OVH Community, votre nouvel espace communautaire.

Problème Postfix SPF création liste blanche


cassiopee
29/09/2016, 15h09
ça commence à être plus clair

Il faut jouer sur l'ordre des directives de vérification dans Postfix,
c'est-à-dire avoir en WhiteList la passerelle anti-spam avant de vérifier les SPF.

Imaginons que tu aies quelque chose dans ce genre dans la configuration de Postfix
(fichier "/etc/postfix/main.cf") :

Code:
smtpd_recipient_restrictions =
    ...
    reject_unauth_destination,
    check_policy_service unix:private/policyd-spf,
    ...
Tu ajoutes une entrée avant le "check_policy_service" dans ce genre là :

Code:
smtpd_recipient_restrictions =
    ...
    reject_unauth_destination,
    check_client_access hash:/etc/postfix/whitelist_antispam
    check_policy_service unix:private/policyd-spf,
    ....
(ne pas oublier le "postmap whitelist_antispam" avant de relancer Postfix)

Le fichier "/etc/postfix/whitelist_antispam" ayant un contenu du genre :

Code:
x.x.x.x OK
x.x.x.x OK
mail.antispam.com OK
où l'on indique soit la ou les adresse(s) IP de la passerelle antispam,
soit un nom d'hôte, selon ce qui est le plus pratique.

De cette façon :

1) si un email provient de la passerelle antispam, il est whitelisté par le fichier, les contrôles ne vont pas plus loin (donc on ne vérifie pas le SPF)

2) si un email provient en direct d'Internet, le contrôle en whitelist échoue, Postfix continue alors les contrôles
et arrive sur la vérification du SPF.

Le beurre et l'argent du beurre

fritz2cat
29/09/2016, 14h55
Non ce n'est pas plus clair, car u mélanges l'envoi et la réception.

En ce qui concerne la réception si tout le mail reçu passe par un presta c'est à lui de valider si le SPF de l'expéditeur permet de recevoir le mail ou non. De ton côté tu n'acceptes que ce qui vient via ton presta et tu ne fais aucun contrôle SPF.

En ce qui concerne l'envoi, tu dois ajouter les IP de sortie de ton presta à ton enregistrement SPF.
Ces adresses ne sont pas sous ton contrôle et peuvent évoluer dans le temps, tu devrais plutôt faire un include proposé par ton presta.

WebDieup
29/09/2016, 14h05
Les messages que je reçois qui sont passé par la passerelle Antispam on en HOST l'IP de l'Antsipam.

Ex:
toto@domaine1.fr qui contient un SPF autorisant domaine1.fr à émettre
envoi un mail à mon client titi@monclient.com
le mail passe par ma passerelle anti-spam qui l'analyse et le délivre à mon serveur
comme le serveur d'envoi est mapasserelleAntiSpam.com et que le From viens de domaine1.fr mon serveur test les SPF de domaine1.fr et il voit que mapasserelleAntiSpam.com n'a pas le droit d’émettre pour ce domaine donc le message passe en défaut

Code:
Sep 29 09:44:07 monServeur postfix/smtpd[3232]: NOQUEUE: reject: RCPT from passerelleAntiSPAM.com[1.2.3.4]: 550 5.7.1 : Recipient address rejected: Please see http://www.openspf.net/Why;r=monserveur.com; from= to= proto=ESMTP helo=
J'aimerai échapper les contrôles SPF pour les RCPT from passerelleAntiSPAM.com

J'espère que c'est plus clair....

d'avance, merci.

fritz2cat
29/09/2016, 13h40
Citation Envoyé par WebDieup
Mon soucis viens uniquement des messages que je reçois,
....
Peux-tu repréciser ton souci ?
D'où sortent tes mails ?
Où arrivent les mails pour ton domaine ?

cassiopee
29/09/2016, 12h38
C'est l'enregistrement SPF des noms de domaines de tes clients qu'il faut compléter.

Il faut y ajouter l'adresse IP de la passerelle anti-spam (ou via un include effectivement).

WebDieup
29/09/2016, 11h39
Bonjour fritz2cat,

Mon soucis viens uniquement des messages que je reçois,
Ca ne changera rien de mettre le champ SPF sur mon NDD, c'est uniquement pour l'envoi.
Ou je me trompe ....

fritz2cat
29/09/2016, 11h24
Ajoute les IP de ton prestataire antispam dans ton enregistrement SPF..
Si ce prestataire est un tant soit peu professionnel, il te propose certainement un "include" à ajouter à ton SPF.

WebDieup
29/09/2016, 10h42
Bonjour,


J'ai un serveur Postfix avec SPF d'installé qui fonctionne parfaitement.
Mon serveur héberge plusieurs clients.

Certains de mes clients ont une Passerelle Anti-Spam.

Mon problème c'est que les mails qui passent par cette passerelle et qui possèdent un SPF sont rejetés sur mon serveur.
Forcément il sont re-routé par l'IP de l'antispam qui n'est bien sur pas autorisée à envoyer des mails du domaine initial.

J'aurais biens désactivé SPF mais pour mes clients sans Anti-Spam ça va pas être top...

J'ai fait une liste blanche sur postfix pour les domaines déjà connus, mais pour les nouveaux, les mails seront forcément jetés.

Voici l'erreur que j'ai (j'ai masqué volontairement les IP et mail)

Code:
Sep 29 09:44:07 monServeur postfix/smtpd[3232]: NOQUEUE: reject: RCPT from passerelleAntiSPAM.com[1.2.3.4]: 550 5.7.1 : Recipient address rejected: Please see http://www.openspf.net/Why;r=monserveur.com; from= to= proto=ESMTP helo=

J'aimerai savoir s'il y a une technique pour mettre en Whitelist les mails RCPT from passerelleAntiSPAM.com[1.2.3.4].

j'espère que mon problème est compréhensible.

d'avance, merci pour votre aide précieuse.