Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Réparer le "wrapper" permettant l'envoi de la newsletter de CLUB1

vincent

En ré-activant la fonction PHP mail(), le script d’envoi de la newsletter officielle de CLUB1, est devenu cassé.

Plusieurs pistes proposées par @nicolas pour le réparer :

Ouais à peu près sûr que ça va péter l’envoi de la newsletter de CLUB1. On pourrait corriger le truc avec un binaire setuid, ou bien en changeant le script pour qu’il appelle sudo -u nouvelles mais dans ce cas il faudrait customiser la config de sudo, ce qui est un peu une galère
Sinon je peux aussi ajouter dans exceptions dans la config de Postfix, probablement le plus simple
Le binaire setuid a quand-même l’avantage que tout reste basé uniquement sur les permissions UNIX

(il y en a peut-être d’autres)

nicolas

Juste pour que ça soit clair, c’est pas tellement la réactivation de la fonctionmail() de PHP qui a causé le problème mais plutôt que pour réactiver cette fonction, j’ai au préalable activé une vérification plus stricte des emails envoyés via « pickup » (voir cette réponse stack exchange).

Alors que le script tirait parti du fait qu’il était possible de modifier le From par n’importe quelle valeur jusqu’à présent.

nicolas

Après un test rapide, le binaire setuid ça va pas vraiment le faire tel que, puisque ça change pas le uid (User ID) mais le euid (Effective User ID), donc ça demanderait d’ajouter un support explicite de cette fonctionnalité dans newsletter.

EDIT: ah quoi que en fait peut-être que justement en définissant $USER à la bonne valeur dans le wrapper setuid ça devrait pouvoir le faire justement, sans avoir à toucher à newsletter.

Puisque le euid va être utilisé in fine pour créer le fichier de mail qui va ensuite être « picked up » par Postfix, donc le owner sera bien celui du wrapper, et le From sera set à partir de $USER. Je suis pas absolument certain mais ça devrait le faire.

EDIT2: toujours pas complètement testé, mais wrapper setup fonctionne déjà correctement, reste à tester wrapper send:

// wrapper.go, a wrapper around newsletter, supposed to be SUID "nouvelles"
package main

import (
	"os"
	"os/exec"
	"os/user"
	"strconv"
)

func main() {
	// Get Effective User ID, as the binary is supposed to have the setuid bit set.
	euid := os.Geteuid()
	u, err := user.LookupId(strconv.Itoa(euid))
	if err != nil {
		panic(err)
	}
	// Set environment variables used by newsletter
	os.Setenv("USER", u.Username)
	os.Setenv("HOME", u.HomeDir)
	// Run newsletter
	cmd := exec.Command("newsletter", os.Args[1:]...)
	cmd.Stdin = os.Stdin
	cmd.Stdout = os.Stdout
	cmd.Stderr = os.Stderr
	cmd.Run()
}

J’ai mis une version de ce wrapper avec les bonnes permissions dans /usr/local/sbin/wrapper si tu veux tester @vincent

nicolas

hmmm, je viens de tester et ça fait un truc biieeen chelou, ça arrive à envoyer un mail, mais ça n’utilise pas le From que j’ai défini dans $USER, c’est assez étrange.
En fait en regardant la source c’est normal, je pensais qu’on avait une règle pour utiliser $USER, mais finalement non, ce n’est fait que pour $HOME.
Mais du coup si le mail est parti ça veut dire que l’authentification n’est pas vérifiée comme je l’imaginais. Et aussi je ne comprends pas comment le wrapper a pu fonctionner jusque maintenant ; les mails étaient bien envoyés avec la bonne adresse ? @vincent tu avais utilisé cette version du wrapper ou bien même pas ?

vincent

nicolas Et aussi je ne comprends pas comment le wrapper a pu fonctionner jusque maintenant ; les mails étaient bien envoyés avec la bonne adresse ? @vincent tu avais utilisé cette version du wrapper ou bien même pas ?

Oui je pense que les trois dernières newsletter sont passées par là.

nicolas

hmm bizarre parce que j’ai testé toute à l’heure et la preview était par exemple envoyée avec et vers mon adresse.

nicolas

Bon du coup le binaire setuid ça va vraiment pas le faire, il reste deux possibilités à première vue :

Utiliser sudo -u nouvelles, la conf de sudo est pas super simple, mais ça permettrait de faire ce qu’on veut assez facilement et de continuer à utiliser le groupe mail pour gérer la liste des membres autorisés.
Ajouter une map supplémentaire dans Postfix, plutôt simple, mais ça veut dire un autre fichier de type /etc/aliases_senders à modifier pour gérer la liste des membres autorisés. Il reste aussi à comprendre pourquoi le wrapper actuel ne fonctionne plus ($USER n’est pas respecté).

nicolas

nicolas 1. Utiliser sudo -u nouvelles, la conf de sudo est pas super simple, mais ça permettrait de faire ce qu’on veut assez facilement et de continuer à utiliser le groupe mail pour gérer la liste des membres autorisés.

Du coup je viens de faire ça, avec cette conf :

# /etc/sudoers.d/nouvelles-sudoers
# Allow members of the group "mail" to run newsletter with the user "nouvelles"
# using "sudo -u nouvelles newsletter".
%mail ALL=(nouvelles) /usr/local/bin/newsletter

…mais perso je ne peux pas tester si ça fonctionne vraiment, parce que je pouvais déjà le faire en tant que membre du groupe sudo, @vincent tu peux me dire si ça fonctionne pour toi ?

Normalement tu peux simplement lancer la commande sudo -u nouvelles newsletter pour envoyer et configurer la newsletter CLUB1. On pourra d’ailleurs se passer du wrapper par la suite, un alias suffira, mais on peut aussi juste le garder avec cette simple commande dedans, à voir.

nicolas

J’avais mis à jour newsletter juste après l’envoi de la dernière newsletter on dirait, donc c’est probablement à cause de ça :

$ stat /usr/local/bin/newsletter
  File: /usr/local/bin/newsletter
  Size: 6729464   	Blocks: 13144      IO Block: 4096   regular file
Device: 259,2	Inode: 33947876    Links: 1
Access: (0755/-rwxr-xr-x)  Uid: ( 1000/ nicolas)   Gid: ( 1000/ nicolas)
Access: 2026-05-19 16:33:29.753150592 +0200
Modify: 2026-04-27 14:57:22.317410590 +0200
Change: 2026-04-27 14:57:22.317410590 +0200
 Birth: 2026-04-27 14:57:22.081403449 +0200

Je pensais que c’était peut-être à cause d’une MAJ de ma version de Go, mais visiblement l’implémentation n’a pas changé dans les versions récentes.

nicolas

En ajoutant ce patch le wrapper actuel se comporte comme avant (aucune idée de comment il pouvait fonctionner avant sans ça) :

diff --git a/newsletter.go b/newsletter.go
index 26dcc9b..dbb9260 100644
--- a/newsletter.go
+++ b/newsletter.go
@@ -65,6 +65,11 @@ func New() (*Newsletter, error) {
                return nil, fmt.Errorf("get local user: %w", err)
        }
 
+       username := os.Getenv("USER")
+       if username == "" {
+               username = user.Username
+       }
+
        homeDir := os.Getenv("HOME")
        if homeDir == "" {
                homeDir = user.HomeDir
@@ -78,7 +83,7 @@ func New() (*Newsletter, error) {
        return &Newsletter{
                Config:    config,
                Hostname:  hostname,
-               LocalUser: user.Username,
+               LocalUser: username,
                Mailer:    mailer.Default(),
        }, nil
 }

Et du coup on se retrouve bien avec le comportement attendu avec la nouvelle config de « pickup » :

$ echo "test" | newsletter-club1 send "test"
send error: send preview mail: execute command: exit status 1: sendmail: fatal: nouvelles@club1.fr(1000): not authorized to use sender='nouvelles@club1.fr'
Can't send mail: sendmail process failed with error code 75

Et j’ai bien le même message d’erreur avec le wrapper setuid :(

vincent

nicolas …mais perso je ne peux pas tester si ça fonctionne vraiment, @vincent tu peux me dire si ça fonctionne pour toi ?

Ça a marché pour moi !

$ sudo -u nouvelles newsletter
[sudo] password for vincent: 
      __    __          __   /   __  _/_  _/_    __    __
    /   ) /___)| /| /  (_ ` /  /___) /    /    /___) /   `
___/___/_(___ _|/_|/__(__)_/__(___ _(_ __(_ __(___ _/____v3.0.0-beta.2-3-g1b804c9-dirty___

Usage: newsletter [OPTION]... setup
       newsletter [OPTION]... send SUBJECT [CONTENT_FILE]

Options:
  -h	shorthand for -help
  -help
    	show help message
  -p	preview: limit to a preview (cannot by used with -y)
  -v	verbose: increase verbosity of program
  -version
    	show version
  -y	yes: always answer yes when program ask for confirmation

Le seul défaut que je vois, c’est qu’il m’a redemandé mon mot de passe (c.f. la deuxième ligne du bloc ci-dessus). Un poil dommage, mais c’est vivable. 😅

nicolas

vincent Le seul défaut que je vois, c’est qu’il m’a redemandé mon mot de passe

Oui c’est normal, mais je peux modifier la config pour que tu n’en aies pas besoin. Je l’avais laissé parce que ça me paraissait pas plus mal de bien se rendre compte que c’est pas la newsletter de base.