PDA

Voir la version complète : Problème de serveur de mail



Minuteman
16/11/2003, 19h42
Bon, à mon tour d'avoir un problème...c'est peut-être pas le forum optimal pour poster ça mais on sait jamais :)

J'ai chez moi la config réseau suivante:

Internet
.
.
.
Firewall IPcop
.
.
.
Serveur de mail 1 et Serveur de mail 2

Quelques infos sur les IP:
Firewall WAN: 213.221.10.20 (au bol)
Firewall DMZ: 192.168.1.1
Serveur mail 1 privé: 192.168.1.100
Serveur mail 2 privé: 192.168.1.200

Sur le firewall, les serveurs de mail ont aussi une IP publique qui sont
Serveur mail 1 public: 213.221.10.100 forwardé sur 192.168.1.100
Serveur mail 2 public: 213.221.10.200 forwardé sur 192.168.1.200

Jusqu'à ce point, les deux serveurs de mail fonctionnent très bien: ils peuvent envoyer des mails et en recevoir du monde entier sans problème, gentils serveurs :sarcastic:

MAIS j'ai un problème à la con: aucun mail ne passe entre eux. C'est à dire que les utilisateurs situés sur le premier serveur ne peuvent envoyer aucun mail à un utilisateur se trouvant sur le deuxième serveur. Erreur: connection timeout.

Visiblement il s'agit d'un problème de routage (je suppose) au niveau du firewall...

Quelqu'un a une idée lumineuse?

fennec
16/11/2003, 20h20
tu n'as pas plus de logs ?
c'est quoi tes serveur de mail ? t'es sous linux ?

C'est peut être un problème de relaying ? si t'es sous linux regarde POP-before-SMTP, ça peut être t'aider. J'ai pas super bien compris ce que c'est mais c'est facile a installer/virer. J'ai ça qui est installé sur mon serveur.

as tu des nom de domaine attribué a tes serveurs ? si oui en local (pour chaque serveur de mail) essaye de configurer dans etc/hosts:

192.168.1.100 mail1.domaine.com
192.168.1.200 mail2.domaine.com

comme ça peut être que ça passera pas par le firewall. Je pense que les deux serveurs de mail se connaissent l'un et l'autres QUE par leur IP publiques, peut être que IPCOP les bloques ou qu'il faudrait des règles différentes pour les authoriser a se relayer.

bonne chance ;)

Lissyx
16/11/2003, 21h26
t'as essayer de voir déjà si t'arrives à les pingers entre eux?

Minuteman
16/11/2003, 21h35
Ouais, tout est sous linux.
Ce n'est pas un problème de relaying, les serveurs n'arrivent tout simplement pas à se contacter. Ton pop-before-smtp ça sert uniquement à s'authentifier par POP sur le serveur pour ensuite pouvoir utiliser le SMTP, ça n'a rien à voir.

Je peux les pinger entre eux, mais pas faire de traceroute, bizarre non?

javabean34
16/11/2003, 22h40
t'es allé voir sur Ixus ?

Minuteman
16/11/2003, 22h42
Pas encore, je veux d'abord chercher un peu.

Lissyx
16/11/2003, 23h30
t'as bien vérifier que y'ai pas de règles iptables/ipchains qui traine?

et aussi, t'as bien vérifier la config IP ?

fennec
16/11/2003, 23h57
tu as essaye de configurer dans etc/hosts ?

192.168.1.100 mail1.domaine.com
192.168.1.200 mail2.domaine.com

Minuteman
17/11/2003, 13h07
C'est surement une règle iptables du firewall oui, je vais jeter un coup d'oeil à ça.

fennec sec: le hosts marche bien si j'attaque le serveur de mail 2 directement en telnet, mais par contre si j'utilise Postfix depuis le serveur 1, il essaie toujours d'envoyer le mail sur l'adresse publique malgré l'entrée dans le hosts. C'est dû au fait que Postfix envoie le mail au serveur MX spécifié dans le DNS, qu ise trouve être l'adresse publique.

Bref, je vous tiens au courant dès que j'ai résolu ça, The_Mad m'a donné une bonne piste aussi.

J'ai intercepté ça dans le firewall pendant l'envoi d'un mail:

Requête: 192.168.1.200:33284 213.221.x.x:25
Réponse: 192.168.1.100:25 192.168.1.200:33284 [UNREPLIED]

Ce qui est tout à fait correct à part le vilain Unreplied

fennec
17/11/2003, 17h56
Je pense que c'est le forwarding qui pose problème. Mail2 reçoit une connection de l'ip publique mais celle-ci se poursuit en local. Il faudrait se démerder pour que le dns donne l'ip locale, en fait a l'intérieur du réseau les serveur n'ont pas besoin de connaitre l'ip publique.

As-tu ton propre dns ?

Peewee
18/11/2003, 12h57
[doublon]

Peewee
18/11/2003, 13h01
Ni sendmail, ni postfix n'utilise /etc/hosts (sauf au démarage des services pour la résolution IP->Nom des interfaces réseaux locales.)

Et ipforwarding=1 ca peut te servir

Minuteman
18/11/2003, 13h02
fennec: oui, ça amrche si je déclare un MX avec une adresse privée dans le DNS, mais c'est pas top niveau sécurité :)

Peewee: c'est pas si simple que ça, c'est un firewall avec 3 zones distinctes qui ont chacune des règles de communication spécifiques entre elles .p

fennec
18/11/2003, 17h25
fennec: oui, ça amrche si je déclare un MX avec une adresse privée dans le DNS, mais c'est pas top niveau sécurité :)


bhen je vois pas pourquoi c'est pas top? (mais je suis pas un star de la sécuritée non plus)
ton DNS ne te sert qu'a l'intérieur du réseau, donc c'est normal que pour lui mail.truc.com soit résolu en une IP locale. au niveau de la securité, si tu te fait spoofer une de tes IP publique, on pourra pas te piquer tes mail (si le firewall y a survécu).

Minuteman
18/11/2003, 17h36
Non, ce que je voulais dire c'est que la j'ai un DNS publique qui contient 2 entrées MX pour mon domaine, une publiqe et une privée. Donc n'importe qui peut savoir les IP que j'utilise sur mon réseau privé. Bref, ça marche mais c'est de tte façon pas la solution, je vais voir au niveau de iptables sur le firewall.

fennec
20/11/2003, 20h01
Non, ce que je voulais dire c'est que la j'ai un DNS publique qui contient 2 entrées MX pour mon domaine, une publiqe et une privée. Donc n'importe qui peut savoir les IP que j'utilise sur mon réseau privé. Bref, ça marche mais c'est de tte façon pas la solution, je vais voir au niveau de iptables sur le firewall.
:jap:

Minuteman
02/12/2003, 14h28
Bon, visiblement selon les infos que j'ai pu trouver c'est le firewall qui considère ce que je veux faire comme du spoofing donc il bloque. Les recherches continueront quand j'aurai le temps :p

Minuteman
11/12/2003, 11h26
Bon, le solution finale qui marche ça a été de mettre un DNS interne sur le LAN.

javabean34
11/12/2003, 12h43
avec un fwd sur l'extérieur ?

Minuteman
11/12/2003, 21h11
Oui, juste les domaines locaux qui posent problème sont gérés par ce serveur.