[resolu] (Exim3) Relai ouvert ou non? Solutions possibles?

[braouazou]

Bonjour,

Je viens de tester mon serveur smtp perso. tournant sous debian et exim 3 (je sais, il faut vraiment que je migre vers Exim 4 ou postfix...) avec l'adresse donnée par jibe sur ce post: viewtopic.php?t=17919&postdays=0&postorder=asc&start=30

Et, pour la première fois (après l'avoir testé sur d'autres sites), j'ai comme résultat que mon serveur est un open relay!
En effet, le 26è test me donne le résultat suivant:

Code: Tout sélectionner

>>> RSET
<<< 250 Reset OK
>>> MAIL FROM: <test@[@IP]>
<<< 250 <test@[@IP]> is syntactically correct
>>> RCPT TO: <spam.com!test@mon.dyndns.org>
<<< 250 <spam.com!test@mon.dyndns.org> verified


Ce qui me parait logique, puisque j'accepte le relai vers mon propre domaine Dydns... et j'ai un catchall me permettant de récupérer tous les mails.

Donc, je ne sais pas quoi penser: mon serveur est-il réellement un relai ouvert??
Si oui, que puis-je faire pour le fermer, supprimer le catchall?

Merci par avance pour vos réactions et commentaires!

[braouazou]

Bon, de retourà la maison, j'ai refait quelques tests et essayé de comprendre un peu...

En testant avec mon nom dyndns, le test arrive à la conclusion que mon serveur est un relai ouvert. Avec mon IP dy moment, non (logique si je comprends bien car dans ce cas, le reverse dns indique le nom de Wanadoo, mon FAI).

J'ai vérifié ma configuration, et je n'ai rien trouvé de choquant... Je ne permets le relai d'aucun domaine (bien sûr, à l'exception des domaines locaux, mais je en vois pas comment faire autrement), et l'accepte uniquement depuis mon réseau local (192.168.1.0/24), et du loopback.

J'ai essayé de changer pour mettre l'adresse de ma passerelle IPCop coté Green (mon serveur est dans la dmz), mais aucun changement (normal si je suis mon raisonnement).

J'ai tendance à penser que ce comportement est tout à fait normal... A tord ou à raison?!??

Merci pour votre aide!!


Edit: j'ai également essayé d'enlever mon catchall, mais cela ne change rien non plus..

[braouazou]

Bon, j'ai pris le temps de migrer vers Exim 4.2. Je redoutais un peu, mais tout s'est très bien passé. J'essayerai d'écrire un petit tutoriel ce week-end, car j'ai trouvé assez peu d'infos pertinentes décrivant l'ensemble du processus: installation, configuration, interaction avec amavis et spamassassin.

Maintenant, lorsque je fais le test cité plus haut, j'ai une réponse plus que simple: "trop d'erreurs", après quelques avertissements "Erreur: mauvaise réponse SMTP".

Alors je ne suis pas certain: soit mon serveur renvoit de mauvaises informations, soit il bloque la connexion en raison des erreurs provoquées par le script...

D'autres tests trouvés par Google me confirment que mon serveur n'est pas un relai ouvert! Ouf

Si quelqu'un a quelques infos supplémentaires pour finir mon monologue

[jibe]

Salut,

Sorry, je découvre ton monologue ce matin seulement...

Le test de Thibaut est assez vache... Il me semble que j'avais trouvé des explications sur chacun des tests. Un peu pressé pour retrouver ça maintenant, reposte (ou MP) si tu ne trouves pas.

J'avais testé ma FreeEOS et trouvé une faille lors du tout dernier test. Une petite modif du firewall m'a permis d'y remédier, mais Thibaut m'avait dit de ne pas m'affoler. En effet, le cas était si particulier que le risque était vraiment minime ! Plus on avance dans les tests, plus on tente des relaying dans des conditions assez particulières. DOnc, si on n'est pas trop à cheval sur ce point, on peut considérer que si les premiers tests sont Ok, on est déjà relativement tranquille de ce côté. Mais c'est sûr que si on ne passe pas tout, on a des failles qui restent...

En retrouvant les conditions dans lesquelles tu autorises le relaying, tu verras si tu considères que c'est gênant ou pas. Et en comprenant la façon de pirater ton SMTP, tu pourras peut-être en déduire la parade...

Bon, j'essaierai de suivre plus attentivement ce sujet dorénavant !

[braouazou]

Merci jibe pour ta réponse.
J'aurais pensé que ce n'était pas très grave, mais l'installation de exim4 me permet de voir que le problème est résolu, donc plus de problème pour moi

La version 3, MTA par défaut de Woody, n'est plus maintenue par l'équipe de développement, sauf en cas de découverte d'une énorme faille... Ce n'est peut-être pas pour rien

Merci encore!

@++

[jibe]

La version 3, MTA par défaut de Woody, n'est plus maintenue par l'équipe de développement, sauf en cas de découverte d'une énorme faille...

Preuve donc que ton problème d'open relay n'était pas une énorme faille !

Mais bon, c'est toujours mieux d'être à jour dans les versions, la preuve !

[tomtom]

Bah ...

Code: Tout sélectionner

Tous les tests ont été réussis, le serveur n'est pas un relais ouvert.
Temps CPU: 0ms - 84 requêtes SMTP
ESMTP: oui - TLS: non - AUTH: non - MTA: Exim;
Temps moyen : 0.17sec - Plus lent : 0.92sec - Plus rapide : 0.10sec


et pourtant...

Code: Tout sélectionner

220 Tekila ESMTP Exim 3.35 #1 Thu, 29 Jul 2004 10:53:12 +0200 


Je vous laisse deviner l'OS

Ce qui est important, avbec les MTA, c'est de comprendre chaque ligne de ce que l'on configure, et de savoir pourquoi elle est la. Rien ne doit etre laisse au hasard !

t.

[braouazou]

Tout à fait exact tomtom
Et c'est loin d'être mon fort...

Cependant, nous n'avons peut-être pas la même utilité de ce MTA, et donc forcément pas la bonne configuration. Dans ce cas précis, je ne sais pas, et je pense ne pas avoir gardé mon fichier de configuration, mais je regarderai ce soir, ça pourrait être intéressant pour moi

Merci encore pour tes infos!

[tomtom]

C'est sur, c'est assez conplique, et j'apprecie exim justement pour sa relative simplicite de configuration.

A ta decharge, l'utilisation de dyndns complique le probleme pour les serveurs de mails !

t.

[braouazou]

Dans tous les cas, cela m'a permis de découvrir Exim 4, et surtout le découpage des fichiers de configuration "façon Debian", et, après un petit temps d'adaptation, on ne saurait plus s'en passer!

@++