[a-h-aide] SFR, postfix et relais SMTP sécurisé
Salut à tous & toutes (ce message pour info, et pour partager avec la communauté) Etant abonné SFR Adsl, j'ai configuré mon Postfix (sur mon serv @ home) pour utiliser leur relais SMTP (pas le choix, IP dynamique...). Si on passe par le port 25, non sécurisé, ça fonctionne sans problème bien sûr. relayhost = [smtp.sfr.fr]:25 Mais bon, on est en 2014, donc un peu de sécurité (ou disons plutôt confidentialité) ne ferait pas de mal (rires dans la salle, cf le bug heartbleed d'openssl...) donc autant utiliser une connexion sécurisée pour ce relais de courriel. Sur le site de sfr ( http://assistance.sfr.fr/internet_box-nb6/emails/noms-serveurs-messagerie/fc... ) ils disent d'utiliser : smtp-auth.sfr.fr, sur le port 587 (submission) au lieu de smtp.sfr.fr:25, mais il n'est pas fait mention de réglages SSL. Et bien d'après mes tests, pas de SSL sur le port 587 sur ce relais. Ce qui semblerait être confirmé par leurs guides de paramétrages des divers clients de mail, par exemple pour Thunderbird : http://assistance.sfr.fr/internet_box-nb6/emails/parametrer-id-sfr/fc-3194-5... Donc en gros, leur doc (obsolète sans doute) préconise d'envoyer/recever tous nos mails avec nos identifiants en clair... (bon si on essaye un peu, l'IMAP et le POP sont dispos en versions SSL) Ceci étant, on trouve une autre doc en fouinant via un moteur de recherche : http://*docs.sfr.fr*/guide/parametres-serveurs-email.pdf et là on découvre que smtp.sfr.fr propose une connexion SSL sur le port SMTPS (465). Obsolète mais c'est mieux que pas de SSL du tout. Par contre, Postfix ne veut pas/plus de ce protocole obsolète dans sa config de base, cf. http://www.postfix.org/SOHO_README.html " The Postfix SMTP client does not support the obsolete "wrappermode" protocol, which uses TCP port |465| on the SMTP server. See TLS_README <http://www.postfix.org/TLS_README.html> for a solution that uses the |stunnel| command. " Du coup j'ai pas trop envie de rajouter encore des bidouilles dans mon Postfix... Mais j'ai testé avec OpenSMTPD sur une VM OpenBSD 5.4, et ça fonctionne "out of the box". (extrait de /etc/mail/smtpd.conf) accept for any relay via smtps://smtp.sfr.fr:465
Afficher les réponses par date
Salut, Je pense que tu te trompes. Le SSL est utile entre ton client et ton serveur SMTP parce que entre les deux, le login et le mot de passe circulent en clair. Et encore, ce n'est utile que si tu te connecte sur ton SMTP depuis l'extérieur (depuis ton téléphone par exemple). Sur ton réseau local pas de problème. Dans le cas du relayhost de Postfix, seul le mail sortant passe, donc pas besoin de SSL. De toute façon les mails circulent en clair sur le Net, à moins que tu cryptes avec GPG. Les tutoriels que tu as trouvé correspondent à la connexion entre un client et le serveur SMTP de SFR. Ce n'est pas ton cas, tu utilises ton propre serveur SMTP. @+ Le 12 avril 2014 19:10, Fred <fred@fredo1.info> a écrit :
Salut à tous & toutes
(ce message pour info, et pour partager avec la communauté)
Etant abonné SFR Adsl, j'ai configuré mon Postfix (sur mon serv @ home) pour utiliser leur relais SMTP (pas le choix, IP dynamique...).
Si on passe par le port 25, non sécurisé, ça fonctionne sans problème bien sûr.
relayhost = [smtp.sfr.fr]:25
Mais bon, on est en 2014, donc un peu de sécurité (ou disons plutôt confidentialité) ne ferait pas de mal (rires dans la salle, cf le bug heartbleed d'openssl...) donc autant utiliser une connexion sécurisée pour ce relais de courriel.
Sur le site de sfr ( http://assistance.sfr.fr/internet_box-nb6/emails/noms-serveurs-messagerie/fc...) ils disent d'utiliser :
smtp-auth.sfr.fr, sur le port 587 (submission) au lieu de smtp.sfr.fr:25, mais il n'est pas fait mention de réglages SSL.
Et bien d'après mes tests, pas de SSL sur le port 587 sur ce relais.
Ce qui semblerait être confirmé par leurs guides de paramétrages des divers clients de mail, par exemple pour Thunderbird :
http://assistance.sfr.fr/internet_box-nb6/emails/parametrer-id-sfr/fc-3194-5...
Donc en gros, leur doc (obsolète sans doute) préconise d'envoyer/recever tous nos mails avec nos identifiants en clair... (bon si on essaye un peu, l'IMAP et le POP sont dispos en versions SSL)
Ceci étant, on trouve une autre doc en fouinant via un moteur de recherche : http://*docs.sfr.fr <http://docs.sfr.fr>* /guide/parametres-serveurs-email.pdf
et là on découvre que smtp.sfr.fr propose une connexion SSL sur le port SMTPS (465). Obsolète mais c'est mieux que pas de SSL du tout.
Par contre, Postfix ne veut pas/plus de ce protocole obsolète dans sa config de base, cf. http://www.postfix.org/SOHO_README.html
" The Postfix SMTP client does not support the obsolete "wrappermode" protocol, which uses TCP port 465 on the SMTP server. See TLS_README<http://www.postfix.org/TLS_README.html>for a solution that uses the stunnel command. "
Du coup j'ai pas trop envie de rajouter encore des bidouilles dans mon Postfix...
Mais j'ai testé avec OpenSMTPD sur une VM OpenBSD 5.4, et ça fonctionne "out of the box".
(extrait de /etc/mail/smtpd.conf) accept for any relay via smtps://smtp.sfr.fr:465
-- Nicolas PHAM Propulsé par GNU/Linux
Salut, Je pense que tu te trompes. Le SSL est utile entre ton client et ton serveur SMTP parce que entre les deux, le login et le mot de passe circulent en clair. Et encore, ce n'est utile que si tu te connecte sur ton SMTP depuis l'extérieur (depuis ton téléphone par exemple). Sur ton réseau local pas de problème. Dans le cas du relayhost de Postfix, seul le mail sortant passe, donc pas besoin de SSL. De toute façon les mails circulent en clair sur le Net, à moins que tu cryptes avec GPG. Les tutoriels que tu as trouvé correspondent à la connexion entre un client et le serveur SMTP de SFR. Ce n'est pas ton cas, tu utilises ton propre serveur SMTP. @+ Le 12 avril 2014 19:10, Fred <fred@fredo1.info> a écrit :
Salut à tous & toutes
(ce message pour info, et pour partager avec la communauté)
Etant abonné SFR Adsl, j'ai configuré mon Postfix (sur mon serv @ home) pour utiliser leur relais SMTP (pas le choix, IP dynamique...).
Si on passe par le port 25, non sécurisé, ça fonctionne sans problème bien sûr.
relayhost = [smtp.sfr.fr]:25
Mais bon, on est en 2014, donc un peu de sécurité (ou disons plutôt confidentialité) ne ferait pas de mal (rires dans la salle, cf le bug heartbleed d'openssl...) donc autant utiliser une connexion sécurisée pour ce relais de courriel.
Sur le site de sfr ( http://assistance.sfr.fr/internet_box-nb6/emails/noms-serveurs-messagerie/fc...) ils disent d'utiliser :
smtp-auth.sfr.fr, sur le port 587 (submission) au lieu de smtp.sfr.fr:25, mais il n'est pas fait mention de réglages SSL.
Et bien d'après mes tests, pas de SSL sur le port 587 sur ce relais.
Ce qui semblerait être confirmé par leurs guides de paramétrages des divers clients de mail, par exemple pour Thunderbird :
http://assistance.sfr.fr/internet_box-nb6/emails/parametrer-id-sfr/fc-3194-5...
Donc en gros, leur doc (obsolète sans doute) préconise d'envoyer/recever tous nos mails avec nos identifiants en clair... (bon si on essaye un peu, l'IMAP et le POP sont dispos en versions SSL)
Ceci étant, on trouve une autre doc en fouinant via un moteur de recherche : http://*docs.sfr.fr <http://docs.sfr.fr>* /guide/parametres-serveurs-email.pdf
et là on découvre que smtp.sfr.fr propose une connexion SSL sur le port SMTPS (465). Obsolète mais c'est mieux que pas de SSL du tout.
Par contre, Postfix ne veut pas/plus de ce protocole obsolète dans sa config de base, cf. http://www.postfix.org/SOHO_README.html
" The Postfix SMTP client does not support the obsolete "wrappermode" protocol, which uses TCP port 465 on the SMTP server. See TLS_README<http://www.postfix.org/TLS_README.html>for a solution that uses the stunnel command. "
Du coup j'ai pas trop envie de rajouter encore des bidouilles dans mon Postfix...
Mais j'ai testé avec OpenSMTPD sur une VM OpenBSD 5.4, et ça fonctionne "out of the box".
(extrait de /etc/mail/smtpd.conf) accept for any relay via smtps://smtp.sfr.fr:465
_______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
-- Nicolas PHAM Propulsé par GNU/Linux
Hello, Le 13/04/2014 18:12, Nicolas PHAM a écrit :
Salut,
Je pense que tu te trompes. Le SSL est utile entre ton client et ton serveur SMTP parce que entre les deux, le login et le mot de passe circulent en clair. Et encore, ce n'est utile que si tu te connecte sur ton SMTP depuis l'extérieur (depuis ton téléphone par exemple). Sur ton réseau local pas de problème.
Il n'y a aucune raison de ne pas utiliser le chiffrement même sur le réseau local. On le fait bien pour SSH.
Dans le cas du relayhost de Postfix, seul le mail sortant passe, donc pas besoin de SSL. De toute façon les mails circulent en clair sur le Net, à moins que tu cryptes avec GPG.
Maintenant c'est pas mal de chiffrer les communications entre les serveurs de mails, y compris entre son propre serveur et le serveur relais de son FAI (bien sûr, rien ne garantit le chiffrement jusqu'à la destination finale, dans ce cas il faut utiliser GPG en effet) https://linuxfr.org/users/bortzmeyer/journaux/tout-le-monde-a-bien-active-tl...
Les tutoriels que tu as trouvé correspondent à la connexion entre un client et le serveur SMTP de SFR. Ce n'est pas ton cas, tu utilises ton propre serveur SMTP.
Je sais bien, mais là ils proposent quand même de tout envoyer en clair,y compris les identifiants!
@+
Le 12 avril 2014 19:10, Fred <fred@fredo1.info <mailto:fred@fredo1.info>> a écrit :
Salut à tous & toutes
(ce message pour info, et pour partager avec la communauté)
Etant abonné SFR Adsl, j'ai configuré mon Postfix (sur mon serv @ home) pour utiliser leur relais SMTP (pas le choix, IP dynamique...).
Si on passe par le port 25, non sécurisé, ça fonctionne sans problème bien sûr.
relayhost = [smtp.sfr.fr <http://smtp.sfr.fr>]:25
Mais bon, on est en 2014, donc un peu de sécurité (ou disons plutôt confidentialité) ne ferait pas de mal (rires dans la salle, cf le bug heartbleed d'openssl...) donc autant utiliser une connexion sécurisée pour ce relais de courriel.
Sur le site de sfr ( http://assistance.sfr.fr/internet_box-nb6/emails/noms-serveurs-messagerie/fc... ) ils disent d'utiliser :
smtp-auth.sfr.fr <http://smtp-auth.sfr.fr>, sur le port 587 (submission) au lieu de smtp.sfr.fr:25 <http://smtp.sfr.fr:25>, mais il n'est pas fait mention de réglages SSL.
Et bien d'après mes tests, pas de SSL sur le port 587 sur ce relais.
Ce qui semblerait être confirmé par leurs guides de paramétrages des divers clients de mail, par exemple pour Thunderbird :
http://assistance.sfr.fr/internet_box-nb6/emails/parametrer-id-sfr/fc-3194-5...
Donc en gros, leur doc (obsolète sans doute) préconise d'envoyer/recever tous nos mails avec nos identifiants en clair... (bon si on essaye un peu, l'IMAP et le POP sont dispos en versions SSL)
Ceci étant, on trouve une autre doc en fouinant via un moteur de recherche : http://*docs.sfr.fr <http://docs.sfr.fr>*/guide/parametres-serveurs-email.pdf
et là on découvre que smtp.sfr.fr <http://smtp.sfr.fr> propose une connexion SSL sur le port SMTPS (465). Obsolète mais c'est mieux que pas de SSL du tout.
Par contre, Postfix ne veut pas/plus de ce protocole obsolète dans sa config de base, cf. http://www.postfix.org/SOHO_README.html
" The Postfix SMTP client does not support the obsolete "wrappermode" protocol, which uses TCP port |465| on the SMTP server. See TLS_README <http://www.postfix.org/TLS_README.html> for a solution that uses the |stunnel| command. "
Du coup j'ai pas trop envie de rajouter encore des bidouilles dans mon Postfix...
Mais j'ai testé avec OpenSMTPD sur une VM OpenBSD 5.4, et ça fonctionne "out of the box".
(extrait de /etc/mail/smtpd.conf) accept for any relay via smtps://smtp.sfr.fr:465
_______________________________________________ auto-hebergement-aide mailing list auto-hebergement-aide@listes.auto-hebergement.fr <mailto:auto-hebergement-aide@listes.auto-hebergement.fr> http://listes.auto-hebergement.fr/listinfo/auto-hebergement-aide
-- Nicolas PHAM Propulsé par GNU/Linux
Le 13 avril 2014 21:13, Fred <fred@fredo1.info> a écrit :
Il n'y a aucune raison de ne pas utiliser le chiffrement même sur le réseau local. On le fait bien pour SSH.
Oui, on est jamais sûr de rien, ni de nos machines et encore moins des utilisateurs dans la maison. Mais y'à quand même beaucoup moins de risques. En ce qui me concerne, si y'a un mot de passe qui circule alors ça doit être chiffré. Je ne me pose pas la question. Maintenant c'est pas mal de chiffrer les communications entre les serveurs
de mails, y compris entre son propre serveur et le serveur relais de son FAI (bien sûr, rien ne garantit le chiffrement jusqu'à la destination finale, dans ce cas il faut utiliser GPG en effet)
https://linuxfr.org/users/bortzmeyer/journaux/tout-le-monde-a-bien-active-tl...
Pour l'instant malheureusement les serveurs entre eux ne chiffrent pas les communications. Mais je crois comprendre du journal LinuxFR de Stéphane que seule la communication entre les serveurs pourraient être chiffrée. Pas le mail lui même. Donc chaque relais entre le point A et B a le mail en clair à un moment ou l'autre dans ses entrailles. Ou alors j'ai pas tout compris, et c'est pas impossible ;-) Seule option, GPG ! Je sais bien, mais là ils proposent quand même de tout envoyer en clair,y
compris les identifiants!
Là c'est de la connerie en barre. Pas foutu de mettre du SSL sur leurs SMTP, ils proposent de se connecter en clair. C'est OpenBar chez eux. Alors que c'est justement à ces professionnels d'expliquer au public les dangers et les moyens de se protéger. Sinon y'à d'autres personnes ici qui ont un avis ? Nous ne somme que deux ? ;-) @+ -- Nicolas PHAM Propulsé par GNU/Linux
Fred, 2014-04-12 19:10+0200:
smtp-auth.sfr.fr, sur le port 587 (submission) au lieu de smtp.sfr.fr:25, mais il n'est pas fait mention de réglages SSL.
Et bien d'après mes tests, pas de SSL sur le port 587 sur ce relais.
Je confirme. Ça fait pitié, et à mon avis ce serait surtout une bonne occasion pour passer chez un vrai FAI. -- . o . Tanguy Ortolo, internaute auto-hébergé . . o <http://www.auto-hebergement.fr/> o o o
participants (4)
-
Fred -
Nicolas PHAM -
Nicolas PHAM -
Tanguy Ortolo