smtpd_recipient_restrictions = reject_unauth_destination
En gros tout les destinations non autorisé sont rejeté. Celles autorisé sont celles parametré dans les variable $mydestination, $inet_interfaces, $proxy_interfaces, $virtual_alias_domains ou $virtual_mailbox_domains. Ainsi que dans $relay_domains.
]>
Sur cette image on voit comment fonctionne le transport d'un mail.
Eh bien je voudrais interdire le contraire. Je veux que mon MTA puisse recevoir des mails, mais pas en envoyer. Possible ?
]>J'ai lu en diagonale mais je voulais preciser que, ce que Elrohir appelle mail entrant, arrive egalement par SMTP
Voilà. Ce qui entre par smtp, on prend. Ce qui sort par smtp, on vire. Possible ? Ou alors ça bloquera carrément tout ?
Pas convaincu que tu aies tout compris, et j'avoue ne pas comprendre non plus ce que tu veux dire.
Peux-tu expliquer le cas général ? A quoi sert ton serveur, qui sont les utilisateurs etc... Ça aidera sans doute à mieux comprendre ton objectif...
Hum.
Alors, mon serveur fait du mail avec postfix, et principalement du pop/imap.
J'aimerais EMPECHER les utilisateurs (càd tout le monde, je ne met pas de SASL ou autre) de se servir de mon smtp pour ENVOYER des courriers (que ce soit en interne ou en externe).
Je veux que mon serveur smtp ne serve qu'à recevoir les courriers des utilisateurs. Et c'est TOUT.
Je ne sais pas si postfix fait une distinction là-dessus. Plus j'avance, plus il me semble que non.
On a vraiment du mal à se comprendre par des phrases, alors parlons informaticiens :
/sbin/iptables -A OUTPUT -i eth0 -p tcp -i lo --dport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -i eth0 -p tcp --dport 25 -j DROP
/sbin/iptables -A INPUT -i eth0 -p tcp --dport 25 -j ACCEPT
Sinon, ce n'est pas grave, j'arrête. C'est un peu chiant d'avoir l'impression de parler chinois (alors que j'ai pas l'impression de parler une langue étrangère...), et pour vous d'avoir l'impression de parler à un neuneu.
J'veux juste qu'on ne se serve pas de mon smtp pour relayer ses messages, qui que ce soit, où que ce soit, pour qui que ce soit. MAIS que ce smtp puisse recevoir des messages qu'on lui envoit et les donner aux utilisateurs pour qu'il puisse les récup par POP ou IMAP.
Possible ou pas ? (oui/non)
Un petit schema plutot qu'un long discours :
Icedove --> Serveur SMTP (celui d'un FAI par ex.) --> Serveurs SMTP (ceux par lequel le mail transite) --> [postfix(SMTP) --> courier-pop(POP)] (machine d'Elrohir) ---> IceDove
Donc lorsque tu coupe ton serveur SMTP du monde exterieur, tu ne peux recevoir de mail depuis l'exterieur. Donc pour continuer a les recevoir depuis l'exterieur, tu dois accepter toutes les connexion externe sur postfix mais ne traiter que les mail concernant ton domaine (en gros tout les mails ayant un champ to: [email protected]). Ces restriction ce font dans cette partie : smtpd_recipient_restrictions.
J'espère que j'ai bien compris le sujet du mail.
]>Peux-tu expliquer le cas général ? A quoi sert ton serveur, qui sont les utilisateurs etc... Ça aidera sans doute à mieux comprendre ton objectif...
]>j'ai bien lu ce que tu m'as envoyé, et ça me fait bien comprendre.
Seulement, je viens de penser à autre chose?
Est-il possible (et efficace) de bloquer le flux sortants de postfix (pour en gros bloquer les autres utilisateurs de se servir de mon smtp pour envoyer des mails, même ds mon réseau).
On autorise tout ce qui sort par le port 25 qui vient de localhost, mais on rejette tout ce qui sort par le port 25 qui n'est pas de localhost.
Est-ce que ça marcherait ? Ou quelque soit l'utilisateur qui envoit un mail, c'est considéré comme venant de localhost puisque c'est mon postfix local qui envoit le mail ?
]>Si je bloque le port 25, je pourrais toujours récupérer mes mils via POP/IMAP mais mon serveur ne recevra aucun mail qui lui sera destiné.
J'ai toujours pensé -à tord- que smtp ne servait qu'à envoyer des mails...
Ca commence à devenir un peu plus clair, là !
Si je comprends bien, il n'y a aucun moyen de bloquer l'envoie de mail par mon serveur depuis l'extérieur, sans bloquer les réceptions ?
]>Avec permit_mynetworks, tu joues bien avec les restrictions : de l'extérieur, les autres machines ne pourront utiliser ton serveur SMTP UNIQUEMENT pour transmettre un message adressé à un domaine dont ton serveur est MX. Les machines listées dans $mynetworks pourront quant à elles utiliser le SMTP pour envoyer des messages à l'extérieur. Ton serveur n'est alors pas un open relay (et si je comprends bien, c'est ce que tu souhaites éviter). En aucun cas une machine extérieure à ton réseau ne pourrra envoyer un mail vers une autre machine extérieure...
]>Envoie de mail : localhost
Réception (pop/imap) : tout le monde
Or, avec cette règle, plus personne ne peut envoyer de mail à une adresse existant chez moi, quelque soit le smtp par lequel il passe...
Bon, ben j'vais bloquer le port 25 avec iptables... ça semble le plus simple à faire......... j'aurais pas l'impression de parler chinois au moins 