cricx

tu peux essayer de changer le mtu de ton syno ajoute la ligne MTU=1492 dans /etc/sysconfig/network-scripts/ifcfg-eth0

As-tu bien activé le serveur dlna sur le syno ?

Tu peux utiliser un reverse proxy (mais il te faut un domaine), tu devrais aussi pouvoir utiliser une directive scriptalias ou alias

route add -net tonreseau netmask tonmasque gw tapasserelle dev eth1

Bah non, je suis juste

Man route dans Google devrait te donner la syntaxe

Elles sont toutes en su

Iptables n'a jamais servi

pour spf et domainkeys, c'est plus ou moins abandonné, il faut maintenant utiliser dkim, mais pas de paquets ipkg. il faudrait donc compiler dkim-filter et l'installer sur le syno. quant aux tests de spams, il ne reflètent pas la réalité. La majorité des refus sont liés aux blacklists et rbl, et s'il est possible sur certaines de se délister, ce n'est pas vrai pour toutes (notamment une, utilisé par une grosse société française, qui considère que mon ip faisant partie d'une plage résidentielle doit être bannie). Et également hotmail qui a été un peu plus difficile que les autres. Donc pour l'unique domaine qui ne passe pas, j'utilise un relais, tout le reste étant en direct mx et sans rejet. Pour ajouter un relais pour un domaine ou quelques domaines, créer une table transport de ce type : bureaumachin.com smtp:smtp.free.fr fr.bureaumachin.com smtp:smtp.free.fr faire un postmap dessus, et ajouter transport_maps = hash:/usr/syno/mailstation/etc/transport dans main.cf

oui, ok si tu utilises les dns de dyndns, pas possible avec ceux de godaddy effectivement, un dig sur ton ndd donne ;; ANSWER SECTION: julienghys.eu. 60 IN A 85.26.119.12 ;; AUTHORITY SECTION: julienghys.eu. 86377 IN NS ns4.mydyndns.org. julienghys.eu. 86377 IN NS ns5.mydyndns.org. julienghys.eu. 86377 IN NS ns1.mydyndns.org. julienghys.eu. 86377 IN NS ns2.mydyndns.org. julienghys.eu. 86377 IN NS ns3.mydyndns.org. et pour le mx ;; QUESTION SECTION: ;julienghys.eu. IN MX ;; ANSWER SECTION: julienghys.eu. 43099 IN MX 20 mx2.mailhop.org. julienghys.eu. 43099 IN MX 10 mx1.mailhop.org. Je n'avais pas pensé à cette solution (je n'ai effectivement pas eu besoin de ça, j'ai une ip fixe et je gère donc directement ma zone dns chez mon registrar) il ne manque donc que le ptr... et c'est quand même important (beaucoup de serveurs ou de listes utilisent cette information) (il n'y a pas de fai en belgique qui te permettent d'avoir une ip fixe et un reverse ?)

non, j'ai laissé tomber syno pour ce genre de choses (justement à cause des limitations de ce genre, même si elles ont des solutions). mais je le fais sur mon syno et mes pc linux pour monter les ressources nfs de mon autre nas.

le parefeu linux sait bloquer sur une ip et un port de destination ou sur une interface, mais je ne crois pas que l'interface dsm le permette. si tu veux le faire "à la main", cherche sur internet avec le mot clé iptables

il faudra que tu m'expliques comment tu peux avoir un type A avec un vrai domaine et une ip dynamique... à moins que ton domaine soit un sous-domaine de dyndns (et là, pas terrible comme adresse mail tartempion@sousdomaine.dyndns.com). mais c'est vrai que tu n'as pas précisé de quel type était ton domaine (en général, quand on parle de domaine, on parle d'un "vrai" nom de domaine de type domaine.tld) en fait, quand on y pense, free c'est bien (ip fixe + ptr, même en non dégroupé et au même prix) bien aussi chez ovh (no!box à 19.96€ TTC ou no!tv à 23.92€ TTC)

non, le spf ne suffit pas (et il n'est pas vraiment utile avec une IP dynamique !) donc oui, tu es un peu obligé d'utiliser un relais. à quoi bon avoir son propre serveur alors ? (pour l'envoi, s'entend) Autant utiliser directement le serveur du fai ou de gg

on peut très bien avoir deux ports rj45 sur deux réseaux différents (c'est le cas dans tous les routeurs). Dans beaucoup d'applications on peut spécifier l'interface ou le réseau. Mais il faut que l'interface de gestion permette cette configuration. Vu depuis internet avec une seule ip externe, on ne pourra jamais utiliser les 2*65536 sockets possibles mais seulement 65536. Il n'y a bien dans tous les cas qu'une unique plage de ports par IP (65536 ports). nota : les deux cartes réseaux peuvent très bien être sur le même réseau (mais avec une ip différente, bien sûr). En fait, il faut plutôt penser socket (IP+port) que port.

la solution la plus simple est de ne pas utiliser de relais ! c'est ce que je fais et je n'ai aucun problème. mais si tu y tiens absolument et que le relais de ton fai n'est pas fiable, tu peux utiliser fallback_relay = [smtp.gmail.com]:587 après avoir mis dans main.cf smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd et créé le hash de ton mot de passe gmail sinon, pourquoi ne pas utiliser le smtp de gmail directement ?

OK pour l'interdiction de nat vers le port 25, tu n'en avais pas parlé... il faut tout dire ! Mais je serais toi, j'utiliserai la box en bridge avec un routeur derrière (ce que j'ai fait chez moi) pour revenir à smtpd_tls_security_level may : When TLS encryption is optional in the Postfix SMTP server, do not announce or accept SASL authentication over unencrypted connections (postfix n'annonce pas ni n'accepte d'authentification sur des connexions non authentifiées -> si pas tls/ssl, pas d'auth, ce qui n'implique pas en soi le rejet de la connexion non authentifiée. C'est bien la règle du main.cf permit_sasl_authenticated et reject_unauth_destination qui jouent leur rôle. Ce qui tendrait à faire penser qu'une simple ligne submission inet n – n – – smtpd aurait le même effet. attention aux règles de filtrage comme reject_unknown_reverse_client_hostname (ça arrive chez les gens très bien). je te mets ci-dessous mes règles (minimalistes, mais efficaces) : broken_sasl_auth_clients = yes smtpd_sasl_auth_enable = yes smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination smtpd_sender_restrictions = reject_unknown_sender_domain smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_pipelining, sleep 5, reject_rbl_client zen.spamhaus.org smtpd_sasl_authenticated_header = yes smtpd_tls_security_level = may #en option, filtrage des malwares #body_checks = regexp:/usr/syno/mailstation/etc/malwareblocklist [/code] note l'usage de la liste de filtrage zen.spamhaus.org attention encore : la ligne permit_mynetworks ne parle pas des utilisateurs de ton domaine, mais des postes de ton réseau local smtpd_sender_restrictions = reject_unknown_sender_domain : ça rejete les mails dont le domaine [b]expéditeur[/b] est inexistant dès lors que tu as une règle permit_sasl_authenticated, les utilisateurs authentifiés pourront toujours utiliser ton serveur. Une règle permit_mynetworks permettra aux utilsateurs de ton réseau local, même non authentifiés, à utiliser ton serveur. Ce sont donc des règles d'usage de ton serveur pour l'envoi de messages. Les autres règles qu'on ajoute en général visent à limiter les spams (vérification du ptr, du ehlo, du domaine expéditeur...) sans provoquer de charge processeur comme avec l'antispam (les messages sont rejetés avant transfert). Tu as beaucoup de littérature à ce sujet sur internet, tu peux configurer ton serveur aux petits oignons ! Mais ce n'est pas toujours suffisant : les quelques spams que je reçois transitent par le serveur mx secondaire (celui de nas-forum) qui a des règles de filtrage plus élastiques (les messages sont bien repérés comme spams, mais pas rejetés)

le parefeu devrait savoir le faire... mais je ne comprend pas pourquoi bloquer un port en particulier...

le port submission sert à soumettre un mail au serveur -depuis un client pour l'envoyer- et pas à recevoir les mails de ton domaine. je persiste à dire que cette manip est inutile (je l'utilise personnellement pour une raison bien particulière : connecté en wifi sur une freebox, le port 25 sortant est bloqué par défaut, j'utilise donc le port 587 sur mon smartphone), il suffit de rediriger le port externe vers le 25 interne. avec smtpd_tls_security_level = may, tu dis à postfix que l'encryptage tls est optionnel. Avec smtpd_tls_auth_only=yes tu forces l'usage de tls s'il y a authentification. Avec smtpd_sasl_auth_enable=yes, tu actives l'authentification via sasl. il n'y a là aucune règle interdisant la connexion sans authentification (ce sont alors les règles de main.cf qui s'appliquent). Quel intérêt alors à faire cette manip, qui a comme seule conséquence d'ouvrir un deuxième port (fait un netstat -ta pour le vérifier) si tu peux rediriger ton port externe sur le 25 ? ça ne serait utile que dans l'impossibilité (au niveau de ton routeur) de rediriger un port sur un autre. ceci dit, ta conf semble correcte au niveau openrelay (mais cela ne vient pas de ton activation de submission, puisque tu as supprimé la fameuse ligne -o smtpd_client_restrictions=permit_sasl_authenticated,reject qui rejetait toute connexion non authentifiée. enfin, tu fais comme tu veux ! ceci dit, tu as plus de deux ports ouverts : nmap tondomaine Starting Nmap 5.00 ( http://nmap.org ) at 2012-05-29 12:48 CEST Interesting ports on ton ip Not shown: 995 filtered ports PORT STATE SERVICE 443/tcp open https 587/tcp open submission 993/tcp open imaps 1723/tcp open pptp 6881/tcp open bittorrent-tracker la dernière ligne, c'est mal et pas sécurisé...

si ton forum est sur ton syno et que tu veux employer ton serveur smtp, inutile d'utiliser l'authentification, tu mets juste localhost ou 127.0.0.1 pour l'adresse du serveur.

tu peux ajouter la ligne qui va bien dans fstab 192.168.1.5:/share /volume1/patrick/nfs_mount/ nfs defaults 0 1

ton explication était incomplète au départ, manifestement ça va mieux maintenant ! En résumé : - ton port 25 entrant est bloqué par ton fai, tu utilises donc un service de passerelle smtp, qui reçoit les mails de ton domaine et les renvoie vers ton syno sur un port différent - tu es attaché à la sécurité de ton syno, qui ne semble pour l'instant te servir (côté internet) que pour les mails - le syno embarque un serveur smtp (postfix) configuré pour accepter les connexions authentifiées (pour éviter que le serveur smtp soit utilisé par des spammeurs). Du fait du transfert du mot de passe, la connexion doit être cryptée pour éviter qu'il puisse être sniffé, d'où l'emploi de starttls (sur port 25). Il s'agit bien là de la connexion d'un client voulant envoyer un mail, et pas de la communication entre serveurs smtp qui n'est pas cryptée et s'effectue aussi sur le port 25 (donc le transfert des mails entre serveurs smtp est en clair !) - tu as configuré le port submission (587), tu as fait ça comme il faut, mais ce n'était pas utile (il suffisait de rediriger le port 2525 vers le 25), sachant que pour recevoir les mails, ssl/tls ne sont pas utilisés, et que la conf de base du syno est correcte pour envoyer les mails (authentification, et starttls sur port 25). - pour VRFY, tu as bien fait de le désactiver - pour imap over ssl, OK, c'est ce qu'il faut faire depuis l'extérieur pour éviter que le mot de passe soit sniffé. Après, le contenu des mails qui transitent... - effectivement, si tu n'utilises que smtp et imaps, seuls deux ports doivent être ouverts. Ta configuration de submission me semble douteuse, dans la mesure où tu n'impose pas l'authentification. Habituellement, on met cela : submission inet n - - - - smtpd -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject Je ne suis pas spécialiste de postfix, et dans le domaine de la sécurité, il vaut mieux avoir affaire à des spécialistes. Tu peux cependant essayer de tester ton serveur sur l'un des nombreux sites dédiés à cet usage, ou alors en te connectant en telnet à ton serveur et en essayant d'envoyer un mail sans t'authentifier : telnet tonserveur 587 220 tonserveur ESMTP helo test.fr 250 "HELO OK." mail from: toto@test.fr 250 "MAIL FROM OK." rcpt to: nimportequi@nimportequoi.com tu devrais avoir une réponse négative (erreur 550) (à faire depuis l'extérieur)

Le transport des mails entre serveurs smtp se fait normalement sur le port 25 (non crypt

Achete un wdtv live et ton probl

Il te faut remplacer http://192.168.1.15/wordpress par http://erialos.dsmynas.com/wordpress