote et 4 jails ça fait 5 compte mail à visiter, c'est pas trop convi et en plus on a pas envie de faire tourner sendmail juste pour ça.

J'ai donc décidé d'utiliser un MTA très simple appelé (devinez comment) : Simple smtp agent. Chaque mail envoyé depuis la machine (en appelant sendmail) partira vers un serveur smtp de mon choix, ainsi je récupère tous les mails sur mon compte mail usuel.

# cd /usr/ports/mail/ssmtp
# make install
Information for ssmtp-2.62.3:
Install notice:
sSMTP has been installed successfully.
To replace sendmail with ssmtp type "make replace"
# make replace

Ensuite j'ai crée mon /usr/local/etc/ssmtp/ssmtp.conf :

# Serveur de mail à contacter pour l'envoi + le port
# par defaut c'est le port 25
mailhub=mail.philpep.org:578
# Domaine d'où semble venir le mail
rewriteDomain=philpep.org
# Domaine à donner pendant le HELO
# À accorder avec le reverse DNS de votre machine
# vu depuis le serveur de mail.
hostname=shen.philpep.org

Arrangez vous pour que le serveur de mail accepte de vous relayer, moi c'est le cas parce que je suis en local et mon postfix relaie ce qui vient du réseau local. Mais si ce n'est pas le cas (genre vous utilisez le serveur mail de votre fournisseur de mail), on peut configurer l'authentification SMTP, SSL/TLS et tout le reste.

Ensuite désactivez sendmail dans /etc/rc.conf puisqu'il ne sert plus :

sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

Pour tester l'envoi :

$ dmesg | mail -s "works ?" lapin@barreenfer.com
$ if [[ $? -ne 0 ]]; then man ssmtp; fi

EDIT 5/01/10 17:15

client smtp -> MTA

Spamd

Sat, 31 Oct 2009 13:50:31 GMT

Spamd ou comment bloquer les spams sans discriminer à priori des adresses IPs et sans remettre en cause la neutralité du réseau.

J'ai écrit une page sur spamd sur le principe de fonctionnement et sa mise en place sur OpenBSD.

Ce tout nouveau wiki cogéré par philpep.org et bender-labs.org est plus adapté que mon blog pour ce genre de choses car vous pouvez aussi apporter votre contribution pour faire part de votre expérience (ne serait-ce que pour corriger d'éventuelles fautes d'orthographes et de grammaires :-) ).

Comment passer outre le blacklist de son serveur SMTP

Fri, 11 Sep 2009 16:53:24 GMT

Souvent, la mise en place d'un serveur sur votre propre ligne ADSL pose de nombreux petits problèmes.

Un d'entre eux est certainement le blacklist systématique des serveurs de mail (SMTP) qui ont une IP d'un particulier. Quelques uns des plus gros opérateurs de mail sur Internet refusent tout simplement toute connexion SMTP provenant d'une IP d'un abonné ADSL de free, orange, neuf etc. Mais ce blacklist peut être aussi post connexion en déclarant votre mail comme étant du SPAM.

Mais pourquoi diable font il cela ? La réponse est simple, pour éviter le spam justement. La plupart des virus que nos chers amis utilisateurs de Windows ont sur leurs PC servent à envoyer du spam ou bien à lancer des attaque de type DDos.

Donc, devant le manque de sécurité apparent d'un système d'exploitation, nous voici tous dans le même bateau. Impossible d'envoyer un mail vers aol.com par exemple. Mise de votre mail dans le dossier SPAM par yahoo.com, j'en passe et des meilleures.

Pour vous donner une idée de la manière dont on traite quelqu'un qui s'auto-héberge.

$ host -t mx aol.com
aol.com                 MX      15 mailin-01.mx.aol.com
aol.com                 MX      15 mailin-02.mx.aol.com
aol.com                 MX      15 mailin-03.mx.aol.com
aol.com                 MX      15 mailin-04.mx.aol.com

$ telnet mailin-01.mx.aol.com 25
Trying 64.12.222.197...
Connected to mailin-01.mx.aol.com.
Escape character is '^]'.
554- (RTR:BB)  http://postmaster.info.aol.com/errors/554rtrbb.html
554  Connecting IP: 82.234.40.34
Connection closed by foreign host.

$ wtf

Ils disent qu'il n'acceptent pas les connexions de votre IP parce qu'il est difficile de savoir qui est responsable du mail qui provient de cette IP.

C'est comme si on interdisait aux gens de discuter dans le train parce qu'il y a trop de monde pour entendre ce que vous avez à dire et que vous risquez de dire des choses irresponsables comme critiquer le PDG et les amis de la SNCF, par mesure de précaution seuls les contrôleurs sont habilités à s'exprimer. (Si ça ne vous parait pas évident, ici les contrôleurs c'est gmail.com, yahoo.com, hotmail.com, la SNCF c'est aol.com et celui qui prends le train c'est 82.234.40.34).

Attention, ici je ne parle pas de blacklist de votre domaine (philpep.org en l'occurence) mais de l'IP d'où provient la connexion (82.234.40.34).

Donc on peut passer outre ce filtrage en se faisant relayer par un SMTP réputé "propre", celui de votre FAI par exemple.

C'est ce que nous allons faire avec postfix, il est possible de relayer les mails en destination de aol.com, yahoo.com par votre FAI, mais de s'adresser directement aux autres SMTP.

Here is the conf :

transport_maps = hash:/usr/local/etc/postfix/transport

Ici j'utilise la syntaxe BSD (/usr/local/etc/postfix/) sous linux c'est souvent (/etc/postfix)

Donc nous devons créer ce fichier /usr/local/etc/postfix/transport

yahoo.com       relay:[smtp.free.fr]
yahoo.fr        relay:[smtp.free.fr]
aol.com         relay:[smtp.free.fr]

Ici quand mon serveur reçoit un mail en destination de aol ou yahoo, il l'envoie à smtp.free.fr (le SMTP de mon FAI). Celui ci étant reconnu comme fiable par nos deux gros opérateurs passe sans problème.

Pour finir, générez un fichier DB pour postfix avec ce fichier et relancez postfix (BSD syntaxe ici aussi)

$ postmap /usr/local/etc/postfix/transport
$ /usr/local/etc/rc.d/postfix restart

Si vous connaissez des problèmes avec d'autres opérateurs, n'hésitez pas en m'en faire part en commentaire. Ce serait bien d'avoir une liste de domaines qui utilisent un tel filtrage.