config postfix pour simuler antispam/virus sur réseau interne

Le
paul POULAIN
Bonjour,

Soit une entreprise avec un accès internet partagé entre tous les postes
d'un réseau local.
Le serveur de mail est dans un bastion, derrière un firewall.
TOUS les postes locaux accèdent au mail par un webmail installé sur le
serveur de mail.
Les postes locaux sont sous windows et sont donc parfois infestés par un
virus qui tente de se répliquer (malgré l'accès webmail seul via mozilla
uniquement, quelques postes sont infestés de temps à autre).

J'aimerai :
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de
mail.
- envoyer un mail à un responsable lorsqu'un mail arrive de 192.168.0.x,
pour permettre de détecter les postes infestés.

Voilà le paramétrage de postfix que je proposerai bien, mais il ne rejette
pas encore TOUT le traffic du réseau local. Comment faire cela
(smtp_client_restrictions ?)

Et puis je ne vois pas comment mailer le responsable
Si qqn peut m'aider, merci.

* mydestination = $myhostname, localhost.$mydomain, 11.22.33.44
=> 11.22.33.44 étant l'adresse IP du serveur. On évite le relay.

* mynetworks_style = host
=> seul le serveur peut envoyer des mails. Le serveur ne relaie que du mail
de lui-même. Ca n'empèche pas les messages par "virus avec SMTP intégré".

* smtpd_banner = $myhostname ESMTP
=> limite l'information disponible ($myhostname est obligatoire selon la
norme. Un destinataire trop paranoïaque pourrait rejeter le mail)

* smtpd_helo_required = yes
* smtpd_helo_restrictions = reject_unknown_hostname
=> le HELO ou EHLO est l'entêtre initial d'identification. Quelques outils
de spam ne le donnent pas. Elimine un peu de spam. Le
reject_unknown_hostname permet d'en rejeter un peu plus.

* smtpd_client_restrictions = reject_unknown_client
=> rejet de tout mail dont l'émeteur n'est pas correctement identifié. Sans
le "permit_mynetworks", les mails venant du local (machines infestées)
seront rejetés.
=> Que mettre pour interdire les "serveurs SMTP" 192.168.0.x qui sont en
fait des machines vérolées ?

* smtpd_sender_restrictions =
reject_unknown_hostname,reject_unknown_sender_domain
=> rejetera tous les mails/spam/virus avec un en tête inconnu (genre
qsdfgh@azert.tyuio)

PS : je pense aussi modifier le firewall pour interdire le smtp du réseau
local vers l'extérieur : les mails qui sortent sont uniquement du
spam/virus. On va tenter de limiter la contamination ;-)
--
Paul
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien LE LEZ
Le #199264
On Wed, 15 Sep 2004 13:28:34 +0200, paul POULAIN

- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de
mail.


Perso, je paramétrerais plutôt ça sur le firewall. Sur le mien, j'ai
interdit toute connexion vers l'extérieur sur le port 25 depuis toutes
les machines sauf le serveur de mail officiel.


--
;-)

paul POULAIN
Le #199262
Fabien LE LEZ wrote:

On Wed, 15 Sep 2004 13:28:34 +0200, paul POULAIN
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de
mail.
Perso, je paramétrerais plutôt ça sur le firewall. Sur le mien, j'ai

interdit toute connexion vers l'extérieur sur le port 25 depuis toutes
les machines sauf le serveur de mail officiel.


Certes, certes,

Mais si je fais cela, il n'y aura plus aucun symptôme de la part des
machines infestées.
Bilan, on pourra se retrouver avec tout le parc infesté, l'anti-virus
désactivé, et plus aucun moyen de s'en apercevoir !
Donc je cherche une solution plutôt au niveau du serveur de mail.
--
Paul


Fabien LE LEZ
Le #199258
On Wed, 15 Sep 2004 14:19:52 +0200, paul POULAIN

Mais si je fais cela, il n'y aura plus aucun symptôme de la part des
machines infestées.


A moins que ton firewall soit capable de râler.
Eventuellement, un petit script qui repère ce genre d'entrées dans les
logs du firewall et qui expédie le résultat par email ?


--
;-)

Dominique Blas
Le #199257
paul POULAIN wrote:

Bonjour,

Soit une entreprise avec un accès internet partagé entre tous les postes
d'un réseau local.
Le serveur de mail est dans un bastion, derrière un firewall.
TOUS les postes locaux accèdent au mail par un webmail installé sur le
serveur de mail.
Les postes locaux sont sous windows et sont donc parfois infestés par un
virus qui tente de se répliquer (malgré l'accès webmail seul via mozilla
uniquement, quelques postes sont infestés de temps à autre).

Le plus simple et le plus pérenne est à mon avis d'agir

au niveau réseau :

un tcpdump qui écoute le port 25 et qui génère un mail
en cas de tentative d'un poste de travail d'utiliser le proto SMTP.
L'avantage de cette technique est qu'elle peut être très aisément étendue
à d'autres protocoles (microsoft-ds, mssql, etc) afin de détecter d'autres
types de vers/virus communiquants.

db
--
email : usenet blas net

Olivier Tharan
Le #199206
* paul POULAIN
Mais si je fais cela, il n'y aura plus aucun symptôme de la part des
machines infestées.
Bilan, on pourra se retrouver avec tout le parc infesté, l'anti-virus
désactivé, et plus aucun moyen de s'en apercevoir !
Donc je cherche une solution plutôt au niveau du serveur de mail.


Mettez la surveillance sur votre pare-feu. Les virus ne se propagent pas
uniquement par courrier électronique.

--
olive

Noshi
Le #199205
On Wed, 15 Sep 2004 14:19:52 +0200, paul POULAIN wrote:

Fabien LE LEZ wrote:

On Wed, 15 Sep 2004 13:28:34 +0200, paul POULAIN
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de
mail.
Perso, je paramétrerais plutôt ça sur le firewall. Sur le mien, j'ai

interdit toute connexion vers l'extérieur sur le port 25 depuis toutes
les machines sauf le serveur de mail officiel.


Certes, certes,

Mais si je fais cela, il n'y aura plus aucun symptôme de la part des
machines infestées.


Tout dépend. Un petit sniffeur de paquet bien configuré et le problème est
résolu. => détection et log des machines qui tentent de se connecter au
smtp. Et ceux qui essayent de se connecter a autre chose via le port 25...
ben loguées aussi.

http://www.snort.org/ par exemple
Ou :
http://www.prelude-ids.org/

Mais on quitte le domaine du mail.

Bilan, on pourra se retrouver avec tout le parc infesté, l'anti-virus
désactivé, et plus aucun moyen de s'en apercevoir !
Donc je cherche une solution plutôt au niveau du serveur de mail.


faut placer les solutions aux bons endroits... ca sera un bon début.

--
Noshi



Frank
Le #199202
paul POULAIN wrote:
Bonjour,

Soit une entreprise avec un accès internet partagé entre tous les postes
d'un réseau local.
Le serveur de mail est dans un bastion, derrière un firewall.
TOUS les postes locaux accèdent au mail par un webmail installé sur le
serveur de mail.
Les postes locaux sont sous windows et sont donc parfois infestés par un
virus qui tente de se répliquer (malgré l'accès webmail seul via mozilla
uniquement, quelques postes sont infestés de temps à autre).

J'aimerai :
- rejeter tout mail en provenance du réseau 192.168.0.x sur mon serveur de
mail.
- envoyer un mail à un responsable lorsqu'un mail arrive de 192.168.0.x,
pour permettre de détecter les postes infestés.

Voilà le paramétrage de postfix que je proposerai bien, mais il ne rejette
pas encore TOUT le traffic du réseau local. Comment faire cela
(smtp_client_restrictions ?)

Et puis je ne vois pas comment mailer le responsable...
Si qqn peut m'aider, merci.

* mydestination = $myhostname, localhost.$mydomain, 11.22.33.44
=> 11.22.33.44 étant l'adresse IP du serveur. On évite le relay.

* mynetworks_style = host
=> seul le serveur peut envoyer des mails. Le serveur ne relaie que du mail
de lui-même. Ca n'empèche pas les messages par "virus avec SMTP intégré".

* smtpd_banner = $myhostname ESMTP
=> limite l'information disponible ($myhostname est obligatoire selon la
norme. Un destinataire trop paranoïaque pourrait rejeter le mail)

* smtpd_helo_required = yes
* smtpd_helo_restrictions = reject_unknown_hostname
=> le HELO ou EHLO est l'entêtre initial d'identification. Quelques outils
de spam ne le donnent pas. Elimine un peu de spam. Le
reject_unknown_hostname permet d'en rejeter un peu plus.

* smtpd_client_restrictions = reject_unknown_client
=> rejet de tout mail dont l'émeteur n'est pas correctement identifié. Sans
le "permit_mynetworks", les mails venant du local (machines infestées)
seront rejetés.
=> Que mettre pour interdire les "serveurs SMTP" 192.168.0.x qui sont en
fait des machines vérolées ?

* smtpd_sender_restrictions > reject_unknown_hostname,reject_unknown_sender_domain
=> rejetera tous les mails/spam/virus avec un en tête inconnu (genre
)

PS : je pense aussi modifier le firewall pour interdire le smtp du réseau
local vers l'extérieur : les mails qui sortent sont uniquement du
spam/virus. On va tenter de limiter la contamination ;-)


Si c'est pour rejeter bestialement tout ce qui vient de ce sous reseau
je ferais ca avec "access" ( man 5 access )

192.168.0 REJECT

ca devrait marcher

Publicité
Poster une réponse
Anonyme