Serveur de mail, usurpation d'identité

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Serveur de mail, usurpation d'identité

Messagepar louis » 31 Mars 2004 09:47

Bonjour,

Voici ma configuration :

- SME 5.6 comme serveur de mail
- SME 6.0 comme MX backup (sur une autre ligne ADSL) - merci Sibsib. :-ooo:
- MNF 8.2 comme firewall/passerelle
- Antivirus sur SME : amavis/clamv
- Antispam sur SME : spamassasin

Et voici mon problème :

- chaque jour entre 2000 et 3000 mails sont filtrés car ils contiennent des virus, ça s'est bien, mais ce qui l'est moins c'est que la majorité de ces mails est envoyée par les comptes paramétrés sur la SME.
- mes propres emails s'envoient des virus bien que mon poste soit protégé par un antivirus (Symantec Corporate Edition).

En analysant l'entête des emails, 2 cas se présentent :

1- l'adresse IP d'envoie ne correspond pas à mon serveur de mail bien que le mail expéditeur appartiennent à SME
2- l'adresse IP d'envoie correspond au serveur de mail (ou au mx backup) avec un email valide (bien que le poste où est paramétré cet email soit sain)

Le port 25 de mon SME (et de mon MX backup) étant ouvert, n'importe qui peut se connecter sur ce port et envoyer des emails sur mon domaine en se faisant passer pour un de mes comptes.

Est-ce là le problème ? Comment peut-on y remédier ?

D'avance merci.
louis
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 27 Jan 2003 01:00

Messagepar dess9715 » 31 Mars 2004 11:13

Moi aussi je suis interesse.

:up:
Avatar de l’utilisateur
dess9715
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 01 Oct 2003 00:00

Re: Serveur de mail, usurpation d'identité

Messagepar Muzo » 31 Mars 2004 11:21

Salut,

louis a écrit:Le port 25 de mon SME (et de mon MX backup) étant ouvert, n'importe qui peut se connecter sur ce port et envoyer des emails sur mon domaine en se faisant passer pour un de mes comptes.


Euh .... tu fais du relaying? C'est ca :?: :?: :?: :?: :?:
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar Mael » 31 Mars 2004 11:46

Le fait que ton port 25 soit ouvert à tout le monde pour envoyer des mails dans ton domaine est un peu normal, sinon comment tu ferais pour recevoir des mails externes ??

Si ce sont des virus de type somefool (netsky) ils utilisent des noms d'expéditeurs trouvés sur les ordinateurs infectés, ils usurpent effectivement des identités

Il y a eu d'autres virus avec attaque en règle sur un domaine et usurpation (un bien grand mot puisqu'il n'y a pas de controle ) d'identité de comptes du domaine, a ma connaissance il n'y a pas grand chose a faire pour s'en prtoéger.

Je ne sais pas si par exemple un mail envoyé (depuis l'extérieur) par:
telnet mail.mondomaine.com 25
laisse des traces sur l'origine réelle de l'expéditeur (IP)
Avatar de l’utilisateur
Mael
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 312
Inscrit le: 12 Oct 2002 00:00
Localisation: France

Messagepar louis » 31 Mars 2004 11:49

Qu'appelles-tu relaying ?

Je dois laisser ce port ouvert pour que les utilisateurs externes à mon réseau puissent consulter leurs emails !
louis
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 27 Jan 2003 01:00

Messagepar Franck78 » 31 Mars 2004 11:56

Non pour lire les mail, rien a voir avec le transport.
C'est 110 (pop) ou IMAP.

Le ralaying, c'est que ton serveur qui
s'occupe par exemple du domaine
toto.com (juju@toto.com par exemple)
accepte aussi des mails pour
bandit.com (killer@bandit.com)

Il s'occupera gentiment d'accepter le mail et de le transmettre au serveur suivant (bandit.com)

Si postfix : par défaut il ne relaie pas trop.
Les autres : faut lire la doc !
Options genre "liste domaine gérés par ce serveur"
relaying, "Mail source" etc...


Salut
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Mael » 31 Mars 2004 11:58

Le relaying c'est si on pouvait envoyé des mails depuis ton smtp SME vers non seulement tes adresse locales (ce qui est normal) mais aussi vers des adresses externes à ton domaine.

Pour collecter ses mails depuis l'extérieur c'est le pop (110) et non smtp (25) qui est utilsé.
Mais comme dit précédemment si tu fermes le port 25, tu ne recevras plus aucun mail externe, ce qui n'est pas ce que tu veux je pense
Avatar de l’utilisateur
Mael
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 312
Inscrit le: 12 Oct 2002 00:00
Localisation: France

Messagepar Mael » 31 Mars 2004 12:01

Et par défaut SME refuse le relaying, donc pas de soucis de ce coté la
Avatar de l’utilisateur
Mael
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 312
Inscrit le: 12 Oct 2002 00:00
Localisation: France

Messagepar Muzo » 31 Mars 2004 12:05

Ils ont expliqués mieux que moi le relaying :)

Mais is tu n'as pas modifier la conf postfix y'a pas de lézards.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar louis » 31 Mars 2004 12:24

Re.

Je ne fais pas de relaying, seul les mails appartenant aux domaines gérés par SME sont acceptés.
louis
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 27 Jan 2003 01:00

Messagepar Franck78 » 31 Mars 2004 12:46

Il est ou le problème ?

On dirait qu'il y mélange entre ce qui doit être ouvert, autorisé, smtp, pop !

Ca serait plus simple de publier un entete
de message complet et que tu dises ce qui te gènes
avec...
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Mael » 31 Mars 2004 13:32

Je pense que son inquiétude tient au fait que n'importe qui puisse se faire
passer pour un expéditeur de son domaine pour envoyer des messages dans son domaine, mais c'est du aux limites de smtp.

La solution, c'est de signer avec une clé (GnuPG) tes mails, mais c'est contraignant. La lecture de l'entete des messages n'est pas toujours suffisante

Par contre, il suffit d'un seul utilisateur de ton domaine qui ait un poste infecté,
pour que le virus s'envoie sur tout le réseau local avec un adresse d'expéditeur forcément fausse.

2- l'adresse IP d'envoie correspond au serveur de mail (ou au mx backup) avec un email valide (bien que le poste où est paramétré cet email soit sain)


quand tu dis poste ou est paramétré cet email tu parles de l'ip du poste que tu as retrouvé dans l'entete ou du nom de l'expéditeur.
Par ce que l'expéditeur doit etre faux, mais pas l'ip.
Avatar de l’utilisateur
Mael
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 312
Inscrit le: 12 Oct 2002 00:00
Localisation: France

Messagepar louis » 31 Mars 2004 13:52

Merci Mael, tu as bien compris mon problème.

Je vais essayer la signature.

Effectivement sur les 3500 comptes gérés par ma SME, il existe sans doute des utilisateurs infectés. On retrouve d'ailleurs leur adresse IP dans l'entête des messages infectés bien que l'adresse de l'expéditeur ne soit pas la leur. Mais il est si facile d'envoyer un mail avec n'importe quoi dans la zone From et To.

Mais si quelqu'un a une autre solution, je suis preneur !
louis
Aspirant
Aspirant
 
Messages: 120
Inscrit le: 27 Jan 2003 01:00

Messagepar sibsib » 31 Mars 2004 22:26

Salut, Louis, c'est encore moi ;-)

Dans ton post, tu as dit un truc qui m'a fait bondir :

Des personnes utiliseraient ton serveur SME ou ton MX Backup pour, en se connectant sur le port 25, envoyer des messages comme s'ils étaient émis de ton réseau, avec une adresse d'expéditeur interne de ton SME.

J'étais sûr que ce n'était pas possible, mais j'ai testé vite fait sur un SME de mes amis : En conf normale, ce n'est pas possible.
Si tu veux que je vérifies ta machine, poste moi (en privé !) un E-Mail valide de ta machine, et je te confirmerais que c'est impossible.
C'est pour çà que, même si tu fais fournisseur de mails pour des personnes à l'extérieur de ton réseau, tu dois ouvrir (si le webmail n'est pas suffisant) les ports 110 (POP3) et/ou 143 IMAP.
Mais surtout pas 25 SMTP ! Il faut que pour envoyer, les personnes à l'extérieur de ton réseau utilisent le serveur SMTP de leur provider. Ceci ne les empèchent nullement de mettre comme adresse d'expédition l'adresse mail de ton domaine.

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar Mael » 31 Mars 2004 22:42

Sibsib,

Je ne comprends pas comment il pourrait recevoir des mails si son port 25 est fermé ?
Sur que les utilisteurs externes doivent utiliser le SMTP de leur provider, mais celui-ci va a son tour contacter le SMTP de Louis pour transférer les mails.

Je ne te suis pas la sibsib. :?:
Avatar de l’utilisateur
Mael
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 312
Inscrit le: 12 Oct 2002 00:00
Localisation: France

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron