[Alex]

Bjr à tte la famille zimbra,
En fait mon pb est le suivant:
Depuis quelque temps, je suis constament blacklister chez SPAMHAUS et SPAMCOP. Et losque je teste mon @ip avec http://www.pagasa.net/test-smtp/, il me dit que mon serveur est un relay ouvert. J'ai verifié et re-verifié mes configue, je ne vois pas ou est-ce que j'ai mi en relai. Voici la config de mon postfix:
sender_canonical_maps = proxy:ldap:/opt/zimbra/conf/ldap-scm.cf
virtual_alias_domains = proxy:ldap:/opt/zimbra/conf/ldap-vad.cf
lmtp_connection_cache_time_limit = 4s
recipient_delimiter =
smtpd_tls_cert_file = /opt/zimbra/conf/smtpd.crt
smtpd_tls_auth_only = yes
myhostname = nom.mondomaine.net
virtual_mailbox_domains = proxy:ldap:/opt/zimbra/conf/ldap-vmd.cf
mydestination = localhost
myorigin = mondomaine.net
mailbox_size_limit = 0
setgid_group = postdrop
smtpd_client_restrictions = reject_unauth_pipelining
queue_run_delay = 300s
minimal_backoff_time = 300s
virtual_alias_maps = proxy:ldap:/opt/zimbra/conf/ldap-vam.cf
transport_maps = proxy:ldap:/opt/zimbra/conf/ldap-transport.cf
message_size_limit = 20725760
sendmail_path = /opt/zimbra/postfix/sbin/sendmail
broken_sasl_auth_clients = yes
lmtp_connection_cache_destinations =
alias_maps = hash:/etc/aliases
manpage_directory = /opt/zimbra/postfix/man
policy_time_limit = 3600
smtpd_helo_required = yes
in_flow_delay = 1s
daemon_directory = /opt/zimbra/postfix/libexec
maximal_backoff_time = 4000s
virtual_transport = error
mynetworks = 127.0.0.0/8 192.168.111.0/24
bounce_queue_lifetime = 5d
smtpd_recipient_restrictions = reject_non_fqdn_recipient, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unlisted_recipient, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_rbl_client zen.spamhaus.org, reject_rbl_client dnsbl.njabl.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl.sorbs.net, reject_rbl_client sbl.spamhaus.org, reject_rbl_client relays.mail-abuse.org, permit
lmtp_host_lookup = dns
smtpd_tls_loglevel = 1
relayhost =
disable_dns_lookups = no
always_add_missing_headers = yes
smtpd_sasl_authenticated_header = no
mail_owner = postfix
virtual_mailbox_maps = proxy:ldap:/opt/zimbra/conf/ldap-vmm.cf
content_filter = smtp-amavis:[127.0.0.1]:10024
smtpd_tls_security_level = may
mailq_path = /opt/zimbra/postfix/sbin/mailq
header_checks =
queue_directory = /opt/zimbra/data/postfix/spool
newaliases_path = /opt/zimbra/postfix/sbin/newaliases
smtpd_data_restrictions = reject_unauth_pipelining
local_header_rewrite_clients = permit_mynetworks,permit_sasl_authenticated
smtpd_reject_unlisted_recipient = no
propagate_unmatched_extensions = canonical
command_directory = /opt/zimbra/postfix/sbin
smtpd_tls_key_file = /opt/zimbra/conf/smtpd.key
smtpd_sasl_auth_enable = yes
smtpd_helo_restrictions = reject_invalid_helo_hostname
smtpd_sender_restrictions = reject_unlisted_sender, reject_unknown_sender_domain, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender

Je sais pas si j'ai oublié un parametre dans cette config.

Et voici un extrait de mon mail.log:
Jan 18 06:59:02 ns postfix/smtp[19793]: connect to msx-smtp1.hinet.net[168.95.5.9]:25: Connection timed out
Jan 18 06:59:02 ns postfix/smtp[19732]: 380EF341924: to=<zhonghui0734@sohu.com>, relay=sohumx.h.a.sohu.com[61.135.132.110]:25, delay=227244, delays=227163/74/5.8/0.65, dsn=4.1.8, status=deferred (host sohumx.h.a.sohu.com[61.135.132.110] said: 450 4.1.8 <wtaew@ryxz.com>: Sender address rejected: Domain not found (in reply to RCPT TO command))
Jan 18 06:59:02 ns postfix/smtp[19689]: A88023406F6: host sohumx1.sohu.com[61.135.132.110] said: 450 4.1.8 <ovcdqpax@hbjlnks.com>: Sender address rejected: Domain not found (in reply to RCPT TO command)
Jan 18 06:59:02 ns postfix/smtp[19737]: connect to msx-smtp7.hinet.net[168.95.5.64]:25: Connection timed out
Jan 18 06:59:02 ns postfix/smtp[19722]: connect to msx-smtp1.hinet.net[168.95.5.30]:25: Connection timed out
Jan 18 06:59:02 ns postfix/smtp[19780]: connect to mail.163.com[123.125.50.22]:25: Connection refused
Jan 18 06:59:02 ns postfix/smtp[19780]: 320D7972FDF: to=<molicha2005@mail.163.com>, relay=none, delay=188758, delays=188677/69/12/0, dsn=4.4.1, status=deferred (connect to mail.163.com[123.125.50.22]:25: Connection refused)
Jan 18 06:59:02 ns postfix/smtp[19716]: 3DD1A3410DF: to=<aberratiabry@sohu.com>, relay=sohumx.h.a.sohu.com[61.135.132.110]:25, delay=255257, delays=255176/74/6/0.66, dsn=4.1.8, status=deferred (host sohumx.h.a.sohu.com[61.135.132.110] said: 450 4.1.8 <qpitdk@byhrhr.com>: Sender address rejected: Domain not found (in reply to RCPT TO command))
Jan 18 06:59:02 ns postfix/smtp[19735]: 347BA340DD8: to=<webmaster@csffsl.com>, relay=mx4.chinanetsun.com[222.73.108.38]:25, delay=309541, delays=309460/74/6.1/0.62, dsn=4.0.0, status=deferred (host mx4.chinanetsun.com[222.73.108.38] said: 451 MI:RBL bl.spamcop.net http://www.ipmotor.com/smtp_err.htm (in reply to MAIL FROM command))
Jan 18 06:59:02 ns postfix/smtp[19783]: A026E9721E1: host smtp.secureserver.net[216.69.186.201] refused to talk to me: 554-m1pismtp01-002.prod.mesa1.secureserver.net 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.
Jan 18 06:59:02 ns postfix/smtp[19694]: 37E34340BFC: to=<szhyq@szhyqi.com>, relay=mx.zmail.net.cn[123.100.7.71]:25, delay=316469, delays=316387/74/6.1/0.76, dsn=4.0.0, status=deferred (host mx.zmail.net.cn[123.100.7.71] said: 456 Unkown domain (in reply to MAIL FROM command))
Jan 18 06:59:02 ns postfix/smtp[19687]: connect to msx-smtp1.hinet.net[168.95.5.20]:25: Connection timed out
Jan 18 06:59:03 ns postfix/smtp[19786]: connect to msx-smtp4.hinet.net[168.95.5.37]:25: Connection timed out
Jan 18 06:59:03 ns postfix/smtp[19777]: 3AE6897202C: to=<ts@kl-guanghui.com>, relay=mail1.kl-guanghui.com[123.100.7.21]:25, delay=215348, delays=215266/64/17/0.71, dsn=4.0.0, status=deferred (host mail1.kl-guanghui.com[123.100.7.21] said: 456 Unkown domain (in reply to MAIL FROM command))
Jan 18 06:59:03 ns postfix/smtp[19788]: connect to 126.com.cn[174.37.175.228]:25: Connection refused
Jan 18 06:59:03 ns postfix/smtp[19752]: 1F939340C1B: to=<taoding@21cn.com>, relay=mta.21cn.com[59.36.102.51]:25, delay=315647, delays=315565/64/18/0, dsn=4.0.0, status=deferred (host mta.21cn.com[59.36.102.51] refused to talk to me: 451 system is busy.)
Jan 18 06:59:03 ns postfix/smtp[19788]: A51F9341AD0: to=<cdsxzqfx@126.com.cn>, relay=none, delay=223728, delays=223647/80/0.98/0, dsn=4.4.1, status=deferred (connect to 126.com.cn[174.37.175.228]:25: Connection refused)

Merci d'avance pour vos réactions.

[Klug]

Il est où le serveur ?
Au bout d'une xDSL/LL/fibre ? Sur le net ?

[Alex]

Il est naté derriere un routeur (il est dans un LAN)

[androme]

Le serveur DNS est bien renseigné ? Particulièrement au niveau du nom de domaine.

Il manque une virgule entre les deux networks à la ligne : mynetworks.

il faut mettre : 

mynetworks = 127.0.0.0/8, 192.168.111.0/24

au lieu de  :

mynetworks = 127.0.0.0/8 192.168.111.0/24

Je ne connais pas le fonctionnement interne de Postfix et je n'ai pas fait l'essai mais il se pourrait que si la ligne est mal interprétée postifx laisse passer tous les réseaux.

A moins qu'il accepte aussi un espace à la place d'une virgule.

A lire : http://postfix.tradu...html#relay_from

[Fumble]

androme, le 19 janvier 2012 - 12:55, dit :

Le serveur DNS est bien renseigné ? Particulièrement au niveau du nom de domaine.

Il manque une virgule entre les deux networks à la ligne : mynetworks.

il faut mettre : 

mynetworks = 127.0.0.0/8, 192.168.111.0/24

au lieu de  :

mynetworks = 127.0.0.0/8 192.168.111.0/24

Je ne connais pas le fonctionnement interne de Postfix et je n'ai pas fait l'essai mais il se pourrait que si la ligne est mal interprétée postifx laisse passer tous les réseaux.

A moins qu'il accepte aussi un espace à la place d'une virgule.

A lire : http://postfix.tradu...html#relay_from

Les deux fonctionnes. Est ce que tu peux donner l'ip publique avec laquelle ton serveur sort sur le net?

[bartounet]

ho oui qu'on fasse du relaying

[Fumble]

bartounet, le 19 janvier 2012 - 15:19, dit :

ho oui qu'on fasse du relaying

Ouais c'est vrai que ce n'est pas tres malin comme question^^

Mon but en demandant ca, c'est surtout de vérifier si ton adresse possède bien un reverse, que le reverse associer est correct, voir la raison exact du black listage chez les dnsbl,...

[bartounet]

oui donne nous ton ip publique en pv au pire qu'on test si il est vraiment open..

[Alex]

Merci pour vos réaction,
Je voudrais savoir exactement a quoi va vous servir cette adresse publique? Est-ce dans le cadre de la sécurité, publié une @ip d'un serveur mail ne doit pas le rendre plus vulnérable ?

Si c'est possible, dites moi quel genre de test je dois faire, ou ce qu'il y a lieu de faire pour remedier au pb que je rencontre.

Merci

[Fumble]

C est pour ca que Bartounet te disait de l envoyer en mp, il ne faut pas communiquer son ip publique a n importe qui surtout si tu supconne d etre relais ouvert. Mais si tu veux un coup de main, il va nous falloir un peu de bille. Et puis, une ip ca trouve, deja rien qu avec les logs que tu communique.

[Alex]

Et procedure suivre pr l'envoyer en mp ? (mp signifi quoi ?)

Merci

[Zimbra Guy]

MP = message en privé.

[bartounet]

faut faire un petit effort...
on va pas non plus expliquer comment utiliser un forum, sinon on s'en sort plus

[Alex]

Oui c'est bon merci, j'ai trouvé comment envoyer en mp.

[bartounet]

Bon j'ai testé en telnet, le mail est bien accepté.
Après je sais pas trop ce qu'il en fait, car je ne le reçoit pas.. aucune connexion sur mon MTA.

root@antony-linux:/home/antony# telnet ton_ip 25
Trying ton_ip...
Connected to ton_ip.
Escape character is '^]'.
220 ns.expressunion.net ESMTP Postfix
HELO antony.bart.fr
250 ns.expressunion.net
mail from:toto@test.fr
250 2.1.0 Ok
rcpt to:antony@mondomaine.fr
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
test
.
250 2.0.0 Ok: queued as B70BF340AEE
quit
221 2.0.0 Bye

[bartounet]

donne nous la sortie de cette commande:

zimbra@smtp:~$ zmprov getServer fqdn_de_ton_server | grep zimbraMtaMyNetworks

[bartounet]

bartounet, le 23 janvier 2012 - 12:07, dit :

Bon j'ai testé en telnet, le mail est bien accepté.
Après je sais pas trop ce qu'il en fait, car je ne le reçoit pas.. aucune connexion sur mon MTA.

root@antony-linux:/home/antony# telnet ton_ip 25
Trying ton_ip...
Connected to ton_ip.
Escape character is '^]'.
220 ns.expressunion.net ESMTP Postfix
HELO antony.bart.fr
250 ns.expressunion.net
mail from:toto@test.fr
250 2.1.0 Ok
rcpt to:antony@mondomaine.fr
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
test
.
250 2.0.0 Ok: queued as B70BF340AEE
quit
221 2.0.0 Bye

Mon serveur par exemple donne ça :

root@antony-linux:/home/antony# telnet smtp.info16.fr 25
Trying 88.190.35.125...
Connected to smtp.info16.fr.
Escape character is '^]'.
220 smtp.info16.fr ESMTP Postfix
helo antony
250 smtp.info16.fr
mail from:toto@test.fr
250 2.1.0 Ok
rcpt to:tutu@gmail.com
554 5.7.1 <tutu@gmail.com>: Relay access denied
quit
221 2.0.0 Bye
Connection closed by foreign host.

[Klug]

Le NAT c'est un vrai bête NAT ?
Ou il y a un routeur/UTM/firewall qui fait n'importe quoi (relai SMTP) entre le net et le ZCS ?

[Alex]

Bartounet voila
Quand je tape cette commande,
zimbra@smtp:~$ zmprov getServer fqdn_de_mon_server | grep zimbraMtaMyNetworks
il me renvoi ceci:
zimbra@smtp:~$ zimbraMtaMyNetworks: 127.0.0.0/8 192.168.111.0/24

Klug stp comment donc proceder savoir si le NAT de mon réseau est bien fait? ou en gros comment remedier a cela ?

[bartounet]

C'est bien ton zimbra qu'on "attaque" quand on se connecte de l'extérieur ?? y a pas un autre MTA (postfix) en frontal