config postfix pour simuler antispam/virus sur réseau interne
7 réponses
paul POULAIN
Bonjour,
Soit une entreprise avec un accès internet partagé entre tous les postes
d'un réseau local.
Le serveur de mail est dans un bastion, derrière un firewall.
TOUS les postes locaux accèdent au mail par un webmail installé sur le
serveur de mail.
Les postes locaux sont sous windows et sont donc parfois infestés par un
virus qui tente de se répliquer (malgré l'accès webmail seul via mozilla
uniquement, quelques postes sont infestés de temps à autre).
J'aimerai :
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de
mail.
- envoyer un mail à un responsable lorsqu'un mail arrive de 192.168.0.x,
pour permettre de détecter les postes infestés.
Voilà le paramétrage de postfix que je proposerai bien, mais il ne rejette
pas encore TOUT le traffic du réseau local. Comment faire cela
(smtp_client_restrictions ?)
Et puis je ne vois pas comment mailer le responsable...
Si qqn peut m'aider, merci.
* mydestination = $myhostname, localhost.$mydomain, 11.22.33.44
=> 11.22.33.44 étant l'adresse IP du serveur. On évite le relay.
* mynetworks_style = host
=> seul le serveur peut envoyer des mails. Le serveur ne relaie que du mail
de lui-même. Ca n'empèche pas les messages par "virus avec SMTP intégré".
* smtpd_banner = $myhostname ESMTP
=> limite l'information disponible ($myhostname est obligatoire selon la
norme. Un destinataire trop paranoïaque pourrait rejeter le mail)
* smtpd_helo_required = yes
* smtpd_helo_restrictions = reject_unknown_hostname
=> le HELO ou EHLO est l'entêtre initial d'identification. Quelques outils
de spam ne le donnent pas. Elimine un peu de spam. Le
reject_unknown_hostname permet d'en rejeter un peu plus.
* smtpd_client_restrictions = reject_unknown_client
=> rejet de tout mail dont l'émeteur n'est pas correctement identifié. Sans
le "permit_mynetworks", les mails venant du local (machines infestées)
seront rejetés.
=> Que mettre pour interdire les "serveurs SMTP" 192.168.0.x qui sont en
fait des machines vérolées ?
* smtpd_sender_restrictions =
reject_unknown_hostname,reject_unknown_sender_domain
=> rejetera tous les mails/spam/virus avec un en tête inconnu (genre
qsdfgh@azert.tyuio)
PS : je pense aussi modifier le firewall pour interdire le smtp du réseau
local vers l'extérieur : les mails qui sortent sont uniquement du
spam/virus. On va tenter de limiter la contamination ;-)
--
Paul
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Fabien LE LEZ
On Wed, 15 Sep 2004 13:28:34 +0200, paul POULAIN :
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de mail.
Perso, je paramétrerais plutôt ça sur le firewall. Sur le mien, j'ai interdit toute connexion vers l'extérieur sur le port 25 depuis toutes les machines sauf le serveur de mail officiel.
-- ;-)
On Wed, 15 Sep 2004 13:28:34 +0200, paul POULAIN
<paul.poulain_nospam@free.fr.invalid>:
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de
mail.
Perso, je paramétrerais plutôt ça sur le firewall. Sur le mien, j'ai
interdit toute connexion vers l'extérieur sur le port 25 depuis toutes
les machines sauf le serveur de mail officiel.
On Wed, 15 Sep 2004 13:28:34 +0200, paul POULAIN :
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de mail.
Perso, je paramétrerais plutôt ça sur le firewall. Sur le mien, j'ai interdit toute connexion vers l'extérieur sur le port 25 depuis toutes les machines sauf le serveur de mail officiel.
-- ;-)
paul POULAIN
Fabien LE LEZ wrote:
On Wed, 15 Sep 2004 13:28:34 +0200, paul POULAIN :
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de mail. Perso, je paramétrerais plutôt ça sur le firewall. Sur le mien, j'ai
interdit toute connexion vers l'extérieur sur le port 25 depuis toutes les machines sauf le serveur de mail officiel.
Certes, certes,
Mais si je fais cela, il n'y aura plus aucun symptôme de la part des machines infestées. Bilan, on pourra se retrouver avec tout le parc infesté, l'anti-virus désactivé, et plus aucun moyen de s'en apercevoir ! Donc je cherche une solution plutôt au niveau du serveur de mail. -- Paul
Fabien LE LEZ wrote:
On Wed, 15 Sep 2004 13:28:34 +0200, paul POULAIN
<paul.poulain_nospam@free.fr.invalid>:
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de
mail.
Perso, je paramétrerais plutôt ça sur le firewall. Sur le mien, j'ai
interdit toute connexion vers l'extérieur sur le port 25 depuis toutes
les machines sauf le serveur de mail officiel.
Certes, certes,
Mais si je fais cela, il n'y aura plus aucun symptôme de la part des
machines infestées.
Bilan, on pourra se retrouver avec tout le parc infesté, l'anti-virus
désactivé, et plus aucun moyen de s'en apercevoir !
Donc je cherche une solution plutôt au niveau du serveur de mail.
--
Paul
On Wed, 15 Sep 2004 13:28:34 +0200, paul POULAIN :
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de mail. Perso, je paramétrerais plutôt ça sur le firewall. Sur le mien, j'ai
interdit toute connexion vers l'extérieur sur le port 25 depuis toutes les machines sauf le serveur de mail officiel.
Certes, certes,
Mais si je fais cela, il n'y aura plus aucun symptôme de la part des machines infestées. Bilan, on pourra se retrouver avec tout le parc infesté, l'anti-virus désactivé, et plus aucun moyen de s'en apercevoir ! Donc je cherche une solution plutôt au niveau du serveur de mail. -- Paul
Fabien LE LEZ
On Wed, 15 Sep 2004 14:19:52 +0200, paul POULAIN :
Mais si je fais cela, il n'y aura plus aucun symptôme de la part des machines infestées.
A moins que ton firewall soit capable de râler. Eventuellement, un petit script qui repère ce genre d'entrées dans les logs du firewall et qui expédie le résultat par email ?
-- ;-)
On Wed, 15 Sep 2004 14:19:52 +0200, paul POULAIN
<paul.poulain_nospam@free.fr.invalid>:
Mais si je fais cela, il n'y aura plus aucun symptôme de la part des
machines infestées.
A moins que ton firewall soit capable de râler.
Eventuellement, un petit script qui repère ce genre d'entrées dans les
logs du firewall et qui expédie le résultat par email ?
On Wed, 15 Sep 2004 14:19:52 +0200, paul POULAIN :
Mais si je fais cela, il n'y aura plus aucun symptôme de la part des machines infestées.
A moins que ton firewall soit capable de râler. Eventuellement, un petit script qui repère ce genre d'entrées dans les logs du firewall et qui expédie le résultat par email ?
-- ;-)
Dominique Blas
paul POULAIN wrote:
Bonjour,
Soit une entreprise avec un accès internet partagé entre tous les postes d'un réseau local. Le serveur de mail est dans un bastion, derrière un firewall. TOUS les postes locaux accèdent au mail par un webmail installé sur le serveur de mail. Les postes locaux sont sous windows et sont donc parfois infestés par un virus qui tente de se répliquer (malgré l'accès webmail seul via mozilla uniquement, quelques postes sont infestés de temps à autre).
Le plus simple et le plus pérenne est à mon avis d'agir
au niveau réseau :
un tcpdump qui écoute le port 25 et qui génère un mail en cas de tentative d'un poste de travail d'utiliser le proto SMTP. L'avantage de cette technique est qu'elle peut être très aisément étendue à d'autres protocoles (microsoft-ds, mssql, etc) afin de détecter d'autres types de vers/virus communiquants.
db -- email : usenet blas net
paul POULAIN wrote:
Bonjour,
Soit une entreprise avec un accès internet partagé entre tous les postes
d'un réseau local.
Le serveur de mail est dans un bastion, derrière un firewall.
TOUS les postes locaux accèdent au mail par un webmail installé sur le
serveur de mail.
Les postes locaux sont sous windows et sont donc parfois infestés par un
virus qui tente de se répliquer (malgré l'accès webmail seul via mozilla
uniquement, quelques postes sont infestés de temps à autre).
Le plus simple et le plus pérenne est à mon avis d'agir
au niveau réseau :
un tcpdump qui écoute le port 25 et qui génère un mail
en cas de tentative d'un poste de travail d'utiliser le proto SMTP.
L'avantage de cette technique est qu'elle peut être très aisément étendue
à d'autres protocoles (microsoft-ds, mssql, etc) afin de détecter d'autres
types de vers/virus communiquants.
Soit une entreprise avec un accès internet partagé entre tous les postes d'un réseau local. Le serveur de mail est dans un bastion, derrière un firewall. TOUS les postes locaux accèdent au mail par un webmail installé sur le serveur de mail. Les postes locaux sont sous windows et sont donc parfois infestés par un virus qui tente de se répliquer (malgré l'accès webmail seul via mozilla uniquement, quelques postes sont infestés de temps à autre).
Le plus simple et le plus pérenne est à mon avis d'agir
au niveau réseau :
un tcpdump qui écoute le port 25 et qui génère un mail en cas de tentative d'un poste de travail d'utiliser le proto SMTP. L'avantage de cette technique est qu'elle peut être très aisément étendue à d'autres protocoles (microsoft-ds, mssql, etc) afin de détecter d'autres types de vers/virus communiquants.
db -- email : usenet blas net
Olivier Tharan
* paul POULAIN (Wed, 15 Sep 2004 14:19:52 +0200):
Mais si je fais cela, il n'y aura plus aucun symptôme de la part des machines infestées. Bilan, on pourra se retrouver avec tout le parc infesté, l'anti-virus désactivé, et plus aucun moyen de s'en apercevoir ! Donc je cherche une solution plutôt au niveau du serveur de mail.
Mettez la surveillance sur votre pare-feu. Les virus ne se propagent pas uniquement par courrier électronique.
-- olive
* paul POULAIN <paul.poulain_nospam@free.fr.invalid> (Wed, 15 Sep 2004 14:19:52 +0200):
Mais si je fais cela, il n'y aura plus aucun symptôme de la part des
machines infestées.
Bilan, on pourra se retrouver avec tout le parc infesté, l'anti-virus
désactivé, et plus aucun moyen de s'en apercevoir !
Donc je cherche une solution plutôt au niveau du serveur de mail.
Mettez la surveillance sur votre pare-feu. Les virus ne se propagent pas
uniquement par courrier électronique.
Mais si je fais cela, il n'y aura plus aucun symptôme de la part des machines infestées. Bilan, on pourra se retrouver avec tout le parc infesté, l'anti-virus désactivé, et plus aucun moyen de s'en apercevoir ! Donc je cherche une solution plutôt au niveau du serveur de mail.
Mettez la surveillance sur votre pare-feu. Les virus ne se propagent pas uniquement par courrier électronique.
-- olive
Noshi
On Wed, 15 Sep 2004 14:19:52 +0200, paul POULAIN wrote:
Fabien LE LEZ wrote:
On Wed, 15 Sep 2004 13:28:34 +0200, paul POULAIN :
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de mail. Perso, je paramétrerais plutôt ça sur le firewall. Sur le mien, j'ai
interdit toute connexion vers l'extérieur sur le port 25 depuis toutes les machines sauf le serveur de mail officiel.
Certes, certes,
Mais si je fais cela, il n'y aura plus aucun symptôme de la part des machines infestées.
Tout dépend. Un petit sniffeur de paquet bien configuré et le problème est résolu. => détection et log des machines qui tentent de se connecter au smtp. Et ceux qui essayent de se connecter a autre chose via le port 25... ben loguées aussi.
http://www.snort.org/ par exemple Ou : http://www.prelude-ids.org/
Mais on quitte le domaine du mail.
Bilan, on pourra se retrouver avec tout le parc infesté, l'anti-virus désactivé, et plus aucun moyen de s'en apercevoir ! Donc je cherche une solution plutôt au niveau du serveur de mail.
faut placer les solutions aux bons endroits... ca sera un bon début.
-- Noshi
On Wed, 15 Sep 2004 14:19:52 +0200, paul POULAIN wrote:
Fabien LE LEZ wrote:
On Wed, 15 Sep 2004 13:28:34 +0200, paul POULAIN
<paul.poulain_nospam@free.fr.invalid>:
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de
mail.
Perso, je paramétrerais plutôt ça sur le firewall. Sur le mien, j'ai
interdit toute connexion vers l'extérieur sur le port 25 depuis toutes
les machines sauf le serveur de mail officiel.
Certes, certes,
Mais si je fais cela, il n'y aura plus aucun symptôme de la part des
machines infestées.
Tout dépend. Un petit sniffeur de paquet bien configuré et le problème est
résolu. => détection et log des machines qui tentent de se connecter au
smtp. Et ceux qui essayent de se connecter a autre chose via le port 25...
ben loguées aussi.
http://www.snort.org/ par exemple
Ou :
http://www.prelude-ids.org/
Mais on quitte le domaine du mail.
Bilan, on pourra se retrouver avec tout le parc infesté, l'anti-virus
désactivé, et plus aucun moyen de s'en apercevoir !
Donc je cherche une solution plutôt au niveau du serveur de mail.
faut placer les solutions aux bons endroits... ca sera un bon début.
On Wed, 15 Sep 2004 14:19:52 +0200, paul POULAIN wrote:
Fabien LE LEZ wrote:
On Wed, 15 Sep 2004 13:28:34 +0200, paul POULAIN :
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de mail. Perso, je paramétrerais plutôt ça sur le firewall. Sur le mien, j'ai
interdit toute connexion vers l'extérieur sur le port 25 depuis toutes les machines sauf le serveur de mail officiel.
Certes, certes,
Mais si je fais cela, il n'y aura plus aucun symptôme de la part des machines infestées.
Tout dépend. Un petit sniffeur de paquet bien configuré et le problème est résolu. => détection et log des machines qui tentent de se connecter au smtp. Et ceux qui essayent de se connecter a autre chose via le port 25... ben loguées aussi.
http://www.snort.org/ par exemple Ou : http://www.prelude-ids.org/
Mais on quitte le domaine du mail.
Bilan, on pourra se retrouver avec tout le parc infesté, l'anti-virus désactivé, et plus aucun moyen de s'en apercevoir ! Donc je cherche une solution plutôt au niveau du serveur de mail.
faut placer les solutions aux bons endroits... ca sera un bon début.
-- Noshi
Frank
paul POULAIN wrote:
Bonjour,
Soit une entreprise avec un accès internet partagé entre tous les postes d'un réseau local. Le serveur de mail est dans un bastion, derrière un firewall. TOUS les postes locaux accèdent au mail par un webmail installé sur le serveur de mail. Les postes locaux sont sous windows et sont donc parfois infestés par un virus qui tente de se répliquer (malgré l'accès webmail seul via mozilla uniquement, quelques postes sont infestés de temps à autre).
J'aimerai : - rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de mail. - envoyer un mail à un responsable lorsqu'un mail arrive de 192.168.0.x, pour permettre de détecter les postes infestés.
Voilà le paramétrage de postfix que je proposerai bien, mais il ne rejette pas encore TOUT le traffic du réseau local. Comment faire cela (smtp_client_restrictions ?)
Et puis je ne vois pas comment mailer le responsable... Si qqn peut m'aider, merci.
* mydestination = $myhostname, localhost.$mydomain, 11.22.33.44 => 11.22.33.44 étant l'adresse IP du serveur. On évite le relay.
* mynetworks_style = host => seul le serveur peut envoyer des mails. Le serveur ne relaie que du mail de lui-même. Ca n'empèche pas les messages par "virus avec SMTP intégré".
* smtpd_banner = $myhostname ESMTP => limite l'information disponible ($myhostname est obligatoire selon la norme. Un destinataire trop paranoïaque pourrait rejeter le mail)
* smtpd_helo_required = yes * smtpd_helo_restrictions = reject_unknown_hostname => le HELO ou EHLO est l'entêtre initial d'identification. Quelques outils de spam ne le donnent pas. Elimine un peu de spam. Le reject_unknown_hostname permet d'en rejeter un peu plus.
* smtpd_client_restrictions = reject_unknown_client => rejet de tout mail dont l'émeteur n'est pas correctement identifié. Sans le "permit_mynetworks", les mails venant du local (machines infestées) seront rejetés. => Que mettre pour interdire les "serveurs SMTP" 192.168.0.x qui sont en fait des machines vérolées ?
* smtpd_sender_restrictions > reject_unknown_hostname,reject_unknown_sender_domain => rejetera tous les mails/spam/virus avec un en tête inconnu (genre )
PS : je pense aussi modifier le firewall pour interdire le smtp du réseau local vers l'extérieur : les mails qui sortent sont uniquement du spam/virus. On va tenter de limiter la contamination ;-)
Si c'est pour rejeter bestialement tout ce qui vient de ce sous reseau je ferais ca avec "access" ( man 5 access )
192.168.0 REJECT
ca devrait marcher
paul POULAIN wrote:
Bonjour,
Soit une entreprise avec un accès internet partagé entre tous les postes
d'un réseau local.
Le serveur de mail est dans un bastion, derrière un firewall.
TOUS les postes locaux accèdent au mail par un webmail installé sur le
serveur de mail.
Les postes locaux sont sous windows et sont donc parfois infestés par un
virus qui tente de se répliquer (malgré l'accès webmail seul via mozilla
uniquement, quelques postes sont infestés de temps à autre).
J'aimerai :
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de
mail.
- envoyer un mail à un responsable lorsqu'un mail arrive de 192.168.0.x,
pour permettre de détecter les postes infestés.
Voilà le paramétrage de postfix que je proposerai bien, mais il ne rejette
pas encore TOUT le traffic du réseau local. Comment faire cela
(smtp_client_restrictions ?)
Et puis je ne vois pas comment mailer le responsable...
Si qqn peut m'aider, merci.
* mydestination = $myhostname, localhost.$mydomain, 11.22.33.44
=> 11.22.33.44 étant l'adresse IP du serveur. On évite le relay.
* mynetworks_style = host
=> seul le serveur peut envoyer des mails. Le serveur ne relaie que du mail
de lui-même. Ca n'empèche pas les messages par "virus avec SMTP intégré".
* smtpd_banner = $myhostname ESMTP
=> limite l'information disponible ($myhostname est obligatoire selon la
norme. Un destinataire trop paranoïaque pourrait rejeter le mail)
* smtpd_helo_required = yes
* smtpd_helo_restrictions = reject_unknown_hostname
=> le HELO ou EHLO est l'entêtre initial d'identification. Quelques outils
de spam ne le donnent pas. Elimine un peu de spam. Le
reject_unknown_hostname permet d'en rejeter un peu plus.
* smtpd_client_restrictions = reject_unknown_client
=> rejet de tout mail dont l'émeteur n'est pas correctement identifié. Sans
le "permit_mynetworks", les mails venant du local (machines infestées)
seront rejetés.
=> Que mettre pour interdire les "serveurs SMTP" 192.168.0.x qui sont en
fait des machines vérolées ?
* smtpd_sender_restrictions > reject_unknown_hostname,reject_unknown_sender_domain
=> rejetera tous les mails/spam/virus avec un en tête inconnu (genre
qsdfgh@azert.tyuio)
PS : je pense aussi modifier le firewall pour interdire le smtp du réseau
local vers l'extérieur : les mails qui sortent sont uniquement du
spam/virus. On va tenter de limiter la contamination ;-)
Si c'est pour rejeter bestialement tout ce qui vient de ce sous reseau
je ferais ca avec "access" ( man 5 access )
Soit une entreprise avec un accès internet partagé entre tous les postes d'un réseau local. Le serveur de mail est dans un bastion, derrière un firewall. TOUS les postes locaux accèdent au mail par un webmail installé sur le serveur de mail. Les postes locaux sont sous windows et sont donc parfois infestés par un virus qui tente de se répliquer (malgré l'accès webmail seul via mozilla uniquement, quelques postes sont infestés de temps à autre).
J'aimerai : - rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de mail. - envoyer un mail à un responsable lorsqu'un mail arrive de 192.168.0.x, pour permettre de détecter les postes infestés.
Voilà le paramétrage de postfix que je proposerai bien, mais il ne rejette pas encore TOUT le traffic du réseau local. Comment faire cela (smtp_client_restrictions ?)
Et puis je ne vois pas comment mailer le responsable... Si qqn peut m'aider, merci.
* mydestination = $myhostname, localhost.$mydomain, 11.22.33.44 => 11.22.33.44 étant l'adresse IP du serveur. On évite le relay.
* mynetworks_style = host => seul le serveur peut envoyer des mails. Le serveur ne relaie que du mail de lui-même. Ca n'empèche pas les messages par "virus avec SMTP intégré".
* smtpd_banner = $myhostname ESMTP => limite l'information disponible ($myhostname est obligatoire selon la norme. Un destinataire trop paranoïaque pourrait rejeter le mail)
* smtpd_helo_required = yes * smtpd_helo_restrictions = reject_unknown_hostname => le HELO ou EHLO est l'entêtre initial d'identification. Quelques outils de spam ne le donnent pas. Elimine un peu de spam. Le reject_unknown_hostname permet d'en rejeter un peu plus.
* smtpd_client_restrictions = reject_unknown_client => rejet de tout mail dont l'émeteur n'est pas correctement identifié. Sans le "permit_mynetworks", les mails venant du local (machines infestées) seront rejetés. => Que mettre pour interdire les "serveurs SMTP" 192.168.0.x qui sont en fait des machines vérolées ?
* smtpd_sender_restrictions > reject_unknown_hostname,reject_unknown_sender_domain => rejetera tous les mails/spam/virus avec un en tête inconnu (genre )
PS : je pense aussi modifier le firewall pour interdire le smtp du réseau local vers l'extérieur : les mails qui sortent sont uniquement du spam/virus. On va tenter de limiter la contamination ;-)
Si c'est pour rejeter bestialement tout ce qui vient de ce sous reseau je ferais ca avec "access" ( man 5 access )
