Serveur de mail, usurpation d'identité

[louis]

Bonjour,

Voici ma configuration :

- SME 5.6 comme serveur de mail
- SME 6.0 comme MX backup (sur une autre ligne ADSL) - merci Sibsib.
- MNF 8.2 comme firewall/passerelle
- Antivirus sur SME : amavis/clamv
- Antispam sur SME : spamassasin

Et voici mon problème :

- chaque jour entre 2000 et 3000 mails sont filtrés car ils contiennent des virus, ça s'est bien, mais ce qui l'est moins c'est que la majorité de ces mails est envoyée par les comptes paramétrés sur la SME.
- mes propres emails s'envoient des virus bien que mon poste soit protégé par un antivirus (Symantec Corporate Edition).

En analysant l'entête des emails, 2 cas se présentent :

1- l'adresse IP d'envoie ne correspond pas à mon serveur de mail bien que le mail expéditeur appartiennent à SME
2- l'adresse IP d'envoie correspond au serveur de mail (ou au mx backup) avec un email valide (bien que le poste où est paramétré cet email soit sain)

Le port 25 de mon SME (et de mon MX backup) étant ouvert, n'importe qui peut se connecter sur ce port et envoyer des emails sur mon domaine en se faisant passer pour un de mes comptes.

Est-ce là le problème ? Comment peut-on y remédier ?

D'avance merci.

[dess9715]

Moi aussi je suis interesse.

[Muzo]

Salut,

Le port 25 de mon SME (et de mon MX backup) étant ouvert, n'importe qui peut se connecter sur ce port et envoyer des emails sur mon domaine en se faisant passer pour un de mes comptes.

Euh .... tu fais du relaying? C'est ca

[Mael]

Le fait que ton port 25 soit ouvert à tout le monde pour envoyer des mails dans ton domaine est un peu normal, sinon comment tu ferais pour recevoir des mails externes ??

Si ce sont des virus de type somefool (netsky) ils utilisent des noms d'expéditeurs trouvés sur les ordinateurs infectés, ils usurpent effectivement des identités

Il y a eu d'autres virus avec attaque en règle sur un domaine et usurpation (un bien grand mot puisqu'il n'y a pas de controle ) d'identité de comptes du domaine, a ma connaissance il n'y a pas grand chose a faire pour s'en prtoéger.

Je ne sais pas si par exemple un mail envoyé (depuis l'extérieur) par:
telnet mail.mondomaine.com 25
laisse des traces sur l'origine réelle de l'expéditeur (IP)

[louis]

Qu'appelles-tu relaying ?

Je dois laisser ce port ouvert pour que les utilisateurs externes à mon réseau puissent consulter leurs emails !

[Franck78]

Non pour lire les mail, rien a voir avec le transport.
C'est 110 (pop) ou IMAP.

Le ralaying, c'est que ton serveur qui
s'occupe par exemple du domaine
toto.com (juju@toto.com par exemple)
accepte aussi des mails pour
bandit.com (killer@bandit.com)

Il s'occupera gentiment d'accepter le mail et de le transmettre au serveur suivant (bandit.com)

Si postfix : par défaut il ne relaie pas trop.
Les autres : faut lire la doc !
Options genre "liste domaine gérés par ce serveur"
relaying, "Mail source" etc...


Salut

[Mael]

Le relaying c'est si on pouvait envoyé des mails depuis ton smtp SME vers non seulement tes adresse locales (ce qui est normal) mais aussi vers des adresses externes à ton domaine.

Pour collecter ses mails depuis l'extérieur c'est le pop (110) et non smtp (25) qui est utilsé.
Mais comme dit précédemment si tu fermes le port 25, tu ne recevras plus aucun mail externe, ce qui n'est pas ce que tu veux je pense

[Mael]

Et par défaut SME refuse le relaying, donc pas de soucis de ce coté la

[Muzo]

Ils ont expliqués mieux que moi le relaying

Mais is tu n'as pas modifier la conf postfix y'a pas de lézards.

[louis]

Re.

Je ne fais pas de relaying, seul les mails appartenant aux domaines gérés par SME sont acceptés.

[Franck78]

Il est ou le problème ?

On dirait qu'il y mélange entre ce qui doit être ouvert, autorisé, smtp, pop !

Ca serait plus simple de publier un entete
de message complet et que tu dises ce qui te gènes
avec...

[Mael]

Je pense que son inquiétude tient au fait que n'importe qui puisse se faire
passer pour un expéditeur de son domaine pour envoyer des messages dans son domaine, mais c'est du aux limites de smtp.

La solution, c'est de signer avec une clé (GnuPG) tes mails, mais c'est contraignant. La lecture de l'entete des messages n'est pas toujours suffisante

Par contre, il suffit d'un seul utilisateur de ton domaine qui ait un poste infecté,
pour que le virus s'envoie sur tout le réseau local avec un adresse d'expéditeur forcément fausse.

2- l'adresse IP d'envoie correspond au serveur de mail (ou au mx backup) avec un email valide (bien que le poste où est paramétré cet email soit sain)

quand tu dis poste ou est paramétré cet email tu parles de l'ip du poste que tu as retrouvé dans l'entete ou du nom de l'expéditeur.
Par ce que l'expéditeur doit etre faux, mais pas l'ip.

[louis]

Merci Mael, tu as bien compris mon problème.

Je vais essayer la signature.

Effectivement sur les 3500 comptes gérés par ma SME, il existe sans doute des utilisateurs infectés. On retrouve d'ailleurs leur adresse IP dans l'entête des messages infectés bien que l'adresse de l'expéditeur ne soit pas la leur. Mais il est si facile d'envoyer un mail avec n'importe quoi dans la zone From et To.

Mais si quelqu'un a une autre solution, je suis preneur !

[sibsib]

Salut, Louis, c'est encore moi

Dans ton post, tu as dit un truc qui m'a fait bondir :

Des personnes utiliseraient ton serveur SME ou ton MX Backup pour, en se connectant sur le port 25, envoyer des messages comme s'ils étaient émis de ton réseau, avec une adresse d'expéditeur interne de ton SME.

J'étais sûr que ce n'était pas possible, mais j'ai testé vite fait sur un SME de mes amis : En conf normale, ce n'est pas possible.
Si tu veux que je vérifies ta machine, poste moi (en privé !) un E-Mail valide de ta machine, et je te confirmerais que c'est impossible.
C'est pour çà que, même si tu fais fournisseur de mails pour des personnes à l'extérieur de ton réseau, tu dois ouvrir (si le webmail n'est pas suffisant) les ports 110 (POP3) et/ou 143 IMAP.
Mais surtout pas 25 SMTP ! Il faut que pour envoyer, les personnes à l'extérieur de ton réseau utilisent le serveur SMTP de leur provider. Ceci ne les empèchent nullement de mettre comme adresse d'expédition l'adresse mail de ton domaine.

A+,
Pascal

[Mael]

Sibsib,

Je ne comprends pas comment il pourrait recevoir des mails si son port 25 est fermé ?
Sur que les utilisteurs externes doivent utiliser le SMTP de leur provider, mais celui-ci va a son tour contacter le SMTP de Louis pour transférer les mails.

Je ne te suis pas la sibsib.