Ports 25, 587, SMTP ipv6

What type of hardware are you using: Raspberry Pi 3, 4+
What YunoHost version are you running: 12.1.29 (stable).
How are you able to access your server: The webadmin
SSH
Are you in a special context or did you perform specific tweaking on your YunoHost instance ?: Autohébergé, derrière freebox

Describe your issue

Bonjour,
Dans le diagnostic, j’ai ces erreurs :

[ERROR] Le port 25 n'est pas accessible depuis l'extérieur en IPv6.
  - Rendre ce port accessible est nécessaire pour les fonctionnalités de type email (service postfix)
  - Pour résoudre ce problème, vous devez probablement configurer la redirection de port sur votre routeur Internet comme décrit dans https://yunohost.org/isp_box_config

[SUCCESS] Le port 80 est accessible depuis l'extérieur.
  - Rendre ce port accessible est nécessaire pour les fonctionnalités de type web (service nginx)

[ERROR] Le port 587 n'est pas accessible depuis l'extérieur en IPv6.
  - Rendre ce port accessible est nécessaire pour les fonctionnalités de type email (service postfix)
  - Pour résoudre ce problème, vous devez probablement configurer la redirection de port sur votre routeur Internet comme décrit dans https://yunohost.org/isp_box_config

[ERROR] Le serveur de messagerie SMTP est inaccessible de l'extérieur en IPv6. Il ne pourra pas recevoir des emails.
  - Impossible d'ouvrir une connexion sur le port 25 à votre serveur en IPv6. Il semble inaccessible. 
     1. La cause la plus courante de ce problème est que le port 25 n'est pas correctement redirigé vers votre serveur. 
     2. Vous devez également vous assurer que le service postfix est en cours d'exécution. 
     3. Sur les configurations plus complexes : assurez-vous qu'aucun pare-feu ou proxy inversé n'interfère.

[ERROR] Aucun reverse-DNS n'est défini pour IPv6. Il se peut que certains emails ne soient pas acheminés ou soient considérés comme du spam.
  - Vous devez d'abord essayer de configurer le reverse-DNS avec maindomain.tld dans l'interface de votre routeur, box Internet ou votre interface d'hébergement. (Certains hébergeurs peuvent vous demander d'ouvrir un ticket sur leur support d'assistance pour cela).
  - Certains fournisseurs ne vous laisseront pas configurer votre DNS inversé (ou leur fonctionnalité pourrait être cassée…). Si votre DNS inversé est correctement configuré en IPv4, vous pouvez essayer de désactiver l'utilisation d'IPv6 lors de l'envoi d'emails en exécutant 'yunohost settings set email.smtp.smtp_allow_ipv6 -v off'. Remarque : cette dernière solution signifie que vous ne pourrez pas envoyer ou recevoir d'emails avec les quelques serveurs qui ont uniquement de l'IPv6.

J’ai bien lu les docs et si tout bien compris c’est propre à free.

J’ai desactivé l’ipv6

sudo yunohost settings set email.smtp.smtp_allow_ipv6 -v off

Du coup, plus rien d’autre à faire ? Je peux ignorer ces erreurs dans le diagnostic ?

Merci de vos retours

Share relevant logs or error messages

https://paste.yunohost.org/raw/azoqejavaw

Hello,

Réponse peut-être un peu tardive mais j’ai le même problème et je pense que ce n’est pas lié à free.

Le yunohost, même en local, ne répond pas sur les ports 25 et 587 (mais répond sur le port 80 par exemple).

J’essaie de comprendre d’où ça vient, si quelqu’un a une piste, je suis preneur.

A +

Hello,

Vérifier sur l’IPv6 est activé dans la conf de Yunohost :

image761×156 8.18 KB

Salut,
Chez-moi, il est à “oui”

SMTP "Autoriser l'IPv6"1297×151 7.78 KB

Salut,

Je ne sais pas ce qui se passe en ce moment, ça fait plus d’un an que j’ai installé Yunohost sur un serveur dédié et depuis quelques semaines, je rencontre ces problèmes.

Exposition des ports-Email1314×808 69.8 KB

Salut @JfmbLinux

Est-ce un problème avec free où il faut explicitement re-demander depuis le compte en ligne d’autoriser le port 25 ?

Et je note que l’erreur est en ipV4.

@charly

On peut demander au système

Y a t’il un processus qui écoute sur le port 25 ?

root@l0g:~# ss -ntlp | grep 25

cela doit retourner que oui master ( /usr/lib/postfix/sbin/master de postfix ) est à l’écoute

LISTEN 0      100          0.0.0.0:25         0.0.0.0:*    users:(("master",pid=1497,fd=13)) 
LISTEN 0      100             [::]:25            [::]:*    users:(("master",pid=1497,fd=14))

Est-ce que le port est autorisé par le parefeu local ( nftables )

nft list ruleset

le port doit être listé dans la chaine de filtre d’entrée ( chain input ).

table inet filter {
	chain input {
...
                 tcp dport { 0, 22, 25, 53, 80, 443, 587, 993 } counter packets 289966 bytes 15773041 accept
...

Si cela marche on peut tenter de se connecter dessus en local…

nc 127.0.0.1 25

on doit recevoir

220 <domain> Service ready

et le faire avec l’adresse ipv4 puis ipv6 au lieu de 127.0.0.1 et regarder ce qui se passe.

Salut,

Je n’ai pas Free chez-moi, mon opérateur internet, c’est OVH Fibre et j’ai un serveur dédié chez OVH.

Par contre, lorsque j’utilise ces commandes :

iptables -F

ip6tables -F

Exposition des ports-Email (no error)1305×791 62.9 KB

Le problème se résout pour quelques heures/jours

@JfmbLinux

Donc supprimer toutes le règles iptables avec iptables -F règle le problème.

Le parefeu de yunhost créé des règles nftables, donc ce n’est pas le parefeu de yunhost qui est en jeu, mais un autre système qui utiliserait iptables plutôt que nftables.

Qu’en est t’il de fail2ban ?

Exactement, mais après, je ne vois pas ce que ça pourrait être cet autre système.

:~# systemctl status fail2ban
● fail2ban.service - Fail2Ban Service
     Loaded: loaded (/lib/systemd/system/fail2ban.service; enabled; preset: enabled)
    Drop-In: /etc/systemd/system/fail2ban.service.d
             └─systemd-override-bind-nftables.conf
     Active: active (running) since Wed 2025-11-12 22:28:19 CET; 1h 2min ago
       Docs: man:fail2ban(1)
   Main PID: 53508 (fail2ban-server)
      Tasks: 23 (limit: 77041)
     Memory: 42.1M
        CPU: 20.317s
     CGroup: /system.slice/fail2ban.service
             └─53508 /usr/bin/python3 /usr/bin/fail2ban-server -xf start

:~# yunohost service status fail2ban
configuration: valid
description: Protège contre les attaques brute-force et autres types d'attaques venant d'Internet
last_state_change: 2025-11-12 22:28:19
start_on_boot: enabled
status: running

@JfmbLinux

En fait l’iptables sur yunohost est /usr/sbin/xtables-nft-multi et donc il opère avec l’api nf_table du noyau, donc tout est du nf_table, il n’y a pas les deux.

Donc retour à la question, que renvoyait nft list ruleset avant le reset ?

en faisant un diff entre l’avant et l’après on trouve le responsable.

@JfmbLinux

Et pour ce qui est de fail2ban il y a des règles postfix, donc cela peut être activté à n’improte quel moment suivant un log postfix.

Avant

table inet filter {
        chain input {

                tcp dport { 22, 25, 53, 80, 443, 587, 993 } counter packets 129995 bytes 6823233 accept

Après

table inet filter {
        chain input {
     
                tcp dport { 22, 25, 53, 80, 443, 587, 993 } counter packets 132620 bytes 6959957 accept

Je ne suis pas un expert concernant fail2ban, j’ai du mal à comprendre.

Mais, j’ai une question :

Comment on fait pour fermer/désactiver un port tcp ?

Je m’explique, quand je change le port ssh, avec cette commande :

sudo yunohost settings set security.ssh.ssh_port -v

J’ai remarqué que celles qui ne sont plus utiles, que je n’utilise plus, restent ouvertes et je voudrais qu’elles ne le soient plus.

Existe-t-il une commande pour fermer ces ports ?

@JfmbLinux

Il y a le panneau de configuration du parefeu dans la webadmin.
ou bien

yunohost firewall close <port number> -p tcp

Super, merci beaucoup

Bon, en attendant, j’ai toujours ces soucis qui reviennent :

Le port 25 n'est pas accessible depuis l'extérieur en IPv4.

Le port 587 n'est pas accessible depuis l'extérieur en IPv4.

Le serveur de messagerie SMTP est inaccessible de l'extérieur en IPv4. Il ne pourra pas recevoir des emails

Je ne sais pas comment résoudre ce problème, à part faire un backup de toutes les applis et réinstaller Yunohost au propre et ça, ça m’embête.

Il se fait tard, merci pour tout.

@JfmbLinux la différence est à regarder sur l’intégralité du résultat pour comprendre.

Et pour le bail2ban, le principe est qu’il lit les logs et en fonction de de la reconnaissance de certains motifs dans les erreurs affichées il détermine quelle règles de parefeu ajouter dynamiquement. En pratique cela implique le bannissement d’adresses ip.

@JfmbLinux

J’ai créé un sujet de discussion pour le cas de la suppression d’une règle : Suppression d'une règle de parefeu depuis l'interface d'administration

Salut,
Effectivement, c’est beaucoup plus efficace avec cette commande :

yunohost firewall delete <port number> -p tcp

Merci beaucoup.