[Postfix] Rejet de nom de domaine "usurpé"

Le
C. Mourad Jaber
Bonjour,

J'ai reçu une vague de spam forgé d'une manière qui arrive à passer les enregistrements SPF :
Ce sont des mails contenant un HELO déclarant un sous domaine du nom de domaine de réception
par exemple :
- mail de destination et de source : fax@domaine.com
- serveur d'envoi : Received: from murphx.net (109.170.154.29) by scan.domaine.com
(10.0.4.132) with Microsoft SMTP Server

évidement le scan.domaine.com n'existe pas mais les règles de spf vont laisser passer ce
message parce que le domaine semble légitime

Est-il possible d'ajouter une règle dans postfix pour rejeter les mails contenant une
forme d'usurpation d'identité aussi grossière ?

++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/5342B7B7.5030304@nativobject.net
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
C. Mourad Jaber
Le #26075582
Le 07/04/2014 17:52, Christophe a écrit :
Bonsoir,

Le 07/04/2014 16:35, C. Mourad Jaber a écrit :
Est-il possible d'ajouter une règle dans postfix pour rejeter les mails
contenant une forme d'usurpation d'identité aussi grossière ?



Je pense que l'option smtpd_sender_restrictions doit pouvoir répondre à
ta problématique :

dans le fichier /etc/postfix/main.cf

smtpd_sender_restrictions = hash:/etc/postfix/access

dans le fichier /etc/postfix/access

domaine.com REJECT

suivi d'un
postmap /etc/postfix/access

pour générer le fichier hash qui va bien.

A prendre avec des pincettes, je n'ai pas testé ;) .

@+
Christophe.



ça me pose un vrai problème de blacklister mon propre domaine !!!!!!

Dans mon exemple, domaine.com représente le domaine de mon serveur...

++

Mourad

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Christophe
Le #26075572
Bonsoir,

Le 07/04/2014 16:35, C. Mourad Jaber a écrit :

Est-il possible d'ajouter une règle dans postfix pour rejeter les mails
contenant une forme d'usurpation d'identité aussi grossière ?




Je pense que l'option smtpd_sender_restrictions doit pouvoir répondr e à
ta problématique :

dans le fichier /etc/postfix/main.cf

smtpd_sender_restrictions = hash:/etc/postfix/access

dans le fichier /etc/postfix/access

domaine.com REJECT

suivi d'un
postmap /etc/postfix/access

pour générer le fichier hash qui va bien.

A prendre avec des pincettes, je n'ai pas testé ;) .

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Joël BERTRAND
Le #26075602
Le 07/04/2014 17:57, C. Mourad Jaber a écrit :

Le 07/04/2014 17:52, Christophe a écrit :
Bonsoir,

Le 07/04/2014 16:35, C. Mourad Jaber a écrit :
Est-il possible d'ajouter une règle dans postfix pour rejeter les mails
contenant une forme d'usurpation d'identité aussi grossière ?



Je pense que l'option smtpd_sender_restrictions doit pouvoir répondre à
ta problématique :

dans le fichier /etc/postfix/main.cf

smtpd_sender_restrictions = hash:/etc/postfix/access

dans le fichier /etc/postfix/access

domaine.com REJECT

suivi d'un
postmap /etc/postfix/access

pour générer le fichier hash qui va bien.

A prendre avec des pincettes, je n'ai pas testé ;) .

@+
Christophe.



ça me pose un vrai problème de blacklister mon propre domaine !!!!!!

Dans mon exemple, domaine.com représente le domaine de mon serveur...



Bonjour,

Pourrais-tu nous montrer les champs SPF de domaine.com ? Normalement,
tu peux être strict (avec +a:mx.domaine.com -all) et rejeter tout ce qui
viole SPF.

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Frédéric Massot
Le #26075702
Le 07/04/2014 17:57, C. Mourad Jaber a écrit :

Le 07/04/2014 17:52, Christophe a écrit :
Bonsoir,

Le 07/04/2014 16:35, C. Mourad Jaber a écrit :
Est-il possible d'ajouter une règle dans postfix pour rejeter les mails
contenant une forme d'usurpation d'identité aussi grossière ?



Je pense que l'option smtpd_sender_restrictions doit pouvoir répondre à
ta problématique :

dans le fichier /etc/postfix/main.cf

smtpd_sender_restrictions = hash:/etc/postfix/access

dans le fichier /etc/postfix/access

domaine.com REJECT

suivi d'un
postmap /etc/postfix/access

pour générer le fichier hash qui va bien.

A prendre avec des pincettes, je n'ai pas testé ;) .

@+
Christophe.



ça me pose un vrai problème de blacklister mon propre domaine !!!!!!

Dans mon exemple, domaine.com représente le domaine de mon serveur...



J'utilise la directive :

smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated,
check_helo_access hash:/etc/postfix/access_helo,
reject_invalid_hostname, reject_non_fqdn_hostname


Et dans /etc/postfix/access_helo, j'ai en REJECT l'IP 127.0.0.1, l'IP du
serveur, le nom de domaine du serveur, localhost et les noms d'hôtes du
serveur.

--
============================================= | FRÉDÉRIC MASSOT |
| http://www.juliana-multimedia.com |
| mailto: |
| +33.(0)2.97.54.77.94 +33.(0)6.67.19.95.69 |
==========================Þbian=GNU/Linux==
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Stephane Bortzmeyer
Le #26075802
On Mon, Apr 07, 2014 at 04:35:35PM +0200,
C. Mourad Jaber a message of 27 lines which said:

évidement le scan.domaine.com n'existe pas mais les règles de spf
vont laisser passer ce message parce que le domaine semble
légitime...



Je serais curieux de voir les règles SPF du domaine. Car, justement,
ce genre d'usurpation est détectée par SPF. Bref, des détails, des
vraies adresses et des vrais noms parce que, sinon, cela semble
bizarre.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
andre_debian
Le #26075842
On Monday 07 April 2014 16:35:35 C. Mourad Jaber wrote:
J'ai reçu une vague de spam forgé d'une manière qui arrive à passer les
enregistrements SPF : Ce sont des mails contenant un HELO déclarant un sous
domaine du nom de domaine de réception par exemple :
- mail de destination et de source :
- serveur d'envoi : Received: from murphx.net (109.170.154.29) by
scan.domaine.com (10.0.4.132) with Microsoft SMTP Server
évidement le scan.domaine.com n'existe pas mais les règles de s pf vont
laisser passer ce message parce que le domaine semble légitime...
Est-il possible d'ajouter une règle dans postfix pour rejeter les ma ils
contenant une forme d'usurpation d'identité aussi grossière ?



Deux liens qui peuvent aider...

http://www.robertain.com/post/2012/02/17/check-spf-pour-postfix/

http://monblog.system-linux.net/blog/2012/05/15/mettre-en-place-spf-avec-po stfix-sous-debian-squeeze/comment-page-1/

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
BERTRAND Joël
Le #26076102
Johnny B a écrit :
RE Hello, (désolé pour le bug de police thunderbird ;)

Pour le forging il est inutile de passer par SPF ou Policyd2 par
exemple. (ces tools sont très utiles mais pour d'autres choses)

Il faut donc utiliser les options de restrictions Postfix comme :


smtpd_sender_restrictions >
reject_authenticated_sender_login_mismatch
reject_invalid_helo_hostname


La méthode de Joel BERTRAND pour aussi fonctionner mais ce n'est pas
viable. Imagine toi blacklister 50 000 serveurs de spams ;)



Sauf que je ne blackliste rien. C'est au smtp distant d'avoir un champ
SPF valide. Je ne fais que vérifier lors du FROM (donc bien avant la
transaction concernant les données) que l'émetteur utilise bien le bon SMTP.

Mon domaine, c'est systella.fr avec un champ SPF "v=spf1
+a:rayleigh.systella.fr -all". Si une adresse forgée vient chez moi avec
comme expéditeur un sous-domaine de systella.fr et que ce mail n'est pas
venu de rayleigh.systella.fr, mon sendmail le jette (même sans bounce).
Et ce mécanisme est automatique. Il n'y a pas 50000 serveurs de spam à
blacklister.

Raffinement : j'utilise aussi les soft-failed pour greylister, comme
les blacklists traditionnelles. C'est très efficace.

Il est essentiel d'utiliser les restrictions Postfix avant les tools
DKIM,SPF,Spamassassin,Amavis etc... Ces restrictions sont natives a
Postfix et fonctionnent divinement bien, cela évite aussi de bouffer les
ressources car ces forging ou spams sont rejetés avant d'être traités.
Attention la gestion Postfix peu devenir un enfer ;)



Je pense surtout que tu n'as pas bien compris l'intérêt du SPF. Ce
n'est pas d'éviter les spams en provenance de domaines de spam, mais
justement d'éviter que des spammeurs forgent des adresses.

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Johnny B
Le #26076092
Le 04/07/2014 10:40 PM, BERTRAND Joël a écrit :
Johnny B a écrit :
RE Hello, (désolé pour le bug de police thunderbird ;)

Pour le forging il est inutile de passer par SPF ou Policyd2 par
exemple. (ces tools sont très utiles mais pour d'autres choses)

Il faut donc utiliser les options de restrictions Postfix comme :


smtpd_sender_restrictions >>
reject_authenticated_sender_login_mismatch
reject_invalid_helo_hostname


La méthode de Joel BERTRAND pour aussi fonctionner mais ce n'est pas
viable. Imagine toi blacklister 50 000 serveurs de spams ;)



Sauf que je ne blackliste rien. C'est au smtp distant d'avoir un
champ SPF valide. Je ne fais que vérifier lors du FROM (donc bien
avant la transaction concernant les données) que l'émetteur utilise
bien le bon SMTP.

Mon domaine, c'est systella.fr avec un champ SPF "v=spf1
+a:rayleigh.systella.fr -all". Si une adresse forgée vient chez moi
avec comme expéditeur un sous-domaine de systella.fr et que ce mail
n'est pas venu de rayleigh.systella.fr, mon sendmail le jette (même
sans bounce). Et ce mécanisme est automatique. Il n'y a pas 50000
serveurs de spam à blacklister.



Merci pour les infos du SPF je connais ;)

Pourquoi utiliser du SPF pour éviter le forging alors que Postfix le
fait très bien et de façon native ? Je répondrai à ma propre question en
disant que c'est un choix perso.

SPF est très puissant mais n'est utile que si la grande majorité des
domaines ont un enregistrement SPF, or ce n'est pas vraiment le cas.
Meme si les majors des webmails ont encouragé l'utilisation du SPF ca ne
deviendra sans doute jamais un standard. ( et je le déplore)



Raffinement : j'utilise aussi les soft-failed pour greylister,
comme les blacklists traditionnelles. C'est très efficace.

Il est essentiel d'utiliser les restrictions Postfix avant les tools
DKIM,SPF,Spamassassin,Amavis etc... Ces restrictions sont natives a
Postfix et fonctionnent divinement bien, cela évite aussi de bouffer les
ressources car ces forging ou spams sont rejetés avant d'être traités.
Attention la gestion Postfix peu devenir un enfer ;)



Je pense surtout que tu n'as pas bien compris l'intérêt du SPF. Ce
n'est pas d'éviter les spams en provenance de domaines de spam, mais
justement d'éviter que des spammeurs forgent des adresses.




J'ai largement utilisé ces tools y compris le greylisting ;) (je ne vois
pas l'intérêt du greylisting mais c'est un avis perso)

Je préfère utiliser Postfix a "100%" plutot que de rajouter des couches
de checks alors qu'il remplit très bien ce rôle (c'est aussi un avis
perso ;) )






JKB




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Johnny B
Le #26076162
Quand je parlais de blacklist je parlais des hash postfix pas de SPF,
c'était le mail de Christophe, désolé pour la confusion


""""Je pense que l'option smtpd_sender_restrictions doit pouvoir répondre à
ta problématique :

dans le fichier /etc/postfix/main.cf

smtpd_sender_restrictions = hash:/etc/postfix/access

dans le fichier /etc/postfix/access

domaine.com REJECT

suivi d'un
postmap /etc/postfix/access """""



Le 04/07/2014 10:40 PM, BERTRAND Joël a écrit :
Johnny B a écrit :
RE Hello, (désolé pour le bug de police thunderbird ;)

Pour le forging il est inutile de passer par SPF ou Policyd2 par
exemple. (ces tools sont très utiles mais pour d'autres choses)

Il faut donc utiliser les options de restrictions Postfix comme :


smtpd_sender_restrictions >>
reject_authenticated_sender_login_mismatch
reject_invalid_helo_hostname


La méthode de Joel BERTRAND pour aussi fonctionner mais ce n'est pas
viable. Imagine toi blacklister 50 000 serveurs de spams ;)



Sauf que je ne blackliste rien. C'est au smtp distant d'avoir un
champ SPF valide. Je ne fais que vérifier lors du FROM (donc bien
avant la transaction concernant les données) que l'émetteur utilise
bien le bon SMTP.

Mon domaine, c'est systella.fr avec un champ SPF "v=spf1
+a:rayleigh.systella.fr -all". Si une adresse forgée vient chez moi
avec comme expéditeur un sous-domaine de systella.fr et que ce mail
n'est pas venu de rayleigh.systella.fr, mon sendmail le jette (même
sans bounce). Et ce mécanisme est automatique. Il n'y a pas 50000
serveurs de spam à blacklister.



Merci pour les infos du SPF je connais ;)

Pourquoi utiliser du SPF pour éviter le forging alors que Postfix le
fait très bien et de façon native ? Je répondrai à ma propre question en
disant que c'est un choix perso.

SPF est très puissant mais n'est utile que si la grande majorité des
domaines ont un enregistrement SPF, or ce n'est pas vraiment le cas.
Meme si les majors des webmails ont encouragé l'utilisation du SPF ca ne
deviendra sans doute jamais un standard. ( et je le déplore)



Raffinement : j'utilise aussi les soft-failed pour greylister,
comme les blacklists traditionnelles. C'est très efficace.

Il est essentiel d'utiliser les restrictions Postfix avant les tools
DKIM,SPF,Spamassassin,Amavis etc... Ces restrictions sont natives a
Postfix et fonctionnent divinement bien, cela évite aussi de bouffer les
ressources car ces forging ou spams sont rejetés avant d'être traités.
Attention la gestion Postfix peu devenir un enfer ;)



Je pense surtout que tu n'as pas bien compris l'intérêt du SPF. Ce
n'est pas d'éviter les spams en provenance de domaines de spam, mais
justement d'éviter que des spammeurs forgent des adresses.




J'ai largement utilisé ces tools y compris le greylisting ;) (je ne vois
pas l'intérêt du greylisting mais c'est un avis perso)

Je préfère utiliser Postfix a "100%" plutot que de rajouter des couches
de checks alors qu'il remplit très bien ce rôle (c'est aussi un avis
perso ;) )






JKB




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
BERTRAND Joël
Le #26076532
Johnny B a écrit :
Le 04/07/2014 10:40 PM, BERTRAND Joël a écrit :
Johnny B a écrit :
RE Hello, (désolé pour le bug de police thunderbird ;)

Pour le forging il est inutile de passer par SPF ou Policyd2 par
exemple. (ces tools sont très utiles mais pour d'autres choses)

Il faut donc utiliser les options de restrictions Postfix comme :


smtpd_sender_restrictions >>>
reject_authenticated_sender_login_mismatch
reject_invalid_helo_hostname


La méthode de Joel BERTRAND pour aussi fonctionner mais ce n'est pas
viable. Imagine toi blacklister 50 000 serveurs de spams ;)



Sauf que je ne blackliste rien. C'est au smtp distant d'avoir un
champ SPF valide. Je ne fais que vérifier lors du FROM (donc bien
avant la transaction concernant les données) que l'émetteur utilise
bien le bon SMTP.

Mon domaine, c'est systella.fr avec un champ SPF "v=spf1
+a:rayleigh.systella.fr -all". Si une adresse forgée vient chez moi
avec comme expéditeur un sous-domaine de systella.fr et que ce mail
n'est pas venu de rayleigh.systella.fr, mon sendmail le jette (même
sans bounce). Et ce mécanisme est automatique. Il n'y a pas 50000
serveurs de spam à blacklister.



Merci pour les infos du SPF je connais ;)

Pourquoi utiliser du SPF pour éviter le forging alors que Postfix le
fait très bien et de façon native ? Je répondrai à ma propre question en
disant que c'est un choix perso.

SPF est très puissant mais n'est utile que si la grande majorité des
domaines ont un enregistrement SPF, or ce n'est pas vraiment le cas.
Meme si les majors des webmails ont encouragé l'utilisation du SPF ca ne
deviendra sans doute jamais un standard. ( et je le déplore)



Raffinement : j'utilise aussi les soft-failed pour greylister,
comme les blacklists traditionnelles. C'est très efficace.

Il est essentiel d'utiliser les restrictions Postfix avant les tools
DKIM,SPF,Spamassassin,Amavis etc... Ces restrictions sont natives a
Postfix et fonctionnent divinement bien, cela évite aussi de bouffer les
ressources car ces forging ou spams sont rejetés avant d'être traités.
Attention la gestion Postfix peu devenir un enfer ;)



Je pense surtout que tu n'as pas bien compris l'intérêt du SPF. Ce
n'est pas d'éviter les spams en provenance de domaines de spam, mais
justement d'éviter que des spammeurs forgent des adresses.




J'ai largement utilisé ces tools y compris le greylisting ;) (je ne vois
pas l'intérêt du greylisting mais c'est un avis perso)



Pourtant, entre le GREETINGS_DELAY, le greylisting, le scoring de SA
sur la longueur de la greylist, SA et clamav, je vire plus de 95% des spams.

Je préfère utiliser Postfix a "100%" plutot que de rajouter des couches
de checks alors qu'il remplit très bien ce rôle (c'est aussi un avis
perso ;) )



Je ne vois pas en quoi la réponse au HELO serait invalide. Je ne vois
pas non plus en quoi l'émetteur devrait s'authentifier sur le serveur
local alors qu'il utilise un SMTP distant.

Il est vrai que je ne connais pas postfix, utilisant sendmail depuis
plus de vingt ans, mais ta technique me semble louche pour résoudre le
problème de l'OP.

JKB

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Publicité
Poster une réponse
Anonyme