[résolu~] [Postfix] Backscatter protection et prévention

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

[résolu~] [Postfix] Backscatter protection et prévention

Messagepar darkukai » 30 Mai 2008 16:02

Bonjour
Je viens de découvrir les joies du backscatter car mon domaine a servi ( çà semble s'être arreter ) par de spammeur sans vergogne du coup je me recois des centaines de "Undelivered mail return to sender"

Bon du coup je me suis un peu renseigner et j'ai lu un peu tout et n'importe quoi sur le moyen de s'en prémunir mais aussi sur le moyen de configurer son serveur pour qu'il ne fasse pas lui même du backscatter.

J'aurais aimé avoir votre avis sur la question, et surtout une méthode compatible avec les RFC de smtp pour pouvoir filtrer ce type d'envoi.

D'avance merci
Thomas
Dernière édition par darkukai le 10 Juin 2008 08:36, édité 1 fois au total.
Avatar de l’utilisateur
darkukai
Major
Major
 
Messages: 72
Inscrit le: 07 Oct 2003 00:00
Localisation: lyon

Messagepar darkukai » 10 Juin 2008 08:36

Bon alors j'ai pas beaucoup avancé sur le backscatter mais par contre j'ai découvert plein de trucs sympa pour sécurisé / filtrer la messagerie donc j'aurai pas chercher pour rien :o

alors pour le backscatter étant en postfix 2.3 sous etch j'ai rajouter çà dans mon main.cf

unknow_local_recipient_reject_code = 550

apparement inutile sur postfix 2.4 et > ( valeur par défaut ??)

Voilà c'est tout ce que j'ai à dire sur ce sujet :oops:
Avatar de l’utilisateur
darkukai
Major
Major
 
Messages: 72
Inscrit le: 07 Oct 2003 00:00
Localisation: lyon

Messagepar jdh » 10 Juin 2008 10:35

Backscatter ?

D'après wikipedia (en anglais) et après traduction :

Backscatter est un effet de bord des spams, virus, vers. Certains serveurs recevant des spams et autres répondent à des "innocents". Cela survient parce que l'adresse de l'émetteur est "forgée".


La plupart des générateurs de spams fabrique des mails avec une fausse adresse d'émission et envoie à une autre adresse (fausse éventuellement).

Le serveur qui reçoit le spam peut répondre à l'émetteur que l'adresse n'existe pas ou qu'il s'agit de spam. Or l'émetteur est une adresse forgée et fausse.


Mon point de vue :

- Il fait partie des RFC (2821) de répondre quand l'adresse d'arrivée n'existe pas. Mais c'est mauvais de le faire.

- Il ne fait pas partie des RFC de répondre "c'est du spam" quand c'est du spam ... parce que les RFC ne parle pas du contenu. Mais c'est mauvais de répondre à l'adresse indiquée d'un spam.

- Il est mauvais d'utiliser un "alias collecteur" dans son système de mail même si cela semble pratique. Un "alias collecteur" est une boite qui reçoit TOUS les mails adressés au domaines et ne correspondant pas à une boite réelle.


On voit que l'on ne peut rien sur les 2 premiers points puisqu'il s'agit de réglage d'un serveur de mails que l'on ne gère pas.

Sur le dernier point, il est important de décider si on veut ou non gérer un "alias collecteur". Si on décide de l'utiliser, il faut en accepter les contraintes ...

A titre perso, je possède le nom de domaine (mon nom de famille).org, je porte un prénom composé (et long), et j'ai choisi de diffuser mon adresse email perso sous la forme (mon prénom)@(mon nom de famille).org. Et c'est l'alias colllecteur de mon domaine ! Bingo ! Je m'en accommode parce que j'utilise Thunderbird qui filtre les indésirables : les mails de retour de serveurs étant assez semblables, ils sont vus comme indésirables. Mais c'est pour 1 seule personne !


Conclusion : tu dois utiliser un alias collecteur. Dans l'idéal, il ne faudrait plus l'utiliser.

D'ailleurs la commande que tu indiques est claire "unknow_local_recipient_reject_code = 550"
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar darkukai » 10 Juin 2008 11:04

Dabord merci pour les précisions ;)

Alors si je te suis il vaux mieux faire croire qu'une addresse existe (moins pire des solutions ) et collecté le mail alors dans ce cas pourquoi ne pas utilisé une directive DISCARD pour les unknown_recipient plutôt ??

Un peu sauvage mais plus simple non ?
Avatar de l’utilisateur
darkukai
Major
Major
 
Messages: 72
Inscrit le: 07 Oct 2003 00:00
Localisation: lyon

Messagepar jdh » 10 Juin 2008 12:07

Je ne connais pas ta config postfix.
Mais je peux supposer que
- tu utilises des comptes locaux,
- tu reçois directement dans ton réseau les mails.

L'instruction de config postfix est claire : unknow_local_recipient_reject_code = 550 : quand l'adresse destinataire (=recipient) est inconnue localement (=local), Postfix répond par un code d'erreur smtp 550.

A contrario, si cette instruction n'est pas par défaut, alors tous les mails inconnus localement arrive dans une boite qui peut être postmaster (ou autre : à vérifier), c'est à dire un "alias collecteur".
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar darkukai » 10 Juin 2008 13:16

Je ne connais pas ta config postfix.
Mais je peux supposer que
- tu utilises des comptes locaux,
- tu reçois directement dans ton réseau les mails.

J'utilise des compte virtuel ( ldap )
Et je n'ai qu'un serveur mail pour l'instant placé en dmz

L'instruction de config postfix est claire : unknow_local_recipient_reject_code = 550 : quand l'adresse destinataire (=recipient) est inconnue localement (=local), Postfix répond par un code d'erreur smtp 550.
A contrario, si cette instruction n'est pas par défaut, alors tous les mails inconnus localement arrive dans une boite qui peut être postmaster (ou autre : à vérifier), c'est à dire un "alias collecteur".


Oui çà pour le coup 550 j'avais bien compris le message :wink:
Mais un 550 engendrant un code de retour n'est t'il pas plus propre de faire un DISCARD qui lui ne provoque pas de message dans la boite de la personne qui s'est fait spoofer son adresse mail par un spammeur.
Avatar de l’utilisateur
darkukai
Major
Major
 
Messages: 72
Inscrit le: 07 Oct 2003 00:00
Localisation: lyon

Messagepar jdh » 10 Juin 2008 18:09

Le code 550, comme n'importe quel code, est un code d'erreur entre serveur et client smtp.

C'est un code d'état de transmission, ce n'est pas une réponse à un mail (qui serait lui-même un mail).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Belin » 03 Août 2008 19:03

La signature numérique DKIM est une bonne solution pour se protéger de ce type de spam.

Un avis de non distribution arrive, s'il ne contient pas le champs contenant la signature numérique du domaine c'est qu'il ne résulte pas d'un mail émis par le domaine, c'est donc un spam.
Belin
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 05 Déc 2004 00:48
Localisation: Essonne


Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron