**Matériel: VPS chez OVH
**Version de YunoHost: 4.1.6
**J’ai accès à mon serveur : En SSH et par la webadmin Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non
**Si oui, expliquer: na
Description du problème
Je viens de terminer la migration d’une cinquantaine de personnes depuis un hébergement de mails ancien situé chez un hébergeur lambda vers un YunoHost fraîchement installé. Les différents circuits de messagerie email (flux SMTP) fonctionnent bien. Je m’explique :
Les mails entre utilisateurs du domaine hébergé par le YNH sont OK.
Les mails vers des domaines externes, y-compris pour les GAFAMs sont OK.
Les mails en provenance de tout Internet, y-compris des GAFAMs sont OK.
Mais il y a un mais. Il s’agit des mails envoyés à des listes de diffusion externes (mailing-list hébergées par des tiers) et pour lesquelles une ou plusieurs personnes utilisant le serveur YNH sont membres. Dans ce cas précis, le mail part bien vers la liste, il est bien distribué aux membres de la liste qui n’appartiennent pas à mon serveur mais pour ceux qui appartiennent à mon serveur YNH ils ne recoivent rien et l’expéditeur, situé lui-aussi, a un message d’erreur en retour de la part du serveur de la liste de diffusion. Exemple ci-après avec un serveur situé chez Gandi pour une liste que nous ne gérons pas :
Sender address rejected: not logged in (in reply to RCPT TO command)
Le sender est l’utilisateur de mon serveur YNH qui a envoyé le mail à la liste. Et il reçoit ce message pour chacun des destinataires de la liste externe qui appartiennent à mon serveur.
Je comprends bien le fonctionnement et je dirai qu’il est normal si on regarde que l’aspect sécurité, il évite en effet l’usurpation d’identité par email. Si je prétend provenir du serveur je dois m’authentifier. Mais en fait il pose un vrai problème pour ce besoin précis : pouvoir utiliser des listes de diffusion externe, situées sur d’autres domaines / d’autres serveurs (nous avons des listes internes sous Mailman qui fonctionnent très bien).
Pour l’instant je sèche sur une solution. Toute aide est la bienvenue !
Uuuuuuuh wokay … pas sur de comprendre l’entièreté du truc car ça a l’air assez technique. Ce que j’ai l’impression de comprendre c’est que le serveur externe essaye de se connecter à ton serveur pour déposer un courrier avec comme expéditeur un utilisateur local à ta machine ? Dans ce cas là oui ça parrait chelou …
Normalement pour ce genre de situation il y a un mécanisme qui s’apelle SRS pour justement ne pas vraiment usurper l’identité (dans le cas typique d’une mailing liste où tu as envie que le From soit bien l’auteur original, mais où le serveur de mailing-list qui relaie aux autres membres de la liste ne doit pas “usurper” l’identité) … Bref
Est-ce que tu as un contact avec la personne qui héberge la ML ? Est-ce que c’est le cas avec toutes les ML externes ?
Hello, merci beaucoup pour le retour rapide !
Alors j’ai un contact avec le propriétaire des mailing list qui posent soucis. Je vais le relancer demain.
Par contre tu m’as fait penser au mécanisme SRS, merci pour ça, du coup je vais faire des tests demain matin avec quelques collègues sur une liste de test que je viens de créer sur Framaliste.
Je viendrai ici pour les résultats.
Alors pour les news, les listes en question n’étaient pas bien paramétrées et utilisaient l’adresse de l’expéditeur au lieu d’utiliser un mécanisme de type SRS (Sender Rewriting Scheme). Leur propriétaire va corriger le souci.
Par contre j’ai constaté que la sécurité de YNH pour éviter d’accepter des mails prétendant provenir du domaine hébergé crée des difficultés sur d’autres besoins.
Exemple avec un serveur web distant qui émet des mails provenant du domaine et à destination du domaine, ces mails se font jeter avec la même erreur 553 5.7.1 xxxx@toto.org: Sender address rejected: not logged in.
Je vais creuser le sujet ici et ailleurs pour voir comment faire.
J’ai le même problème, dans un cas d’usage légèrement différent :
Dans une association où je suis investi, nous utilisons pas mal des adresses mails de redirection. Par exemple, l’adresse informatique@asso-exemple.org redirige les mails qui lui sont adressés vers les adresses mail des membres de l’équipe.
Là nous sommes hors contexte Yunohost. Ces redirections sont configurées via un panel d’administration. En l’occurence il s’agit de lautre.net, mais une fonctionnalité similaire est disponible sur Gandi.
De mon côté ma boîte mail est gérée par une instance YNH que j’administre.
Si j’envoie un mail à une équipe dont je fais partie, je reçois en retour le même mail d’erreur que @omarechal :
Sender address rejected: not logged in (in reply to RCPT TO command)
(pareil si un autre utilisateur de mon instance YNH envoie un mail à une équipe dont je fais partie).
A priori je suis le seul à rencontrer ce problème, les autres membres recevant bien leurs propres mails, que leurs mails soient gérés par un fournisseur de mail externe ou via leur propre serveur (mais sans YunoHost)
Je suis donc aussi preneur de solutions. Autoriser quoiqu’il arrive les mails en provenance de certaines adresses ? (mais je ne sais pas comment faire).
PS : en voulant tester si le fonctionnement est similaire avec une redirection mail configurée sur Gandi, je m’aperçois que c’est pire : le mail part bien et est bien reçu sur d’autres adresses, par contre je ne le reçois pas et je n’ai pas de mail d’erreur (je n’ai absolument rien dans /var/log/mail.info). D’ailleurs je ne reçois pas de mail non plus même si l’expéditeur est autre (en revanche je reçois bien le mail s’il m’est envoyé en direct sans passer via la redirection Gandi).
Hello, à mon avis ce n’est pas une bonne idée d’accepter tous les mails en provenance de certaines adresses, l’idéal, à mon sens, serait de pouvoir déclarer des hôtes de confiance dans l’interface web de YNH. Par exemple un serveur Web qui envoie des résultats de formulaires depuis le domaine hébergé sur le YNH ou bien une plage d’adresses de serveurs de mailing qui nous appartient et écrivent aussi depuis une adresse du domaine.
Par contre pour les listes de diffusion il faut vraiment suivre les bonnes pratiques. Mon incident de départ ici était lié à un “bricolage” avec des transferts de mails mis en place chez Gandi (une adresse email créée pour faire la liste et dont tous les mails reçus étaient transférés vers des dizaines d’adresses externes dont certaines hébergées, tout comme pour toi, sur mon serveur YNH). Lorsqu’un utilisateur de mon domaine, donc hébergé sur mon YNH envoyait un mail sur ces “pseudo listes” situées chez GANDI, les transferts en retour vers le YNH, pour les destinataires déclarés en transfert chez GANDI, étaient refusés et l’expéditeur recevait le fameux message d’erreur de la part de GANDI.
Je ne comprends pas pourquoi tu n’arrives pas à avoir le même phénomène que moi dans tes tests de redirection chez Gandi.
Je veux bien et je suis bien d’accord dans l’absolu, mais dans mon cas je ne peux pas changer comme ça le fonctionnement d’un groupe de 1400 personnes
Et ce qui me semble quand même dire qu’il y aurait quelque chose à faire de mon côté, c’est que je suis à priori le seul à avoir ce problème…
Moi non plus
J’ai fait le test depuis une autre instance Yunohost et là j’ai bien le même comportement :
Sender address rejected: not logged in (in reply to RCPT TO command)
Donc j’ai là un autre mystère : pourquoi les mails n’arrivent pas et pourquoi il n’y a aucune trace (rien dans les logs, pas de mail d’erreur pour l’expéditeur)
Concernant le problème de Sender address rejected: not logged in (in reply to RCPT TO command) posé par @omarechal et qui me concerne également, je n’ai pour l’instant pas trouvé mieux que de supprimer la ligne reject_sender_login_mismatch de la section smtpd_sender_restrictions du fichier /etc/postfix/main.cf
La conséquence “malheureuse” c’est que ça n’empêche plus les utilisateurs de mon serveur d’envoyer des mails en se faisant passer pour un autre, mais dans mon cas ce n’est pas gênant.
Mais peut-être que je passe à côté d’un autre problème potentiel, ou qu’une autre solution est encore meilleure ? (du style empêcher l’envoi, mais ne pas bloquer la réception)
J’ai trouvé l’explication, je la partage ici si jamais quelqu’un se retrouve dans le même cas de figure.
J’avais des boites mails de créées sur Gandi pour ce nom de domaine, dont certaines avaient le même nom (ou alias) que mon nom d’utilisateur (ou alias) sur YNH.
Et, même si elles étaient de fait inutilisées car les mails étant gérés par mon serveur YNH, Gandi transférait quand même les mails vers ces boîtes mails. C’est pour cela que je ne voyais rien dans les logs sur mon serveur YNH et qu’aucune erreur n’était retournée à l’expéditeur.
Donc, même si les enregistrements MX pointent bien vers votre serveur YNH, les mails qui vous sont redirigés par Gandi le sont directement sur votre boîte mail de Gandi si elle existe (ce n’est heureusement pas le cas quand un mail vous est adressé directement venant d’une autre boîte mail gérée par Gandi, là ils sont bien adressés à votre serveur YNH)
