Bonjour,
 
Je voudrais que les envois autorisés depuis mon serveur postfix soient autorisés qu'à la condition que l'adresse de l'expéditeur soit bien une adresse de mon domaine.
Plus simplement, que personne ne puisse utiliser mon serveur pour envoyer des mails avec comme expéditeur un autre domaine que le mien.
 
 
En effet, lorsqu'un compte utilisateur se fait piraté les pirates s'authentifient avec le compte compromis pour diffuser du spam bien souvent l'adresse expéditrice et autre que celle de mon domaine. Donc je voudrais bloquer cela en imposant que l'envoi depuis mon serveur se fasse par une adresse du domaine.
 
 
Voici une partie de main.cf
------------------------------------------------------------------------------------------------------------------------
# Regles sur les adresses de destination
# permit_sasl_authenticated : Accepter la connexion lorsque le client est authentifie
# reject_non_fqdn_recipient : Refuser les adresses de destinations invalides (non FQDN)
smtpd_recipient_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     reject_non_fqdn_recipient,
     reject_unauth_destination,
     reject_unknown_recipient_domain,
     check_recipient_access hash:/configuration/postfix/recipient_access,
     reject_rbl_client zen.spamhaus.org,
     reject_rbl_client dnsbl.njabl.net,
     reject_rbl_client dnsbl.sorbs.net,
     reject_rbl_client bl.spamcop.net
 
 
# Regles sur l'echange HELO qui survient avant la connexion
# reject_invalid_helo_hostname : Refuser les echanges HELO invalides
# reject_non_fqdn_helo_hostname : Refuser les noms d'hote invalides (non FQDN)
# reject_unknown_helo_hostname : Refuser les noms d'hote qui n'ont pas de champ DNS A ou MX dans leurs DNS.
smtpd_helo_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     reject_invalid_helo_hostname,
     reject_non_fqdn_helo_hostname,
     # reject_unknown_helo_hostname  
 
 
# Regles de connexion des clients
# permit_sasl_authenticated : Accepter la connexion lorsque le client est authentifie
# reject_plaintext_session : Refuser les connexions non securisees
# reject_unauth_pipelining : Refuser les defauts lors de la connexion
# reject_unkown_client : Refuser les machines sans DNS inverse
smtpd_client_restrictions =
     permit_mynetworks,
     permit_inet_interfaces,
     permit_sasl_authenticated,
     reject_unkown_client,
     # reject_plaintext_session,
     # reject_unauth_pipelining
 
 
# Regles sur les expediteurs
# reject_non_fqdn_sender : Refuser les expediteurs invalides (non FQDN)
# reject_unknown_sender_domain : Refuser les expediteurs qui n'ont pas de champ DNS A ou MX dans leurs DNS.
smtpd_sender_restrictions =
     reject_non_fqdn_sender,
     reject_unknown_sender_domain,
     check_sender_access regexp:/configuration/postfix/sender_access
 
 
------------------------------------------------------------------------------------------------------------------------
   
 
Merci d'avance pour votre aide.

Il faut que tu règles smtpd_sender_login_maps (et rajoute au début de smtpd_recipient_restrictions: reject_authenticated_sender_login_mismatch).

Pour ce que u veux faire, une regexp fera l'affaire, mais tu peux aller beaucoup plus loin. Par exemple chez moi le login map utilise LDAP pour vérifier si un utilisateur a le droit d'utiliser une adresse (dans le cas ou le nom d'utilisateur ne correspond pas forcément à son adresse, ou qu'un utilisateur peut utiliser plusieurs adresses).

Bonjour,
 
Merci beaucoup pour ta réponse.
 
C'est une très bonne idée de faire une vérification par le LDAP.
Mais j'ai une erreur...
NOQUEUE: reject: RCPT from unknown[xx.xx.xx.xx]: 553 5.7.1 <julien.roux@entreprise.fr>: Sender address rejected: not owned by user jroux@entreprise.fr; from=<julien.roux@entreprise.fr> to=<julien.roux@entreprise.fr> proto=ESMTP helo=<xx.xx.xx.xx>
 
 
J'ai modifié main.cf :
----------------------------------------------------------------------
smtpd_sender_login_maps = ldap:/configuration/postfix/ldap-loginsasl.cf
 
smtpd_recipient_restrictions =
     reject_authenticated_sender_login_mismatch,
     permit_mynetworks,
     permit_sasl_authenticated,
     reject_non_fqdn_recipient,
     reject_unauth_destination,
     reject_unknown_recipient_domain,
     check_recipient_access hash:/configuration/postfix/recipient_access,
     reject_rbl_client zen.spamhaus.org,
     reject_rbl_client dnsbl.njabl.net,
     reject_rbl_client dnsbl.sorbs.net,
     reject_rbl_client bl.spamcop.net
 
----------------------------------------------------------------------
 
 
Contenu de ldap-loginsasl.cf :
----------------------------------------------------------------------
server_host = ldap://MONSERVEURLDAP
server_port = 389
bind = no
search_base = ou=MONDOMAINE,ou=XXX,o=XXX,c=fr
query_filter = (&(objectclass=inetMailUser)(|(mail=%s)(mailAlternateAddress=%s)(mailEquivalentAddress=%s)))
result_attribute = uid, mail, mailAlternateAddress, mailEquivalentAddress
version = 3
----------------------------------------------------------------------

Dans ldap-loginsasl.cf : result_attribute devrait être le cn ou uid je pense

Je crois que la vérification compare login@domaine et adresse mail, donc il attend une adresse mail correspondant au login (format première lettre du prénom suivi du nom) dans les champs mail, mailAlternateAddress et mailEquivalentAddress.
 
Quand je renseigne un des deux derniers champs (mailAlternateAddress et mailEquivalentAddress) avec une adresse du style login@domaine, ça fonctionne.
 
Or mon adresse mail est de la forme prenom.nom@domaine et les deux autres champs ne sont pas toujours renseigné dans les fiches LDAP.
 
Y a t-il un autre moyen pour que ça fonctionne sans avoir à renseigner la fiche LDAP d'une adresse format login@domaine ?
 
Merci pour ton aide.

En fait ça fait l'inverse, %s correspond à l'adresse email utilisée, et le result_attribute doit être la listes des login autorisés utiliser cette adresse.
 
Dans ton exemple le login_map envoie julien.roux@entreprise.fr et s'attend à ce que tu lui répondes jroux@entreprise.fr (jroux est valable aussi si entreprise.fr est dans $myorigin, $mydestination, $inet_interfaces ou $proxy_interfaces)
Pour résumer result_attribute doit récupérer le champ LDAP qui contient le login.

Merci beaucoup pour ton aide tout fonctionne très bien ! :D
 
J'ai ajouté la ligne "result_format = %u@mon_domaine.fr" dans le fichier ldap-loginsasl.cf est ça a l'air d'être bon.
 
Contenu de ldap-loginsasl.cf :
----------------------------------------------------------------------
server_host = ldap://MONSERVEURLDAP
server_port = 389
bind = no
search_base = ou=MONDOMAINE,ou=XXX,o=XXX,c=fr
query_filter = (&(objectclass=inetMailUser)(|(mail=%s)(mailAlternateAddress=%s)(mailEquivalentAddress=%s)))
result_attribute = uid, mail, mailAlternateAddress, mailEquivalentAddress
result_filter = %u@mon_domaine.fr
version = 3
----------------------------------------------------------------------
 
 
Encore merci.

Bonjour h3bus,
 
Dans le cas où je ne passerais pas par une vérification LDAP, comment faire pour vérifier le domaine de l'expéditeur seulement dans le cas où il y a une authentification ?
 
Merci.

Je mettrai dans le main.cf

 
et dans login_maps.pcre:

 
Si tu as plusieurs domaines tu peux au mettre une ligne par domaine ou mettre un choix multiple dans la regexp.

ou une requête sql si gestion en bdd

Merci h3bus c'est parfait !
Et merci gizmo15 pour l'info

J'ai à nouveau des soucis... Les mails sont rejetés, il me dit que je ne suis pas propriétaire de l'adresse utilisé en expéditeur :
Sender address rejected: not owned by user uid@domaine.fr

Si je me trompe pas la ligne suivante : /^([\w-.]+@domaine.fr)$/ ${1}
dit que n'importe quelle adresse @domaine.fr correspond à l'adresse expéditrice (envoyé en paramètre "${1}" ??), c'est bien ça ?

Je vois pas trop où est le problème surtout qu'il me semblait que cela avait fonctionné.. faux positif ?

C'est quoi ton uid/mail qui foire? Peut-être qu'il ne passe pas la regexp.
As-tu plusieurs domaines servis par postfix?

Nom : Roux
Prénon : Julien
uid : jroux
mail : julien.roux@mon-domaine.fr
 
Un seul domaine de la forme mon-domaine.fr

Ah bah c'est normal, seul l'uid julien.roux fonctionne avec cette regexp.
 
Jroux peut envoyer de jroux@mon-domaine.fr uniquement

Si tu veux juste vérifier le domaine,  login_maps.pcre:

Ça ne fonctionne pas. Il faut mettre le "@" dans la deuxième partie ?
J'ai essayé avec et sans, mais toujours pas.

En théorie ça devrait marcher selon http://www.postfix.org/postconf.5. [...] login_maps (mais j'ai jamais essayé).
T'a bien fait un reload?
 
En tous les cas ça reste dangereux comme conf, car n'importe quel utilisateur authentifié peut utilisé n'importe quelle adresse @mon-domaine.fr
 
Sinon tu peux utiliser un hashtable, ça marche bien aussi si tu as un nombre limité d'adresses (tu dois en avoir une pour les alias maps non?).

Oui j'ai redémarré le service postfix.

On gère environ 250000 boîtes avec pour la plupart 2 adresses mails.
A chaque campagne de phishing quelques personnes se font avoir et les pirates utilisent leur compte pour diffuser beaucoup de spam.
Dans 95% des cas l'adresse expéditrice de ces spams était autre qu'une adresse de notre domaine.

Contrôler ainsi le domaine de l'adresse expéditrice pour les utilisateurs authentifiés était une façon de bloquer en grande partie ce genre diffusion.

Passer par un contrôle via LDAP avait l'air de fonctionner correctement mais le problème étant donné la forme de nos adresses mail, prénom.nom, c'est que la vérification se faisait par l'uid (format "pnom" ).

J'ai fais à nouveau quelques tests pour une vérification par le LDAP et je pense avoir contourner ça avec la configuration suivant (en particulier avec la ligne 7) :

Mais j'ai un doute sur cette configuration, je ne suis pas sûr quelle fasse réellement ce que je veux et que ce soit une "coïncidence" que ça ai l'air de fonctionner.
Je vais tester différents cas de figure pour être sûr que ça fonctionne.