J'ai un serveur Exchange 5.5 pour la messagerie de mon entreprise.
Comme ça doit arriver à beaucoup, j'ai un petit malin qui utilise mon
serveur SMTP pour essayer d'envoyer des mails ... j'ai fermé le port 25 sur
mon firewall, tout bien ! plus de spam. Seulement maintenant les mails
envoyés de l'exterieur et destinés à mon domaine ne sont plus traité et
n'arrivent plus dans les boites !
Je pensais betement que le serveur smtp ne servais qu'a envoyer des mails et
non impliqué dans la chaine de reception, visiblement j'étais a coté de la
plaque. J'ai réouvert le port 25 et ça refonctionne normalement. Seulement
régulierement ma boite postmaster se remplie.
Olivier> Ah oui ! ipchains/iptables est très intuitif, je te le concède Olivier> :-))
Euh, qui a parlé de linux ici ?
Le seul machin de ce type que j'utilise est une Debian pour cause de hard non supporté par les bsd.
Quand à la désactivation des services non nécessaires sur un winnt ou dérivé, c'est loin d'être de la tarte (modification manuelle du registry dans la plupart des cas)
Olivier> Si elle se fait rooter *et* qu'elle est configurée avec les Olivier> pieds, oui. Mon serveur mail n'a aucun accès aux autres postes Olivier> du réseau par exemple (Hormis bien sûr en pop3 et smtp).
Ce qui implique donc que tu filtres le traffic depuis et vers cette machine, elle est donc de fait dans une dmz.
De plus quand tu est root, qu'une machine soit configurée avec les pieds ou pas n'a aucune importance, tu peux la reconfigurer selon tes besoins.
Olivier> Et puis un serveur mail postfix chrooté avec seulement le port Olivier> 25 ouvert à l'extérieur je te la souhaite bien bonne.
Tu peux expliciter ?
Olivier> Et une dmz ça se casse aussi si on va par là. Tout dépend des Olivier> moyens et des intérêts.
Effectivement, mais déjà tu auras affaire à autre chose qu'un Jean Kevin qui fait tourner ses scripts d'attaque halakon en recherchant des failles publiées depuis plusieurs mois et toujours pas patchées, ce qui va quand même sérieusement déblayer le terrain.
Olivier> Oui, oui, toussa... Et à la nsa, ça se passe comme vous voulez Olivier> ? ;-)
Un des principales choses que j'ai appris en sécurité est la suivante : Il ne faut pas chercher à savoir si tu vas te faire trouer, mais quand. Ce n'est pas parce que tu es parano que personne ne t'en veut vraiment :)
Eric Masson
PS: fu2 vers fcs ?
-- Contresens. Le contenu de la signature doit respecter la charte du NG sur *tous* les sujets. Aussi bien la pub que la Netiquette. C'est pas une zone de non-droit, les 4 lignes de signature. -+- Lapin in <www.le-gnu.net> : Oui-Oui casque bleu à Neuneuland -+-
Olivier> Ah oui ! ipchains/iptables est très intuitif, je te le concède
Olivier> :-))
Euh, qui a parlé de linux ici ?
Le seul machin de ce type que j'utilise est une Debian pour cause de
hard non supporté par les bsd.
Quand à la désactivation des services non nécessaires sur un winnt ou
dérivé, c'est loin d'être de la tarte (modification manuelle du registry
dans la plupart des cas)
Olivier> Si elle se fait rooter *et* qu'elle est configurée avec les
Olivier> pieds, oui. Mon serveur mail n'a aucun accès aux autres postes
Olivier> du réseau par exemple (Hormis bien sûr en pop3 et smtp).
Ce qui implique donc que tu filtres le traffic depuis et vers cette
machine, elle est donc de fait dans une dmz.
De plus quand tu est root, qu'une machine soit configurée avec les pieds
ou pas n'a aucune importance, tu peux la reconfigurer selon tes besoins.
Olivier> Et puis un serveur mail postfix chrooté avec seulement le port
Olivier> 25 ouvert à l'extérieur je te la souhaite bien bonne.
Tu peux expliciter ?
Olivier> Et une dmz ça se casse aussi si on va par là. Tout dépend des
Olivier> moyens et des intérêts.
Effectivement, mais déjà tu auras affaire à autre chose qu'un Jean Kevin
qui fait tourner ses scripts d'attaque halakon en recherchant des
failles publiées depuis plusieurs mois et toujours pas patchées, ce qui
va quand même sérieusement déblayer le terrain.
Olivier> Oui, oui, toussa... Et à la nsa, ça se passe comme vous voulez
Olivier> ? ;-)
Un des principales choses que j'ai appris en sécurité est la suivante :
Il ne faut pas chercher à savoir si tu vas te faire trouer, mais quand.
Ce n'est pas parce que tu es parano que personne ne t'en veut vraiment
:)
Eric Masson
PS: fu2 vers fcs ?
--
Contresens. Le contenu de la signature doit respecter la charte du NG
sur *tous* les sujets. Aussi bien la pub que la Netiquette. C'est pas
une zone de non-droit, les 4 lignes de signature.
-+- Lapin in <www.le-gnu.net> : Oui-Oui casque bleu à Neuneuland -+-
Olivier> Ah oui ! ipchains/iptables est très intuitif, je te le concède Olivier> :-))
Euh, qui a parlé de linux ici ?
Le seul machin de ce type que j'utilise est une Debian pour cause de hard non supporté par les bsd.
Quand à la désactivation des services non nécessaires sur un winnt ou dérivé, c'est loin d'être de la tarte (modification manuelle du registry dans la plupart des cas)
Olivier> Si elle se fait rooter *et* qu'elle est configurée avec les Olivier> pieds, oui. Mon serveur mail n'a aucun accès aux autres postes Olivier> du réseau par exemple (Hormis bien sûr en pop3 et smtp).
Ce qui implique donc que tu filtres le traffic depuis et vers cette machine, elle est donc de fait dans une dmz.
De plus quand tu est root, qu'une machine soit configurée avec les pieds ou pas n'a aucune importance, tu peux la reconfigurer selon tes besoins.
Olivier> Et puis un serveur mail postfix chrooté avec seulement le port Olivier> 25 ouvert à l'extérieur je te la souhaite bien bonne.
Tu peux expliciter ?
Olivier> Et une dmz ça se casse aussi si on va par là. Tout dépend des Olivier> moyens et des intérêts.
Effectivement, mais déjà tu auras affaire à autre chose qu'un Jean Kevin qui fait tourner ses scripts d'attaque halakon en recherchant des failles publiées depuis plusieurs mois et toujours pas patchées, ce qui va quand même sérieusement déblayer le terrain.
Olivier> Oui, oui, toussa... Et à la nsa, ça se passe comme vous voulez Olivier> ? ;-)
Un des principales choses que j'ai appris en sécurité est la suivante : Il ne faut pas chercher à savoir si tu vas te faire trouer, mais quand. Ce n'est pas parce que tu es parano que personne ne t'en veut vraiment :)
Eric Masson
PS: fu2 vers fcs ?
-- Contresens. Le contenu de la signature doit respecter la charte du NG sur *tous* les sujets. Aussi bien la pub que la Netiquette. C'est pas une zone de non-droit, les 4 lignes de signature. -+- Lapin in <www.le-gnu.net> : Oui-Oui casque bleu à Neuneuland -+-
Thibaut Maquet
"Sébastien WILLEMIJNS" <@willemijns.com> a écrit dans le message de news:
tiens j'ai essaye vsmtp.completel.fr
Le serveur est un relais ouvert !
cela me surpendrait de FREE m'enfin... peut-etre que completel utilise "proxad.net"
Heu non, pas vraiment :-O Mais certains MTA réagissent de façon plutot curieuse à ce type de test, d'autres feignent d'accepter mais détruisent le message en interne.
Cordialement Thibaut Maquet www.pagasa.net
"Sébastien WILLEMIJNS" <@willemijns.com> a écrit dans le message de news: 7ce56313.0307152308.1c1b3094@posting.google.com...
tiens j'ai essaye vsmtp.completel.fr
Le serveur est un relais ouvert !
cela me surpendrait de FREE m'enfin... peut-etre que completel utilise
"proxad.net"
Heu non, pas vraiment :-O
Mais certains MTA réagissent de façon plutot curieuse à ce type de test,
d'autres feignent d'accepter mais détruisent le message en interne.
"Sébastien WILLEMIJNS" <@willemijns.com> a écrit dans le message de news:
tiens j'ai essaye vsmtp.completel.fr
Le serveur est un relais ouvert !
cela me surpendrait de FREE m'enfin... peut-etre que completel utilise "proxad.net"
Heu non, pas vraiment :-O Mais certains MTA réagissent de façon plutot curieuse à ce type de test, d'autres feignent d'accepter mais détruisent le message en interne.
