What type of hardware are you using: Other(?)
What YunoHost version are you running: 12.0.9.1 (stable)
How are you able to access your server: The webadmin
SSH
Are you in a special context or did you perform specific tweaking on your YunoHost instance ?: non (enfin, je ne pense pas)
Describe your issue
Bonjour à tous, et bonne année.
Vous avez peut-être vu dans un autre post, j’ai fait aujourd’hui un upgrade d’une instance bare-metal de Debian10+Yunohost4.4 vers Deb11/YH11 puis Deb12/YH12.
Ce serveur me sert essentiellement pour du mail, et essentiellement pour rediriger des mails.
Historiquement et bien avant d’utiliser Yunohost, j’avais toujours bidouillé postfix à la main et de manière “créative”… et ma configuration 4.4 modifiée ne fonctionne plus sous YH12.
J’ai donc tout mis à plat : yunohost tools regen-conf postfix --force
Disons que je m’appelle bob@example.com
Disons que quelqu’un ayant l’adresse alice@example.com veuille m’envoyer un mail, mais que ce mail n’est pas injecté dans internet par mon instance Yunohost (ce peut être par exemple le SMTP du FAI ou n’importe quel autre SMTP aussi autorisé pour expédier les mails de example.com).
Alice peut envoyer des mails au monde entier sauf à moi (bob@example.com) , et le monde entier peut m’envoyer des mails sauf alice@example.com qui envoie depuis un autre serveur SMTP.
Le message d’erreur est “553 5.7.1 <alice@example.com>: Sender address rejected: not logged in”
On peut me rétorquer que Alice n’a qu’à envoyer depuis Yunohost, mais je cherche à pouvoir faire accepter ce mail.
Ceci a déjà été évoqué ici sans solution: Yunohost rejects email forwards with: 553 5.7.1 Sender address rejected: not logged in (in reply to RCPT TO command)
Quelqu’un parmi vous sait-il où modifier cela ?
Merciii 
Share relevant logs or error messages
553 5.7.1 <alice@example.com>: Sender address rejected: not logged in
C’est peut-être une faille de sécurité, mais il me semble que en commentant
reject_sender_login_mismatch dans /etc/postfix/main.cf
C’est bien possible.
J’ai imprimé (eh oui) les deux versions du main.cf pour les comparer avec un jaune fluo en mains … et j’avais bien cette ligne en commentaire précédemment !
Merci oeil de lynx !
Pour la sécurité contre l’usurpation il y a SPF, DKIM et DMARC.
reject_sender_login_mismatch protège en effet contre l’impersonification interne dans le domaine, mais pas vis-à-vis des tiers.
Ta réponse est la bonne, merci !!!
Je repars sur base du main.cf livré avec YH12. J’y apporte quelques modifications et j’explique:
delay_warning_time = 4h
bounce_queue_lifetime = 1d
maximal_queue_lifetime = 1d
# Requirements for the connecting server
smtpd_client_restrictions =
...
cidr:/etc/postfix/client.cidr,
...
# Requirements for the sender address
smtpd_sender_restrictions =
# reject_sender_login_mismatch,
...
check_sender_access pcre:/etc/postfix/sender_access_pcre,
check_sender_access hash:/etc/postfix/sender_access_hash,
...
# Ignore some headers
# smtp_header_checks = regexp:/etc/postfix/header_checks
Je détaille:
1 jour maximum en queue. 5 jours c’est historique de l’époque des modems dial-up.
client.cidr ça me permet de bannir des plages d’adresses CIDR (exemple un hébergeur VPS qui accueille des spammeurs)
Ce fichier contient des lignes sur ce format:
140.99.64.0/18 550 Blacklisted. Too many spam incidents and repeated abuse
sender_access_pcre
contient des lignes dans ce formet: /\.cyou$/ 554 Bad TLD. Too much spam from this address.
sender_access_hash
exemple de ligne: service@security.com 550 This sender is not authorized to send mail.
et enfin désactivé smtp_header_checks = regexp:/etc/postfix/header_checks
pour la bonne raison que lorsu’un mail est forwardé, les lignes en question sont supprimées (dont les précieuses lignes Received: qui permettent de remonter à l’adresse IP qui abuse.)