[gull] Postfix, SASL et RBL

Alexis DOMJAN adomjan at horus.ch
Tue Oct 2 18:38:11 CEST 2007


Hello à tous,

Sur un serveur de mail Postfix j'ai activé l'authentification par un 
compte pop3 lors de l'envoi de courrier via le smtp.

Ainsi un client utilisant plusieurs FAI peut envoyer des e-mails via un 
unique serveur sans devoir tout reconfigurer à chaque fois.

Mais cela ne fonctionne pas si l'adresse IP est listée dans une RBL, je 
pensais avoir résolu le problème mais ça n'est pas le cas.

Voici la configuration de postfix concernant les restrictions:

smtpd_client_restrictions = permit_mynetworks, 
permit_sasl_authenticated, check_client_access hash:/etc/postfix/except, 
reject_rbl_client blackholes.mail-abuse.org, reject_rbl_client 
relays.mail-abuse.org, reject_rbl_client dialups.mail-abuse.org, 
reject_rbl_client bl.spamcop.net, reject_rbl_client list.dsbl.org, 
reject_rbl_client sbl.spamhaus.org, reject_rbl_client cbl.abuseat.org, 
reject_rbl_client dul.dnsbl.sorbs.net

smtpd_sender_restrictions = reject_unknown_sender_domain 
hash:/etc/postfix/sender_access

smtpd_recipient_restrictions = permit_mynetworks 
permit_sasl_authenticated reject_unauth_destination check_policy_service 
inet:127.0.0.1:60000

Ainsi on voit que le "permit_sasl_authenticated" devrait avoir la 
priorité puisque selon la doc de Postfix, la première condition 
rencontrée gagne. (cf. 
http://www.postfix.org/uce.html#smtpd_client_restrictions)

De plus, comme n'ayant pas d'accès à une machine connectée via bluewin 
je ne peux pas tester...

Lorsqu'un client se connecte avec l'authentification activée sur le 
serveur il n'y a aucune trace de tentative d'authentification sasl. Par 
contre on peut voir le rejet de l'email par les RBL (en l'occurence SORBS).

Est-ce qu'il faudrait mettre le 'permit_sasl_authenticated' ailleurs ? 
Dans smtpd_sender_restrictions ? Est-il seulement possible qu'un client 
avec une adresse dynamique listée chez SORBS ou ailleurs puisse tout de 
même utiliser un serveur smtp avec authentification ? Logiquement ceci 
doit être possible...

Merci d'avance pour vos commentaires, a+
-- 
Alexis Domjan <adomjan at horus.ch>



More information about the gull mailing list