Spamm via Postfix comment s'en défaire :(

[kilian]

Bonjour

Je viens à vous car j'en peux plus et surtout je ne sais pas comment resoudre mon probleme

Je possède un serveur Debian avec Postfix dessus. Et ce soir je remarque me que mon fichier /var/mail/www-data se remplit à une vitesse grand V.

Voici une copie du fichier http://www.sms-gratos.com/www-data.txt

D'où viennent ces mails ? est ce que mon serveur les envoies en spam ? je ne sais plus quoi chercher et où chercher.

Dans les logs de apache, j'ai remarqué qu'un personne a executé un script via une faille de mon site,
le script du hackeur,spammeur se trouve ici http://james.batcave.net/james.jpg ( ceci est un fichier texte et non une image comme on pourrait le croire ) et là on voit bien qql chose qui on dirait envoie des mails ou je ne sais pas trop.

Si vous souhaitez voir d'autres logs pour essayer de résoudre mon probleme demandez moi.
Je vous remercie d'avance pour votre aide
Cordialement
Kilian
PS : en attendant j'ai arreté postfix

[KippiX]

Je ne pourrai pas trop t'aider mais en tt cas commence par viré les adresse mail explicité sur ton site

en
contact-at-sms-gratos.com
par exemple

[jdh]

Un bon réflexe : arrêter le serveur de mails. Il faudrait arrêter aussi Apache ou tout au moins la partie du site défectueuse. Et ceci tout aussi immédiatement.

Bon, passons sur le résultat d'un hébergement de site (forum ?) tout fait et fragile "à la maison" dont on voit le résultat ...

Concernant le serveur de mail, il est ESSENTIEL, une fois mis en place, de vérifier qu'il n'est pas en "open relay". Tu n'auras pas de difficulté à trouver des sites pour tester cette faiblesse éventuelle. Mais c'est à faire. Sur le site de Postfix, tu trouveras la parade à l'open-relay.

Concernant le site web (je suppose un forum), un certain nombre de tels programmes ont parfois des failles. Il est IMPERATIF, comme webmaster local, de vérifier REGULIEREMENT, les "change-log" du programme choisi. Et de suivre les mises à jour ...

phpBB-forum utilisé par Ixus est un exemple de ce type de programme. Il y a eu quelques mois, le site a été envahi de nouveaux inscrits ... par programme. Cela a été désastreux et en a découragé plus d'un.


Je pense qu'il faut avant de remettre en route tout cela, de bien réfléchir à la justification de cet hébergement.


Il doit être possible de configurer Postfix pour qu'il n'envoie pas de mails "forgés" : les mails partants ne peuvent paraître être émis à partir d'une adresse telle que "milena.vracar@yahoo.co.uk".


Il serait judicieux de passer un peu de temps à trouver un petit script d'analyse du fichier de log de postfix (/var/log/mail.log) pour compter les mails envoyés. En cas de dépassement d'un certains nombre de mails par jour, il faudrait générer une alerte !

[kilian]

Merci pour vos réponse en effet il faut que je planche sur l'open relay. Bizarre quand je regarde la file d'attente de postfix il n'y a rien et du moment où je le mets en route c'est reparti des mails a gogo
Je vous tiendrai au courant si vous le souhaitez de l'evolution de la chose.
PS : mon site n'est pas un forum mais un simple site à 2 pages hihi
A bientot
Kilian

[jdh]

Si Postfix est arreté, évidemment, la commande sendmail ne fonctionne pas.

Que se passe-t-il si Apache est arreté et Postfix est actif ?
Que se passe-t-il si Apache est actif et Postfix inactif ?
Que se passe-t-il si le serveur n'est pas relié au réseau ?

Je pense qu'il faut d'ABORD arrêter l'entrée de smtp (tcp/25) au niveau du firewall.

[kilian]

Je teste cela demain dans la journée c'est vrai que je n'avais pas essayé de lancer postfix et couper apache...
Je te tiens au courant demain
Merci pour tout car à vrai dire je suis un peu perdu

[kilian]

Salut,

A present je viens de tester :
Apache STOP + Postfix START = Aucun Mail
Apache START+ Postfix START = SPAM


Voila ce que j'ai pu lire dans /var/log/mail.log

Apr 27 11:34:12 localhost postfix/postfix-script: starting the Postfix mail system
Apr 27 11:34:12 localhost postfix/master[24713]: daemon started -- version 2.1.5
Apr 27 11:42:40 localhost postfix/smtpd[24770]: connect from MX1.WeArab.Net[66.90.105.119]
Apr 27 11:42:40 localhost postfix/smtpd[24770]: 6FCFCCF4095: client=MX1.WeArab.Net[66.90.105.119]
Apr 27 11:42:40 localhost postfix/cleanup[24773]: 6FCFCCF4095: message-id=<20070425145243.063691A16B18@mx1.wearab.net>
Apr 27 11:42:40 localhost postfix/smtpd[24770]: disconnect from MX1.WeArab.Net[66.90.105.119]
Apr 27 11:42:40 localhost postfix/qmgr[24716]: 6FCFCCF4095: from=<>, size=6797, nrcpt=1 (queue active)
Apr 27 11:42:40 localhost postfix/local[24774]: 6FCFCCF4095: to=<www-data@mail.entreprise-pc.com>, relay=local, delay=0, status=sent (delivered to command: procmail -a "$EXTENSION")
Apr 27 11:42:40 localhost postfix/qmgr[24716]: 6FCFCCF4095: removed
Apr 27 11:43:16 localhost postfix/postfix-script: stopping the Postfix mail system

On dirait que c'est WeArab.Net qui se connecte à mon serveur et envoit du spamm.
Tu en penses quoi ?
Il doit bien passer par apache vu que si apache est eteint il ne se passe rien.

Si tu veux que je t'envoie d'autres log demande moi

Sinon dans postfix j'ai mis "mynetwork : Localhost" , mais cela ne sert a rien car d'apres ce que je vois dans le log ci-dessus le "pirate" passe par localhost, je pense que c'est parce qu'il passe par apache.

Dsl si mes phrases ne sont pas très claire, mais comme je connais pas précisément postfix c'est dur d'expliquer.

Merci pour l'aide

[jdh]

"connect from MX1.WeArab.Net[66.90.105.119]" cela veut dire que c'est une connexion extérieure. Donc le serveur est en "open relay". Et il faut vraiment être intervenu volontairement parce que et Postfix et Debian ont des réglages prudents par défaut.

Il faut donc (au minimum)

mynetwork = localhost, 192.168.1.0/24 (à adapter)
smtpd_client_restrictions = permit_mynetworks, reject

Mais on trouve tout cela explicitement dans la doc en français : http://x.guimard.free.fr/postfix/ (Merci au traducteur).

[kilian]

Voici mon main.cfg

# See /usr/share/postfix/main.cf.dist for a commented, more complete version

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

myhostname = entreprise-pc.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = mail.entreprise-pc.com, localhost.localdomain, localhost.localdomain, localhost
relayhost = smtp.wanadoo.fr
mynetworks = localhost
smtpd_client_restrictions = permit_mynetworks, reject
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

J'ai rajouté la ligne
smtpd_client_restrictions = permit_mynetworks, reject

A voir ce que ca donne à present, merci pour le lien, je vais essayer de comprendre cela
Merci

Editer : Effectivement on dirait que la ligne que tu m'as proposé d'ajouter bloque bien les connections;)