[resolu] Postfix : sécuriser

[Kane]

Salut,

alors voilà mon problème. J'ai un serveur postfix qui est MX de mon domaine toto.net (exemple hein). J'ai fait tout le paramétrage contre l'open relay et tout ca mais il m'arrive un truc bizarre : j'ai un compte administrateur (Dieu, sans droits particuliers) qui recoit tous les mails destinés aux comptes génériques, cron... hors on arrive à m'envoyer sur spam dessus.
Le mail que je recoit est envoyé par dieu@toto@net pour dieu@toto.net contenant des $%#&! de spam.

Je sais que je peux attaquer en telnet mon serveur (comme tout serveur de messagerie) mais il est paramétré pour un ehlo et tout ca... je vous mets ma config (main.cf) :

Code: Tout sélectionner

# See /usr/share/postfix/main.cf.dist for a commented, more complete version

mymx = mail.toto.net

smtpd_banner = $mymx ESMTP
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h


# Nom de domaine
# Ce paramètre ne sert pas directement, mais peut être utilisé par la suite.
mydomain = interne.net

# Nom d'hôte
# Ce paramètre ne sert pas directement, mais peut être utilisé par la suite.
myhostname = $mymx

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = $myhostname, localhost.$mydomain, $mydomain, localhost, $myorigin

#Pour les SMTP qui refusent le mien
transport_maps = hash:/etc/postfix/transport_maps

# domaine virtuel
# virtual_alias_domains = toto.net
# virtual_alias_maps = hash:/etc/postfix/virtual

# réécriture d'adresses
sender_canonical_maps = hash:/etc/postfix/sender_canonical
recipient_canonical_maps = hash:/etc/postfix/recipient_canonical

# effacer le nom de la machine expéditrice
header_checks = regexp:/etc/postfix/header_checks

# protection open relay
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination,check_relay_domains
relay_domain = toto.net

smtpd_helo_restrictions = permit_mynetworks,reject_unknown_hostname

# test
# smtpd_sender_restrictions = reject_unknown_sender_domain


# Active l'authentification pour le serveur SMTP de postfix
smtpd_sasl_auth_enable = yes
# Pour corriger le bug de certains client (Outlook...)
broken_sasl_auth_clients = yes
# Desactive le mode anonyme
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =

# Use AMaVis
content_filter = amavis:[127.0.0.1]:10024

relayhost =
mynetworks = 127.0.0.0/8, 10.10.1.0/24, 10.10.2.0/24
# mailbox-command = /usr/bin/procmail -Y -a $DOMAIN
mailbox_size_limit = 0
home_mailbox = Maildir/
recipient_delimiter = +
inet_interfaces = monserver.$mydomain, localhost

# Destinataires des messages d'erreurs
2bounce_notice_recipient = postmaster
address_verify_sender = postmaster
bounce_notice_recipient = postmaster
delay_notice_recipient = postmaster
error_notice_recipient = postmaster


si vous avez une idée, merci d'avance

[Walkyrie_II]

mynetworks = 127.0.0.0/8, 10.10.1.0/24, 10.10.2.0/24

Si vraiment tu ne veux pas de relaying ouvert et si tu as une authentification SASL pour tes utilisateur locaux, met en ip/32 pour network,


pour sasl il semble manque le reject par defaut
ex :
permit_sasl_authenticated=
permit_sasl_authenticated,
permit_auth_destination,
permit_mynetworks,
reject_unauth_destination,
reject

[Kane]

ok merci, je regarde ca

[Kane]

bon j'ai toujours le meme problème. Un mail provenant de ce site http://www.broadcastemailingagency.com/

Le mail vient de dieu@toto.net pour dieu@toto.net. Et selon le log de postfix, il est envoyer de mon propre Mx (mail.toto.net).

J'arrive a faire ce genre de chose en me connectant en telnet sur ma machine, donc ils doivent utiliser une technique similaire non ?

Et mon souci doit aussi etre lié au SASL vu que ca me demande pas de mot de passe quand je le fais en telnet à distance...

[Franck78]

Quel est le problème? Ton postfix gère 'toto.net' et recoit un mail pour 'xyz@toto.net'. Quoi de plus normal...

[Kane]

mon problème est que ce mail est du spam, qu'il est envoyé de xyz@toto.net pour xyz@toto.net.

Aller je mets le log de postfix en changeant les infos perso :

Code: Tout sélectionner

Oct 19 00:21:38 monserveur postfix/smtpd[2478]: connect from 201-0-39-170.dsl.telesp.net.br[201.0.39.170]
Oct 19 00:21:45 monserveur postfix/smtpd[2478]: E445371C5B: client=201-0-39-170.dsl.telesp.net.br[201.0.39.170]
Oct 19 00:21:54 monserveur postfix/cleanup[2481]: E445371C5B: message-id=<20061018222144.E445371C5B@mail.toto.net>
Oct 19 00:21:54 monserveur postfix/qmgr[2232]: E445371C5B: from=<dieu@toto.net>, size=533, nrcpt=1 (queue active)
Oct 19 00:21:54 monserveur spamd[2054]: connection from localhost.localdomain [127.0.0.1] at port 32799
Oct 19 00:21:54 monserveur spamd[2054]: info: setuid to dieu succeeded
Oct 19 00:21:54 monserveur spamd[2054]: processing message <20061018222144.E445371C5B@mail.toto.net> for dieu:1002.
Oct 19 00:21:54 monserveur spamd[2054]: clean message (1.2/2.0) for dieu:1002 in 0.6 seconds, 514 bytes.
Oct 19 00:21:54 monserveur spamd[2054]: result: .  1 - ALL_TRUSTED,AWL,MISSING_SUBJECT,NO_REAL_NAME,UNWANTED_LANGUAGE_BODY scantime=0.6,size=514,mid=<20061018222144.E445371C5B@mail.toto.net>,autolearn=ham
Oct 19 00:21:55 monserveur postfix/pipe[2482]: E445371C5B: to=<dieu@toto.net>, relay=spamassassin, delay=11, status=sent (mail.toto.net)
Oct 19 00:21:55 monserveur postfix/pickup[2472]: 1AC8271C60: uid=1002 from=<dieu@toto.net>
Oct 19 00:21:55 monserveur postfix/qmgr[2232]: E445371C5B: removed
Oct 19 00:21:55 monserveur postfix/cleanup[2481]: 1AC8271C60: message-id=<20061018222144.E445371C5B@mail.toto.net>
Oct 19 00:21:55 monserveur postfix/qmgr[2232]: 1AC8271C60: from=<dieu@toto.net>, size=777, nrcpt=1 (queue active)
Oct 19 00:21:55 monserveur postfix/smtpd[2489]: connect from localhost.localdomain[127.0.0.1]
Oct 19 00:21:55 monserveur postfix/smtpd[2489]: 4BB5871C5B: client=localhost.localdomain[127.0.0.1]
Oct 19 00:21:55 monserveur postfix/cleanup[2481]: 4BB5871C5B: message-id=<20061018222144.E445371C5B@mail.toto.net>
Oct 19 00:21:55 monserveur postfix/smtpd[2489]: disconnect from localhost.localdomain[127.0.0.1]
Oct 19 00:21:55 monserveur amavis[2043]: (02043-03) Passed, <dieu@toto.net> -> <dieu@toto.net>, Message-ID: <20061018222144.E445371C5B@mail.toto.net>, Hits: -
Oct 19 00:21:55 monserveur postfix/qmgr[2232]: 4BB5871C5B: from=<dieu@toto.net>, size=837, nrcpt=1 (queue active)
Oct 19 00:21:55 monserveur postfix/smtp[2486]: 1AC8271C60: to=<dieu@toto.net>, relay=127.0.0.1[127.0.0.1], delay=1, status=sent (250 2.6.0 Ok, id=02043-03, from MTA: 250 Ok: queued as 4BB5871C5B)
Oct 19 00:21:55 monserveur postfix/local[2490]: 4BB5871C5B: to=<dieu@toto.net>, relay=local, delay=0, status=sent (delivered to maildir)
Oct 19 00:21:55 monserveur postfix/qmgr[2232]: 1AC8271C60: removed
Oct 19 00:21:55 monserveur postfix/qmgr[2232]: 4BB5871C5B: removed
Oct 19 00:22:03 monserveur postfix/smtpd[2478]: disconnect from 201-0-39-170.dsl.telesp.net.br[201.0.39.170]



note : quand je regarde les logs en envoyant un mail de ma messagerie wanadoo sur mon propre serveur, on voit :

Code: Tout sélectionner

Oct 19 15:02:04 monserveur postfix/smtpd[2458]: connect from smtp20.orange.fr[193.252.22.29]
Oct 19 15:02:04 monserveur postfix/smtpd[2458]: 72E7671C5B: client=smtp20.orange.fr[193.252.22.29]
Oct 19 15:02:04 monserveur postfix/cleanup[2461]: 72E7671C5B: message-id=<45377615.3000502@wanadoo.fr>
Oct 19 15:02:04 monserveur postfix/smtpd[2458]: disconnect from smtp20.orange.fr[193.252.22.29]


et seulement ensuite le mail est traité par postfix. Alors que la haut, la connexion reste établie tout le tmeps du traitement...

[Franck78]

Ca aide pas à la compréhension les noms fantaisistes.

Je pose encore la question: que doit-il se passer pour ce message?

Si il y a un problème, tu veux pas qu'on le décrive en plus de le résoudre quand même?

[jdh]

Oui c'est du spam et alors ? Il est bien destiné à "@toto.net" dont tu gères le MX. C'est donc assez normal de le recevoir !

L'émetteur n'a aucun intéret bien évidemment mais le destinataire détermine le MX qui va recevoir ce foutu mail. (Souvent les spam utilise soit des noms fantaisistes soit le propre nom du destinataire).

("Dieu" c'est vraiment un nom curieux pour recevoir les mails aux destinataires inconnus !)

Dans ce cas, il faudrait se tourner vers le "grey-listing" qui apporte en principe un plus dans la lutte anti-spam. Il existe même des packages sous Debian pour compléter Postfix avec ce "grey-listing".

Le principe est simplissime : quand un émetteur est inconnu, Postfix lui répond "pas dispo" en gros et note l'émetteur; 10 minutes après, l'émetteur essaye à nouveau et est validé immédiatement. Or il se trouve que beaucoup de spam est généré par des "mini-serveurs" installé par un pgm approprié dans un mail, et que ce "mini-serveur" ne gère pas de réappels !

Suffit de chercher un peu ...

(Je ne crois qu'il soit possible de tester les mails de @toto.net vers @toto.net et qui viennent de l'extérieur !)
(Je ne crois qu'il soit émis à partir de ton MX : ce message arrive à ton MX).
(SASL implique reject : est ce que c'est fait ?)

[Kane]

noms fantaisistes, oui peut etre mais bon c'est pas vraiment compliqué à suivre.

Quand je regarde mes logs, je vois : un mail destiné à dieu@toto.net venant de dieu@toto.net avec une connexion qui reste établie tout le temps de la gestion du mail. Et ca, ca me dérange vu que ca ne se passe pas comme ca autrement.

Sinon, je rejette les mails dont le destinataire n'est pas connu. Ce mail est donc directement adressé à cette adresse.

Apres pour ce qui est de la question de Franck78 : "que doit il se passer pour ce mail ?". Et bien, il est adressé à une adresse existante, je dois donc le recevoir. Le problème est surtout d'où il provient et comment l'en empecher.

Pour ce qui est du grey listing : émetteur connu vu que dans ce cas la, c'est moi meme...

apres je ne sais pas quoi dire de plus.

PS : Franck78, excuse moi, je m'explique comme je peux, alors reste gentil stp

[Kane]

...
(Je ne crois qu'il soit possible de tester les mails de @toto.net vers @toto.net et qui viennent de l'extérieur !)
(Je ne crois qu'il soit émis à partir de ton MX : ce message arrive à ton MX).
(SASL implique reject : est ce que c'est fait ?)

Ca ca m'interesse, tu peux detailler stp ?

[Franck78]

Je me demanderais pourquoi le mail depuis wanadoo passe directement au dessus de l'antivirus et de l'antispam...

Je ne sais si postfix est capable de determiner qu'il ne peut pas recevoir un mail source 'toto.com' quand il gére 'toto.com' et que ce mail arrive de l'extérieur.

De toute façon, c'est dérisoire comme filtre car quasiment tous les spams ont une adresse source fantaisiste pour éviter ce genre de vérification facile.

[Kane]

le mail de wanadoo passe apres dans l'anispam et l'antivirus, mais leur smtp se deconnecte. La ca reste connecter...

Sinon oui, ca va etre galere de virer ce mail s'il provient de moi meme, c'est pas vraiment pour la quantité que j'en recois (1 par nuit ou toutes les 2 nuits) mais je me demande comment ils ont eu cette adresse.

Et le reject SASL dont parle jdh, je voudrais bien en savoir plus, mais j'ai peur que je ne puisse pas les empecher de se connecter à mon smtp sans que les autres serveurs (wanadoo, free...) soient impactés aussi.

Je suis vraiment dans le flou là, je nage complet...

[jdh]

Si tu donnais les headers du mail on comprendrait un peu mieux.

Ce mail est bien à recevoir PUISQUE il est bien destiné à ce domaine : il arrive parfaitement normalement à ce MX.

Il y a 3 moyens naturels de traiter ce mail : le marquer par un anti-spam genre SpamAssassin, utiliser des blacks-list de spammeurs (spamcop.net, ...) ou utiliser un "grey-listing" (suffisamment décourageant pour les spammeurs).

Normalement un serveur de mails accepte de
- recevoir des mails pour les domaines qu'il gèrent (rôle de MX),
- relayer des mails pour les utilisateurs locaux (relais).


SASL est un contournement de la dernière contrainte : des utilisateurs distants peuvent utiliser SASL pour s'authentifier afin de déposer un mail qui sera transmis par la suite.

On peut raisonner autrement : pour les utilisateurs distants c'est webmail (serveur local) et rien d'autre. C'est plus sécuritaire si le mot de passe est suffisamment long et aléatoire.

[Kane]

ok donc c'est bien ce que je pensais...

Je posterais le header du mail mais il n'y a carrément rien dedans. C'est pour ca que je pense qu'il provient directement de mon serveur, un peu comme un telnet quoi.

Merci en tout cas, je post ca dès que je le recois a nouveau (j'ai la suppression facile lol)

pour l'instant, je log tout ce qui passe par mon port 25, la solution étant peut etre de bloquer l'ip qui pose problème

[Kane]

alors voilà l'en-tete internet (modifiée avec le fameux toto.net). je regarde mes mails sous Outlook (pour ces boites la).

Code: Tout sélectionner

Return-Path: <dieu@toto.net>
X-Original-To: dieu@toto.net
Delivered-To: dieu@toto.net
To: dieu@toto.net
Message-Id: <20061020011239.6AB3871C5B@mail.toto.net>
Date: Fri, 20 Oct 2006 03:12:39 +0200 (CEST)
From: dieu@toto.net
X-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on mail.toto.net
X-Spam-Level: *
X-Spam-Status: No, score=1.2 required=2.0 tests=ALL_TRUSTED,AWL,
   MISSING_SUBJECT,NO_REAL_NAME,UNWANTED_LANGUAGE_BODY autolearn=ham
   version=3.0.3
X-Virus-Scanned: by amavisd-new-20030616-p10 at toto.net


bizarre quand meme non ?

Ah oui, voila les logs de BOT dans Ipcop

Code: Tout sélectionner

03:12:40 ANY-LOG  eth1 TCP xxx.xxx.xxx.xxx 25(SMTP) ::::: 84.47.119.83 3215
03:12:41 ANY-LOG  eth1 TCP xxx.xxx.xxx.xxx 25(SMTP) ::::: 84.47.119.83 3215
03:12:41 ANY-LOG  eth1 TCP xxx.xxx.xxx.xxx 25(SMTP) ::::: 84.47.119.83 3215
03:12:41 ANY-LOG  eth1 TCP xxx.xxx.xxx.xxx 25(SMTP) ::::: 84.47.119.83 3215
03:12:42 ANY-LOG  eth1 TCP xxx.xxx.xxx.xxx 25(SMTP) ::::: 84.47.119.83 3215


où xxx.xxx.xxx.xxx est l'ip de mon serveur de messagerie

Par contre ce n'est pas la meme adresse que d'habitude, donc imbloquable comme ca...