[postfix] sécuriser les informations pour le serveur smtp du FAI
Swiss Knight
Messages postés
1956
Date d'inscription
Statut
Membre
Dernière intervention
-
cocoche95 Messages postés 1134 Date d'inscription Statut Contributeur Dernière intervention -
cocoche95 Messages postés 1134 Date d'inscription Statut Contributeur Dernière intervention -
Salut,
question toute simple s'il en est : pour pouvoir envoyer des mails avec postfix sous Linux, il faut apparemment passer par l'hôte relai (smtp) du FAI, sans quoi ce n'est purement et simplement pas possible (je ne comprendrai jamais pourquoi, bref).
La question est donc la suivante :
Lors du paramétrage de la connexion au serveur sortant de notre FAI, il faut donner à postifx les données d'accès à ce serveur dans un fichier sous forme login:motdepasse*.
Puis "hasher" ce fichier pour en faire une table.
Comment rendre ces données illisibles, comprendre par là, "comment les crypter" (parce qu'elles sont écrites en clair) ?
Merci !
*Effectivement, quel FAI accepte encore aujourd'hui une simple connexion en smtp pour les mails sortant ?! Ils demandent tous une authentification à cause de l'envoi de messages non désirés...
question toute simple s'il en est : pour pouvoir envoyer des mails avec postfix sous Linux, il faut apparemment passer par l'hôte relai (smtp) du FAI, sans quoi ce n'est purement et simplement pas possible (je ne comprendrai jamais pourquoi, bref).
La question est donc la suivante :
Lors du paramétrage de la connexion au serveur sortant de notre FAI, il faut donner à postifx les données d'accès à ce serveur dans un fichier sous forme login:motdepasse*.
Puis "hasher" ce fichier pour en faire une table.
Comment rendre ces données illisibles, comprendre par là, "comment les crypter" (parce qu'elles sont écrites en clair) ?
Merci !
*Effectivement, quel FAI accepte encore aujourd'hui une simple connexion en smtp pour les mails sortant ?! Ils demandent tous une authentification à cause de l'envoi de messages non désirés...
A voir également:
- [postfix] sécuriser les informations pour le serveur smtp du FAI
- Entrer les informations d'identification reseau - Guide
- Reconsidérer le traitement de vos informations à des fins publicitaires - Accueil - Réseaux sociaux
- Changer serveur dns - Guide
- Serveur dns gratuit - Guide
- Serveur entrant et sortant - Guide
4 réponses
Salut, ça n'y répond qu'à moitié.
Admettons qu'on accède depuis une autre machine dans le dossier contenant un mot de passe en clair : y a plus de droit d'accès ni rien donc on peu le lire sans problème.
mais merci pour le lien, à défaut de mieux je ferai ça (c'est déjà automatiquement fait comme ça par postfix d'ailleurs je crois) .
Sans compter que j'ai sans cesse le même retour d'erreur du serveur du FAI :/
"Si vous ne pouvez expliquer un concept à un enfant de six ans, c'est que vous ne le comprenez pas complètement." -A. Einsten-
Admettons qu'on accède depuis une autre machine dans le dossier contenant un mot de passe en clair : y a plus de droit d'accès ni rien donc on peu le lire sans problème.
mais merci pour le lien, à défaut de mieux je ferai ça (c'est déjà automatiquement fait comme ça par postfix d'ailleurs je crois) .
Sans compter que j'ai sans cesse le même retour d'erreur du serveur du FAI :/
"Si vous ne pouvez expliquer un concept à un enfant de six ans, c'est que vous ne le comprenez pas complètement." -A. Einsten-
En fait c'est mal expliqué mais à un moment il fait un "postmap hash:/etc/postfix/password".
Ce qui transforme le fichier avec les mots de passe en clair vers hash. Après si ton mot de passe est facile, le hash peut se retrouver facilement (genre recherche google).
J'ai pas vu de possibilité de chiffrer les pass ...
Ce qui transforme le fichier avec les mots de passe en clair vers hash. Après si ton mot de passe est facile, le hash peut se retrouver facilement (genre recherche google).
J'ai pas vu de possibilité de chiffrer les pass ...
D'accord, le hashage c'est de toute évidence pas une méthode de cryptographie je crois.
C'est ennuyeux tout ça.
M'enfin... je viens de me rendre compte d'une chose très bête :
- on ne peut pas envoyer de mail depuis un poste "privé" (l'ordinateur de monsieur-tout-monde avec postfix installé ou tout autre agent de transfert) parce que le port 25 est bloqué en sortie.
- il faut donc passer par le relay de son FAI
- et si ce relay fonctionne, il faut maquiller son adresse mail de base parce que le serveur de destination va la blacklister si elle ne fait pas partie d'un domaine "connu"
- on maquille donc en un truc du genre : adresse_bidon@serveur.connu (gmail ou autre)
- la personne reçoit le message mais elle voit que c'est adresse_bidon@serveur.connu (gmail ou autre) qui a envoyé, et ce sera indiqué nul part la provenance exacte (i.e. de la machine "privée" de base) ... Elle répondra donc @ l'adresse bidon. Ce qui est très con surtout si c'est une adresse qui existe et qui ne nous appartient pas.
- on indique donc une adresse bidon qui nous appartient : mon_adresse_bidon@serveur.connu (gmail ou autre)
- la personne qui reçoit le mail envoyé depuis la machine "privée" peut donc répondre à cette adresse, et nous on reçoit sa réponse uniquement à l'adresse bidon...
Donc, pour caricaturer, c'est comme si on avait RIEN fait sur sa machine personnelle. On aurait eu meilleur temps d'envoyer le mail directement depuis le webmail de mon_adresse_bidon@serveur.connu.
L'utilité d'un serveur de mail pour un particulier relève donc du néant ou ai-je loupé un truc ?!?
...
C'est ennuyeux tout ça.
M'enfin... je viens de me rendre compte d'une chose très bête :
- on ne peut pas envoyer de mail depuis un poste "privé" (l'ordinateur de monsieur-tout-monde avec postfix installé ou tout autre agent de transfert) parce que le port 25 est bloqué en sortie.
- il faut donc passer par le relay de son FAI
- et si ce relay fonctionne, il faut maquiller son adresse mail de base parce que le serveur de destination va la blacklister si elle ne fait pas partie d'un domaine "connu"
- on maquille donc en un truc du genre : adresse_bidon@serveur.connu (gmail ou autre)
- la personne reçoit le message mais elle voit que c'est adresse_bidon@serveur.connu (gmail ou autre) qui a envoyé, et ce sera indiqué nul part la provenance exacte (i.e. de la machine "privée" de base) ... Elle répondra donc @ l'adresse bidon. Ce qui est très con surtout si c'est une adresse qui existe et qui ne nous appartient pas.
- on indique donc une adresse bidon qui nous appartient : mon_adresse_bidon@serveur.connu (gmail ou autre)
- la personne qui reçoit le mail envoyé depuis la machine "privée" peut donc répondre à cette adresse, et nous on reçoit sa réponse uniquement à l'adresse bidon...
Donc, pour caricaturer, c'est comme si on avait RIEN fait sur sa machine personnelle. On aurait eu meilleur temps d'envoyer le mail directement depuis le webmail de mon_adresse_bidon@serveur.connu.
L'utilité d'un serveur de mail pour un particulier relève donc du néant ou ai-je loupé un truc ?!?
...
Non t'as rien loupé, t'es en plein dedans (malheureusement) ...
Si tu veux ton propre serveur mail -> serveur dédié sur le net. Oui, oui, de chez toi tu peux pas envoyer via le port 25 mais depuis le net c'est open bar ! La quasi totalité des serveurs mails communiquent entre eux via le port 25 en clair ! Le SSL et 465 c'est que entre le particulier et son serveur = ça sert à rien ...
Si tu veux ton propre serveur mail -> serveur dédié sur le net. Oui, oui, de chez toi tu peux pas envoyer via le port 25 mais depuis le net c'est open bar ! La quasi totalité des serveurs mails communiquent entre eux via le port 25 en clair ! Le SSL et 465 c'est que entre le particulier et son serveur = ça sert à rien ...
