Pfsense DMZ + Postfix serveur: timed out while sending message body



  • Bonjour,

    Suite au remplacement d'un routeur Netasq par une solution Pfsense.
    je rencontre un problème très bloquant avec un serveur de messagerie placé en dmz,
    Lorsque l'on attache une pièce jointe de plus de 10ko à un email , les mails ne partent plus et restent bloqués en file d'attente sur le serveur.
    Sans pièces jointes, les mails partent correctement…

    Le serveur de messagerie est un postfix dont voici un extrait des logs:
    Jun  6 10:32:58 mailhost postfix/smtp[11826]: AEBCF1D7DA: to=xxxxxx@wanadoo.fr, relay=smtp.wanadoo.fr[x.x.X.x], delay=64998,
    status=deferred (conversation with smtp.wanadoo.fr[x.x.x.X] timed out while sending message body)

    Voici la configuration du réseau:

    WEB______Livebox Pro (X.X.X.230) __________(X.X.X.228) PFSENSE (10.0.1.x)_____réseau(10.0.1.X/24)
    |
    (Bridge)

    |
    |DMZ_____ Postfix Server(x.x.x.226)

    Le Bridge concerne
    Interface Members
    BRIDGE0 WAN, DMZ

    les régles de filtrage ont été modifiées afin de tout laisser passer, mais le problème persiste:
    Interface Wan
    Proto Source Port Destination Port Gateway Queue

        • Serveur Postfix * * none
    • Serveur Postfix * * * * none

    Interface dmz
    Proto Source Port Destination Port Gateway Queue
    TCP/UDP * * * * * none
    ICMP * * * * * none

    Auriez vous une idée sur la cause du problème ?/xxxxxx@wanadoo.fr



  • Quelques questions complémentaires :
    1. Qu'est ce qui justifie (nécessite) l'usage d'une configuration en bridge ?
    2. Je déduis que la réception est normale ?
    3. Postfix est le serveur de mail ou un relai ?

    D'une façon générale, j'utilise très souvent ce type d'architecture, sauf le bridge, et je ne rencontre, sur plusieurs sites aucun problème même avec une charge importante.
    Avez vous essayer de faire partir les mails plus tard, en ligne de commande, depuis Postfix ? Rien de particulier dans le main.cf de Postfix ?
    Je pense que non puisque d'après le message Postfix nous serions en face d'un problème réseau.
    Une capture de l' échange smtp (depuis Pfsense puis dans Wireshark) pourrait éventuellement aider à cerner le problème.



  • Le bridge n'est pas très utile, en effet, et donc une source de problème.

    Quand le firewall en est à détailler le contenu du paquet pour vérifier le suivi des paquets, le temps ajouté nécessaire à une réécriture de l'adresse ip source ou destination est vraiment très très minimal !

    Pour l'envoi de mail, il y a 2 choix : relais or not relais.
    Il est rare que le choix "relais" échoue !
    Il n'est pas rare qu'il y ait perte de mail avec le choix "not relais".



  • Merci messieurs pour votre collaboration a la résolution de mon problème.

    Le bridge a été mis en place dans le but de reprendre la configuration du Netasq que nous avons remplacé.
    La configuration de la pfsense s'est entièrement basé sur celle du netasq qui était fonctionnelle.

    Je ne suis pas contre tester une autre configuration si vous pensez que cela peux améliorer les choses.
    Que pensez vous de cette configuration:

    WEB______Livebox Pro (X.X.X.230) __________(X.X.X.228) PFSENSE (10.0.1.x)réseau(10.0.1.X/24) |
                                                                                                |
                                                                                                |(192.168.130.225)
                                                                                                |
                                                                                                |DMZ
    Postfix Server(192.168.130.226)

    En ce qui concerne la reception des mails , je vais remmettre en prod la pfsense ce soir afin de faire des tests. Je n'utilise pas de relais de messagerie, le serveur postfix est l'unique serveur de mail de ce réseau.

    La configuration du serveur Postfix est semble t'il correcte car avec le Netasq, plus de problème d'envoi de mails…
    Je vais en parrélléle tester avec un paramétres différents dans le fichier main.cf:
    smtp_data_xfer_timeout  en passant la valeur par default 180s à 600s

    En réponse à la prposotion de Jdh concenrnant la mise en place d'un relais, je suppose qu'il s'agit du package Postfix Forwarder. Comment dois-je le configurer si toutefois il est vraiment nécéssaire?

    Merci d'avance.



  • J'ai lu "envoi de mail" donc la question "relais" s'entend par le relais du FAI.



  • Je viens d'avoir confirmation que le problème de pieces jointes ne se présentait qu'en émission.
    La reception fonctionnait.

    Voici un extrait des logs Postfix:
    Jun  6 10:32:57 mailhost postfix/smtpd[29566]: disconnect from 109.218.business-adsl.cybersmart.co.za[196.41.109.218]
    Jun  6 10:32:58 mailhost postfix/smtp[11826]: AEBCF1D7DA: to=xxxxxx@wanadoo.fr, relay=smtp.wanadoo.fr[80.12.242.9], delay=64998, status=deferred (conversation with smtp.wanadoo.fr[80.12.242.9] timed out while sending message body)
    Jun  6 10:33:00 mailhost postfix/smtp[11775]: 478C51B389: to=xxxxx@msn.com, relay=mx1.hotmail.com[65.55.37.72], delay=1922, status=deferred (conversation with mx1.hotmail.com[65.55.37.72] timed out while sending message body)
    Jun  6 10:33:03 mailhost postfix/smtp[11791]: 6FFFA1D830: to=<xxxxxx@ yahoo.fr="">, relay=mx-eu.mail.am0.yahoodns.net[77.238.177.9], delay=155148, status=deferred (conversation with mx-eu.mail.am0.yahoodns.net[77.238.177.9] timed out while sending message body)
    Jun  6 10:33:03 mailhost postfix/smtp[11791]: 6FFFA1D830: to=xxxxxxx@yahoo.fr, relay=mx-eu.mail.am0.yahoodns.net[77.238.177.9], delay=155148, status=deferred (conversation with mx-eu.mail.am0.yahoodns.net[77.238.177.9] timed out while sending message body)
    Jun  6 10:33:04 mailhost postfix/smtp[11787]: 6FFFA1D830: to=xxxxxx@gmail.com, relay=gmail-smtp-in-v4v6.l.google.com[173.194.67.27], delay=155149, status=deferred (conversation with gmail-smtp-in-v4v6.l.google.com[173.194.67.27] timed out while sending message body)
    Jun  6 10:33:09 mailhost postfix/anvil[11317]: statistics: max connection rate 7/60s for (smtp:62.160.70.228) at Jun  6 10:29:00
    Jun  6 10:33:09 mailhost postfix/anvil[11317]: statistics: max connection count 1 for (smtp:62.160.70.228) at Jun  6 10:23:15
    Jun  6 10:33:09 mailhost postfix/anvil[11317]: statistics: max cache size 7 at Jun  6 10:26:45
    Jun  6 10:33:43 mailhost postfix/smtpd[14678]: connect from 109.218.business-adsl.cybersmart.co.za[196.41.109.218]
    Jun  6 10:33:43 mailhost postfix/trivial-rewrite[16376]: warning: do not list domain XXXXXXXXXXXX.fr in BOTH mydestination and virtual_alias_domains
    Jun  6 10:33:44 mailhost postfix/smtpd[14678]: NOQUEUE: reject: RCPT from 109.218.business-adsl.cybersmart.co.za[196.41.109.218]: 554 Service unavailable; Client host [196.41.109.218] blocked using sbl-xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=196.41.109.218; from= xxxxxxxxxxx@xxxxxxxxx.comto= xxxxxx@xxxxxxx.frproto=ESMTP helo=<109.218.business-adsl.cybersmart.co.za>
    Jun  6 10:33:44 mailhost postfix/smtpd[14678]: lost connection after DATA from 109.218.business-adsl.cybersmart.co.za[196.41.109.218]
    Jun  6 10:33:44 mailhost postfix/smtpd[14678]: disconnect from 109.218.business-adsl.cybersmart.co.za[196.41.109.218]/xxxxxx@xxxxxxx.fr/xxxxxxxxxxx@xxxxxxxxx.com/xxxxxx@gmail.com/xxxxxxx@yahoo.fr</xxxxxx@>/xxxxx@msn.com/xxxxxx@wanadoo.fr





  • Effectivement, j'ai déjà lu ce poste et je prévois de faire la modification du paramétre smtp_data_xfer_timeout ce soir comme je vous le disais dans mon précédent post.

    smtp_data_xfer_timeout  de 180s à 600s

    Merci encore.



  • La piste du mtu ?



  • La valeur du mtu par défaut est 1500 bytes.
    Quelle valeur préconisez vous?

    Comment savoir si le problème vient de la?



  • Je déconseille de "bricoler" le MTU.

    Je répète : pour l'envoi, LA première question est "relais or not relais".
    Je préconise "relais par le FAI" qui TRES souvent fonctionne immédiatement et bien !

    L'erreur du débutant est de considérer qu'il n'a aucun problème à envoyer en direct.



  • Je voulais savoir ce qu'il en était et je déconseille aussi d'en changer.
    Le test du passage par le relai de votre isp s'impose.



  • Merci messieurs.

    J'ai vérifié le fichier de configuration Postfix, le paramétre relayhost est commenté.
    Si je comprends bien, cela signifie que les mails sortent en direct.

    Je vais donc suivre vos conseils et ajouter le smtp de mon Fai dans la configuration de postfix



  • Bonjour messieurs,

    Mon problème semble réglé!
    Voici les élements que j'ai modifié:

    ->Passage de la valeur smtp_data_xfer_timeout  de la valeur par default 180s à 600s dans le fichier main.cf
    -> Suppression du mode Bridge
    ->Modification de l'adressage ip de la partie Dmz

    Je tiens a vous remercier pour votre aide à la résolution de ce problème.



  • Ouais, ouais …

    Néanmoins, je préconise de passer par le smtp du FAI si vous n'êtes pas une grosse structure et capable de bien sécuriser la totalité du périmètre ...

    Et je répète c'est l'erreur du débutant de ne pas passer par le smtp du FAI



  • Idem. Dans ce qui a été modifié, on ne sait pas ce qui est décisif. Certes cela fonctionne. Personnellement cela m’ennuierait. En effet si votre structure est petite, ce qui semble être la cas, la messagerie en direct ce n'est si simple, c'est même assez lourd à mettre en place sérieusement.


Locked