OVH Community, votre nouvel espace communautaire.

Configuration Postfix VPS


Nowwhat
03/06/2015, 06h56
Citation Envoyé par levirusneo
.........
webmin me dit :
Code:
69DB0272015C 	2015/06/01 19:27 	www-data@vpsX.ovh.net 	xxx@orange.fr 	927 bytes 	conversation with ssl0.ovh.net[213.186.33.XX] timed out while receiving the initial server greeting
	7C84927200EF 	2015/06/01 19:12 	www-data@vpsX.ovh.net 	xxx@hotmail.com 	925 bytes 	conversation with ssl0.ovh.net[213.186.33.XX] timed out while receiving the initial server greeting
Effectivement, quand ton serveur se pointe chez hotmail.com (ou orange.fr) avec "vpsX.ovh.net" comme identification de ton domaine, ça va mal se passer ....
Et pourquoi ton serveur communique avec ssl0.ovh.net quand il s'agit des mails pour hotmail.com ou orange.fr ?
Quand t'as un mail pour serveur X, et tu demande à serveur Y de s'en occuper (même si t'as un compte chez serveur Y) ton mail est déjà considéré comme suspect.

sich
03/06/2015, 05h50
Vi mais comme dit plus haut, un serveur de mail est tout sauf facile à configurer...
C'était bcp plus facile il y'a 10 ans en arrière, mais aujourd'hui avec l'explosion des problèmes de spam, de dkim, dmarc, spf et j'en passe c'est devenu de suite un peu plus complexe. De + la plupart des serveurs désormais sont devenus très exigeant sur la qualité de la configuration des autres serveurs et refusent simplement les mails quand le serveur n'a pas la bonne config...
Et ce n'est pas parce que tu es sur un vps que c'est plus simple. Un serveur de mail reste un serveur de mail, que ce soit en environnement dédié ou vps.

levirusneo
02/06/2015, 15h33
mail-tester : 9/10

http://www.starbridge.org/spip/spip.php?article12 : c'est trop compliqué pour moi, j'ai peur de tout casser.

Le truc c'est que Webmin installe et parametre tout un tas de chose lors de l'installation de postfix, ce qui est censé rendre facile le reste à paramétrer (2/3 reglages à faire) pour un vps ovh. Mais je ne sais pas ce qu'il reste à faire.

Nowwhat
02/06/2015, 09h07
Normal.
postfix n'est pas un appli 'simple'. Pour comprendre ces milliers des possibilités dans son paramétrage, il faut d'abord avoir un vision global COMMENT un mail est traité par ton serveur, par le serveur en face. Sans ça, c'est inutile d'aller plus loin.
Disons qu'avant, t'as cliqué sur "Envoyer" et ton mail sera envoé, et maintenant, c'est toi qui paramètre ce qui se passe après ce clique. C'est assez vaste comme sujet - mais tout à fait possible, car beaucoup le font.
Souvent, paramétrer un 'service' (appli serveur) sur ton serveur il suffit presque de lire un 'tuto', de l'appliquer et ça fonctionne (presque) parfaitement.
Avec postfix, ce n'est pas possible. Il faut lire pas mal sur son sujet avant. Car il existe quelque de pire que "ça ne marche pas" : il faut éviter la situation où les serveurs mail en face allons décider de balancer ton serveur sur un (ou plusieurs) blacklists. Pour s'en sortir en suite est encore plus difficile.
Utilise d'abord cet outil https://www.mail-tester.com/ avant d'utiliser ton serveur mail.
A lire aussi : http://www.starbridge.org/spip/spip.php?article12

Quelques utilisateurs sur ce forum ont fabriqué des tutos - va voir leur forum-signature.

Puis, t'inquiète, tu va "Google" beaucoup, c'est normal

Commence par désactiver ton parafue pour éviter des pièges à la c*n (passe toutes les Policies sur ACCEPT) et t’occupe de lui que à la fin, quand tu maitrise la reste de ton serveur (donc, grosso modo, on s’occupe JAMAIS d'iptables )

levirusneo
02/06/2015, 08h47
Je comprend ce que tu veux dire mais j'ai du mal à peau-finer mes applis... surtout postfix

Nowwhat
02/06/2015, 08h14
Normalement ™ on peau-fine d’abord ces application (postfix, serveur web, etc) avant d’établir ces règles parafeu.
Après, il faut se poser la question : pourquoi utiliser ces règles parafeu ? Dès qu’on a écartés des réponses commerciales et autre conneries pures on trouve LA réponse : dans la majorité des cas, on n’en a pas besoin.
Ainsi la gestion d’un serveur simplifié

PS : ça fait des années que je ne paramètre pas mon ‘iptables’ sur mon serveur (Debian).

levirusneo
01/06/2015, 23h07
Meric Janus :

j'ai donc fais :
iptables -A OUTPUT -p tcp -m tcp --dport 587 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 465 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport 587 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 465 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT


Code:
iptables -L --line-numbers
Chain INPUT (policy DROP)
num  target     prot opt source               destination
1    fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh
2    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
3    ACCEPT     all  --  anywhere             anywhere
4    ACCEPT     icmp --  anywhere             anywhere
5    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:2222
6    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
7    ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
8    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
9    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
10   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8443
11   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:webmin
12   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
13   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssmtp
14   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp

Chain FORWARD (policy DROP)
num  target     prot opt source               destination

Chain OUTPUT (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
2    ACCEPT     all  --  anywhere             anywhere
3    ACCEPT     icmp --  anywhere             anywhere
4    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:2222
5    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
6    ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
7    ACCEPT     udp  --  anywhere             anywhere             udp dpt:ntp
8    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
9    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
10   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:3260 state NEW,ESTABLISHED
11   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
12   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssmtp
13   ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp

le probleme est maintenant : timed out while receiving the initial server greeting

webmin me dit :
Code:
69DB0272015C 	2015/06/01 19:27 	www-data@vpsX.ovh.net 	xxx@orange.fr 	927 bytes 	conversation with ssl0.ovh.net[213.186.33.XX] timed out while receiving the initial server greeting
	7C84927200EF 	2015/06/01 19:12 	www-data@vpsX.ovh.net 	xxx@hotmail.com 	925 bytes 	conversation with ssl0.ovh.net[213.186.33.XX] timed out while receiving the initial server greeting

janus57
01/06/2015, 22h15
Bonjour,

sans dire de connerie ce serait bien d'ouvrir le port SMTP/SMTPS pour qu'il puisse envoyer le mail non ?

Chain OUTPUT (policy DROP 2252 packets, 500K bytes)
15M 21G ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
789 51342 ACCEPT all -- any lo anywhere anywhere
0 0 ACCEPT icmp -- any any anywhere anywhere
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:2222
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:domain
483 35548 ACCEPT udp -- any any anywhere anywhere udp dpt:domain
0 0 ACCEPT udp -- any any anywhere anywhere udp dpt:ntp
31 1840 ACCEPT tcp -- any any anywhere anywhere tcp dpt:http
73 4380 ACCEPT tcp -- any any anywhere anywhere tcp dpt:https
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:3260 state NEW,ESTABLISHED
Y a pas de SMTP/SMTPS dans les règles de sortie autorisé.

SMTP/SMTPS :
Port :
25 (sans authentification)
587 (avec authentification)
465 (SSL)
Cordialement, janus57

levirusneo
01/06/2015, 21h49
Bonjour
Pouvez vous m'aider à configurer Postfix sur mon VPS ? (par webmin ou ssh) mes connaissances sont maigres

J"ai installé Postifix via webmin (qui a remplacé mon sendmail), puis jai essayé différente config dans Postfix sans succes.

Les mails restent bloqués dans la queue.
" Connection timed out " quelque soit ma config

Code:
iptables -L -v
Chain INPUT (policy DROP 69 packets, 5299 bytes)
 pkts bytes target     prot opt in     out     source               destination
   57  3076 fail2ban-ssh  tcp  --  any    any     anywhere             anywhere             multiport dports ssh
9966K  799M ACCEPT     all  --  any    any     anywhere             anywhere             state RELATED,ESTABLISHED
  789 51342 ACCEPT     all  --  lo     any     anywhere             anywhere
14725  484K ACCEPT     icmp --  any    any     anywhere             anywhere
    2   104 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:2222
   10   600 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:domain
    2   124 ACCEPT     udp  --  any    any     anywhere             anywhere             udp dpt:domain
94532 5400K ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:http
   95  5068 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:https
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:8443
  374 19036 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:webmin
    4   240 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:smtp
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:smtp

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy DROP 2252 packets, 500K bytes)
 pkts bytes target     prot opt in     out     source               destination
  15M   21G ACCEPT     all  --  any    any     anywhere             anywhere             state RELATED,ESTABLISHED
  789 51342 ACCEPT     all  --  any    lo      anywhere             anywhere
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:2222
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:domain
  483 35548 ACCEPT     udp  --  any    any     anywhere             anywhere             udp dpt:domain
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere             udp dpt:ntp
   31  1840 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:http
   73  4380 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:https
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:3260 state NEW,ESTABLISHED

Chain fail2ban-ssh (1 references)
 pkts bytes target     prot opt in     out     source               destination
   57  3076 RETURN     all  --  any    any     anywhere             anywhere
Code:
# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.
myhostname = vpsXXXXX.ovh.net
mydomain = vpsXXXXX.ovh.net
relayhost = ssl0.ovh.net:465
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl/sasl_passwd
smtp_sasl_security_options = noanonymous
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = vpsXXXXX.ovh.net, localhost.vpsXXXXX.ovh.net, localhost
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/24
mailbox_size_limit = 0
recipient_delimiter = +
home_mailbox = Maildir/
smtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination
Merci !