compréhenion log mail

Le
Carmelo Ingrao
Bonjour à tous,

Ce matin l'envie m'a pris de regarder les logs de mon serveur mail … =
(pour essayer de comprendre un problème que je vous soumettrai =
sûrement si après investigation je ne trouve pas de solution).

Dans /var/log, j'ai plusieurs fichiers "mail" :

root@serveur:/var/log# cat mail.
mail.err mail.info.2.gz mail.log mail.log.3.gz =
mail.warn.1 mail.warn.4.gz
mail.info mail.info.3.gz mail.log.1 mail.log.4.gz =
mail.warn.2.gz
mail.info.1 mail.info.4.gz mail.log.2.gz mail.warn =
mail.warn.3.gz

Le contenu de mail.warn m'a interpellé :

root@serveur:/var/log# cat mail.warn
Mar 1 01:19:37 ingrao postfix/smtpd[16342]: warning: 202.117.24.240: =
address not listed for hostname 24h240.xjtu.edu.cn


ça ne serait pas un chinois qui essaierait d'utiliser mon smtp pour =
son usage ?

(à noter que denyhost bloque environ 20 fois par jour des tentatives =
de connexion via SSH)

Carmelo=

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/387C61D8-B75A-4B14-9E8B-6BDABCADD49F@ingrao.fr
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Tanguy Ortolo
Le #24290371
Carmelo Ingrao, 2012-03-01 08:07+0100:
:/var/log# cat mail.warn
Mar 1 01:19:37 ingrao postfix/smtpd[16342]: warning: 202.117.24.240: address not listed for hostname 24h240.xjtu.edu.cn



Ça correspond à un rejet par une règle reject_unlisted_sender (cf.
postconf(5)) : quelqu'un a tenté, depuis 202.117.24.240, de t'envoyer un
message avec pour expéditeur une adresse de chez toi. C'est une
tentative d'usurpation d'adresse.

--
,--.
: /` ) Tanguy Ortolo | `-' Debian Developer
_

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/jinsck$8lr$
Carmelo
Le #24290631
Le 1 mars 2012 à 14:08, Tanguy Ortolo a écrit :

Carmelo Ingrao, 2012-03-01 08:07+0100:
:/var/log# cat mail.warn
Mar 1 01:19:37 ingrao postfix/smtpd[16342]: warning: 202.117.24.240: address not listed for hostname 24h240.xjtu.edu.cn



Ça correspond à un rejet par une règle reject_unlisted_sender (cf.
postconf(5)) : quelqu'un a tenté, depuis 202.117.24.240, de t'envoyer un
message avec pour expéditeur une adresse de chez toi. C'est une
tentative d'usurpation d'adresse.



merci pour ta réponse.

y'a-t-il quelque chose en particulier à faire (à sécuriser ?) pour rendre cette tentative "d'attaque" le plus difficile possible ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #24290641
On Thu, 1 Mar 2012 16:04:27 +0100
Carmelo

y'a-t-il quelque chose en particulier à faire (à sécuriser ?)
pour rendre cette tentative "d'attaque" le plus difficile possible ?



Ne pas installer le Chinois sur ta bécane et ne plus manger de
chien :)

Ca n'est pas grave ce genre de truc, ça relève plus du script ki ddy
que du vilain méchant black hat.

--
X-rated movies are all alike ... the only thing they leave to the
imagination is the plot.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Tanguy Ortolo
Le #24290811
Carmelo, 2012-03-01 16:04+0100:
y'a-t-il quelque chose en particulier à faire (à sécuriser ?) pour
rendre cette tentative "d'attaque" le plus difficile possible ?



Tu le bloques déjà sur ta machine, c'est à dire que tu refuses les
messages manifestement usurpés. En revanche, si tu veux que les serveurs
d'autres gens puissent détecter les messages usurpant ton adresse, tu
peux mettre en place une politique SPF [1] ou une signature DKIM [2].

[1] http://www.openspf.org/
[2] http://www.dkim.org/

--
,--.
: /` ) Tanguy Ortolo | `-' Debian Developer
_

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/jio7n3$a2b$
Publicité
Poster une réponse
Anonyme