Serveur Courier-smtp utilisé comme serveur de spam

On 19/04 11:37, AllCoKe wrote :

Bonjour,
Mon serveur mail Postfix + Courier-Smtp a été utilisé cette nuit pa r un
spammeur qui a tenté d'innonder des centaines de boîtes mail @aol.com.
Je m'en suis rendu compte en recevant 500 messages d'erreur "Undelivered
Mail Return to Sender" : tous mes mails étaient déjà bloqués par AOL avant,
le message d'erreur étant : mailin-03.mx.aol.com refused to talk to me: 554-
(RTR:BB)
*http://postmaster.info.aol.com/errors/554rtrbb.html*<http://postmaster.i nfo.aol.com/errors/554rtrbb.html>554-
AOL does not accept e-mail transactions from dynamic or residential
554- IP addresses
Comment puis-je d'ailleurs remédier à ce problème ?

Ce que tu décris ressemble plus à un problème d'open-relay, c'est à
dire que ton postfix accepte tous les mails (or il ne devrait accepter
les mails que sous 2 conditions:
- l'IP du client qui s'y connecte est dans mynetworks
- le mail est à destination d'un domaine que le serveur gère)

Concernant le spam, j'utilise pourtant Amavis et Clamav mais ça ne doit pas
être assez bien configuré vu ce qui s'est passé. Je n'ai pas instal lé
SpamAssassin vu qu'il parait qu'il consomme pas mal de ressources et que mon
serveur étant assez vieux, je ne pense pas qu'il le supporterai.

Amavis ne filtre le spam que si spamassassin est installé (et s'il est
configuré pour).

Voilà les restrictions que j'ai actuellement dans mon fichier
postfix/main.cf :
smtpd_helo_required = yes
smtpd_sender_restrictions = permit_mynetworks reject_non_fqdn_sender

Il manque une virgule (,) après le permit_mynetworks, mais ce n'est
peut-être pas obligatoire.
Que contient "mynetworks" et "mydestination" et éventuellement
"relay_domains" ?

check_policy_service inet:127.0.0.1:60000

Je ne connaissais pas cette option, mais visiblement cela pointe vers un
service qui gère l'accès (remplace les 2 fameuses conditions ?).
Il y a de fortes chances que ce qui tourne sur le port 60000 est trop
"open", à vérifier en premier amha...

content_filter = smtp-amavis:[127.0.0.1]:10024

Amavis n'intervient qu'après ces tests.

Est-ce que ces restrictions sont améliorables ? Ou alors un autre moyen pour
empêcher que des tentatives de spam recommencent ?
Merci d'avance !

a+

Jean-Michel

------=_Part_2853_32518250.1145441766331
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le 19/04/06, Jean-Michel Schelcher <jm_ml@schelcher.net> a écrit :

On 19/04 11:37, AllCoKe wrote :

> Bonjour,
> Mon serveur mail Postfix + Courier-Smtp a été utilisé cette nuit par un
> spammeur qui a tenté d'innonder des centaines de boîtes mail @aol.c om.
> Je m'en suis rendu compte en recevant 500 messages d'erreur "Undelivere d
> Mail Return to Sender" : tous mes mails étaient déjà bloqués pa r AOL
avant,
> le message d'erreur étant : mailin-03.mx.aol.com refused to talk to m e:
554-
> (RTR:BB)
> *http://postmaster.info.aol.com/errors/554rtrbb.html*<
http://postmaster.info.aol.com/errors/554rtrbb.html>554-
> AOL does not accept e-mail transactions from dynamic or residential
> 554- IP addresses
> Comment puis-je d'ailleurs remédier à ce problème ?

Ce que tu décris ressemble plus à un problème d'open-relay, c'est à
dire que ton postfix accepte tous les mails (or il ne devrait accepter
les mails que sous 2 conditions:
- l'IP du client qui s'y connecte est dans mynetworks
- le mail est à destination d'un domaine que le serveur gère)

> Concernant le spam, j'utilise pourtant Amavis et Clamav mais ça ne do it
pas
> être assez bien configuré vu ce qui s'est passé. Je n'ai pas inst allé
> SpamAssassin vu qu'il parait qu'il consomme pas mal de ressources et qu e
mon
> serveur étant assez vieux, je ne pense pas qu'il le supporterai.

Amavis ne filtre le spam que si spamassassin est installé (et s'il est
configuré pour).

Ah, donc pas d'autres choix que de l'installer ?

Voilà les restrictions que j'ai actuellement dans mon fichier
> postfix/main.cf :
> smtpd_helo_required = yes
> smtpd_sender_restrictions = permit_mynetworks reject_non_fqdn_sender

Il manque une virgule (,) après le permit_mynetworks, mais ce n'est
peut-être pas obligatoire.
Que contient "mynetworks" et "mydestination" et éventuellement
"relay_domains" ?

mynetworks = 127.0.0.0/8, 192.168.0.0/24
mydestination = Serveur, localhost.localdomain, localhost
(Serveur est le nom de la machine)
relay_domains = mondomaine.net

check_policy_service inet:127.0.0.1:60000

Je ne connaissais pas cette option, mais visiblement cela pointe vers un
service qui gère l'accès (remplace les 2 fameuses conditions ?).
Il y a de fortes chances que ce qui tourne sur le port 60000 est trop
"open", à vérifier en premier amha...

C'est pour postgrey, j'ai oublié de dire que je l'utilisais :o)

content_filter = smtp-amavis:[127.0.0.1]:10024

Amavis n'intervient qu'après ces tests.

> Est-ce que ces restrictions sont améliorables ? Ou alors un autre moy en
pour
> empêcher que des tentatives de spam recommencent ?
> Merci d'avance !

a+

Jean-Michel

Merci

------=_Part_2853_32518250.1145441766331
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<div><span class="gmail_quote">Le 19/04/06, <b class="gmail_sendername" >Jean-Michel Schelcher</b> &lt;<a href="mailto:jm_ml@schelcher.net">jm_ml @schelcher.net</a>&gt; a écrit :</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0 px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">On 19/04 11:37, AllCoKe wrote :< br><br>&gt; Bonjour,<br>&gt; Mon serveur mail Postfix + Courier-Smtp a ét é utilisé cette nuit par un
<br>&gt; spammeur qui a tenté d'innonder des centaines de boîtes mail @ <a href="http://aol.com">aol.com</a>.<br>&gt; Je m'en suis rendu compte e n recevant 500 messages d'erreur &quot;Undelivered<br>&gt; Mail Return to S ender&quot; : tous mes mails étaient déjà bloqués par AOL avant,
<br>&gt; le message d'erreur étant : <a href="http://mailin-03.mx.aol.c om">mailin-03.mx.aol.com</a> refused to talk to me: 554-<br>&gt; (RTR:BB)<b r>&gt; *<a href="http://postmaster.info.aol.com/errors/554rtrbb.html*">ht tp://postmaster.info.aol.com/errors/554rtrbb.html*
</a>&lt;<a href="http://postmaster.info.aol.com/errors/554rtrbb.html">htt p://postmaster.info.aol.com/errors/554rtrbb.html</a>&gt;554-<br>&gt; AOL do es not accept e-mail transactions from dynamic or residential<br>&gt; 554- IP addresses
<br>&gt; Comment puis-je d'ailleurs remédier à ce problème ?<br><br>C e que tu décris ressemble plus à un problème d'open-relay, c'est à< br>dire que ton postfix accepte tous les mails (or il ne devrait accepter<b r>les mails que sous 2 conditions:
<br>- l'IP du client qui s'y connecte est dans mynetworks<br>- le mail est à destination d'un domaine que le serveur gère)<br><br>&gt; Concernant le spam, j'utilise pourtant Amavis et Clamav mais ça ne doit pas<br>&gt; être assez bien configuré vu ce qui s'est passé. Je n'ai pas install é
<br>&gt; SpamAssassin vu qu'il parait qu'il consomme pas mal de ressources et que mon<br>&gt; serveur étant assez vieux, je ne pense pas qu'il le su pporterai.<br><br>Amavis ne filtre le spam que si spamassassin est install é (et s'il est
<br>configuré pour).</blockquote>
<div>&nbsp;</div>
<div>Ah, donc pas d'autres choix que de l'installer ?</div><br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0 px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">&gt; Voilà les restrictions qu e j'ai actuellement dans mon fichier<br>&gt; postfix/main.cf :<br>&gt; smtp d_helo_required = yes
<br>&gt; smtpd_sender_restrictions = permit_mynetworks reject_non_fqdn_se nder<br><br>Il manque une virgule (,) après le permit_mynetworks, mais ce n'est<br>peut-être pas obligatoire.<br>Que contient &quot;mynetworks&quo t; et &quot;mydestination&quot; et éventuellement
<br>&quot;relay_domains&quot; ?</blockquote>
<div>&nbsp;</div>
<div>mynetworks = <a href="http://127.0.0.0/8">127.0.0.0/8</a>, <a href ="http://192.168.0.0/24">192.168.0.0/24</a></div>
<div>mydestination = Serveur, localhost.localdomain, localhost</div>
<div>(Serveur est le nom de la machine)</div>
<div>relay_domains = <a href="http://mondomaine.net">mondomaine.net</a> </div><br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0 px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">&gt; check_policy_service inet:< a href="http://127.0.0.1:60000">127.0.0.1:60000</a><br><br>Je ne connaiss ais pas cette option, mais visiblement cela pointe vers un
<br>service qui gère l'accès (remplace les 2 fameuses conditions ?).<br >Il y a de fortes chances que ce qui tourne sur le port 60000 est trop<br>& quot;open&quot;, à vérifier en premier amha...</blockquote>
<div>&nbsp;</div>
<div>C'est pour postgrey, j'ai oublié de dire que je l'utilisais :o)</div ><br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0 px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">&gt; content_filter = smtp-ama vis:[<a href="http://127.0.0.1">127.0.0.1</a>]:10024<br><br>Amavis n'inte rvient qu'après ces tests.
<br><br>&gt; Est-ce que ces restrictions sont améliorables ? Ou alors un autre moyen pour<br>&gt; empêcher que des tentatives de spam recommencent ?<br>&gt; Merci d'avance !<br><br>a+<br><br>Jean-Michel<br><br></blockquot e>
</div><br>Merci

------=_Part_2853_32518250.1145441766331--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--=-tQ5BVQc+QJfPujRaNfMs
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: quoted-printable

Le mercredi 19 avril 2006 à 11:37 +0200, AllCoKe a écrit :

Bonjour,

Coucou!

[...]

Est-ce que ces restrictions sont améliorables ? Ou alors un autre
moyen pour empêcher que des tentatives de spam recommencent ?

Voici une liste de restrictions que tu peux tester:

permit_mynetworks
reject_invalid_hostname
reject_unknown_hostname
reject_non_fqdn_hostname
reject_unknown_sender_domain
reject_non_fqdn_sender
reject_unauth_destination
reject_invalid_hostname
reject_non_fqdn_hostname
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unknown_sender_domain
reject_unknown_recipient_domain
reject_rbl_client

Ainsi que différentes cibles:

smtpd_helo_restrictions =
smtpd_etrn_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions =

Merci d'avance !

de rien

++ ;)
--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net (F15B8BAD)
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/

--=-tQ5BVQc+QJfPujRaNfMs
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (GNU/Linux)

iD8DBQBERkBtCXnTgfFbi60RAgvjAJ4q4kNODPdYykiM9M5SHtkSQA15agCdG+BE
ea8Wtm156FavxL6+DyyjrPM =oNne
-----END PGP SIGNATURE-----

--=-tQ5BVQc+QJfPujRaNfMs--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

------=_Part_5150_23989272.1145457700134
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Il te manque effectivement les virgules entre les paramètres de la
directive "smtpd_sender_restrictions", ton pb ne vient probablement pas d e
là mais c'est sur que cela peut perturber serieusement l'interprétati on de
la directive par Postfix (seul le premier paramètre prise en compte pa r
example...).

J'ai rajouté les virgules

Mais pour pouvoir t'aider il nous faudrait un peu plus d'informations:

Que te renvoie la sortie de "postconf -n" ?

Ca me renvoie :

alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
mydestination = Serveur, localhost.localdomain, localhost
mydomain = mondomaine.net
myhostname = mondomaine.net
mynetworks = 127.0.0.0/8, 192.168.0.0/24
myorigin = /etc/mailname
recipient_delimiter = +
relay_domains = proxy:mysql:/etc/postfix/mysql_relay_domains_maps.cf
relayhost =
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_helo_required = yes
smtpd_sender_restrictions = permit_mynetworks, reject_non_fqdn_sender,
check_policy_service inet:127.0.0.1:60000
transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_gid_maps = static:106
virtual_mailbox_base = /var/spool/postfix/virtual
virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.c f
virtual_mailbox_limit = 51200000
virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 106
virtual_transport = virtual
virtual_uid_maps = static:106

------=_Part_5150_23989272.1145457700134
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<div>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0 px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div style="DIRECTION: ltr">
<blockquote cite="http://mid14bda9180604190237n1c1500etc199a890e601f684@m ail.gmail.com" type="cite">
<blockquote>Il te manque effectivement les virgules entre les paramètres de la directive &quot;smtpd_sender_restrictions&quot;, ton pb ne vient prob ablement pas de là mais c'est sur que cela peut perturber serieusement l' interprétation de la directive&nbsp; par Postfix (seul le premier param ètre prise en compte par example...).
</blockquote></blockquote></div></blockquote>
<div>J'ai rajouté les virgules</div><br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0 px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div style="DIRECTION: ltr">
<blockquote cite="http://mid14bda9180604190237n1c1500etc199a890e601f684@m ail.gmail.com" type="cite">
<blockquote>Mais pour pouvoir t'aider il nous faudrait un peu plus d'inform ations:<br><br>Que te renvoie la sortie de &quot;postconf -n&quot; ?</block quote></blockquote></div></blockquote>
<div>Ca me renvoie :</div>
<div>alias_maps = hash:/etc/aliases<br>append_dot_mydomain = no<br>biff = no<br>config_directory = /etc/postfix<br>content_filter = smtp-ama vis:[<a href="http://127.0.0.1">127.0.0.1</a>]:10024<br>mailbox_command = procmail -a &quot;$EXTENSION&quot;
<br>mailbox_size_limit = 0<br>mydestination = Serveur, localhost.locald omain, localhost<br>mydomain = <a href="http://mondomaine.net">mondomai ne.net</a><br>myhostname = <a href="http://mondomaine.net">mondomaine.n et</a><br>
mynetworks = <a href="http://127.0.0.0/8">127.0.0.0/8</a>, <a href="h ttp://192.168.0.0/24">192.168.0.0/24</a><br>myorigin = /etc/mailname<br>r ecipient_delimiter = +<br>relay_domains = proxy:mysql:/etc/postfix/mysq l_relay_domains_maps.cf
<br>relayhost = <br>smtpd_banner = $myhostname ESMTP $mail_name (Debian /GNU)<br>smtpd_helo_required = yes<br>smtpd_sender_restrictions = permi t_mynetworks, reject_non_fqdn_sender, check_policy_service inet:<a href=" http://127.0.0.1:60000">
127.0.0.1:60000</a><br>transport_maps = hash:/etc/postfix/transport<br>vi rtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf<br>virt ual_gid_maps = static:106<br>virtual_mailbox_base = /var/spool/postfix/ virtual
<br>virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_ma ps.cf<br>virtual_mailbox_limit = 51200000<br>virtual_mailbox_maps = mys ql:/etc/postfix/mysql_virtual_mailbox_maps.cf<br>virtual_minimum_uid = 10 6<br>
virtual_transport = virtual<br>virtual_uid_maps = static:106</div></div >

------=_Part_5150_23989272.1145457700134--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

AllCoKe a écrit :

Bonjour,

Bonjour,

Mon serveur mail Postfix + Courier-Smtp a été utilisé cette nuit par
un spammeur qui a tenté d'innonder des centaines de boîtes mail
@aol.com <http://aol.com>.
Je m'en suis rendu compte en recevant 500 messages d'erreur
"Undelivered Mail Return to Sender" : tous mes mails étaient déjà
bloqués par AOL avant, le message d'erreur étant :
mailin-03.mx.aol.com <http://mailin-03.mx.aol.com> refused to talk to
me: 554- (RTR:BB)
_http://postmaster.info.aol.com/errors/554rtrbb.html _ 554- AOL does
not accept e-mail transactions from dynamic or residential 554- IP
addresses
Comment puis-je d'ailleurs remédier à ce problème ?

tu ne peux pas. Beaucoup de fai refuse les mails en provenance directe
de serveurs smtp personnels. Pour pouvoir envoyer des mails a ces fai,
tu dois passer par le relai smtp de ton fai (configuration de type
smarthost).

A+

Concernant le spam, j'utilise pourtant Amavis et Clamav mais ça ne
doit pas être assez bien configuré vu ce qui s'est passé. Je n'ai pas
installé SpamAssassin vu qu'il parait qu'il consomme pas mal de
ressources et que mon serveur étant assez vieux, je ne pense pas qu'il
le supporterai.
Voilà les restrictions que j'ai actuellement dans mon fichier
postfix/main.cf :
smtpd_helo_required = yes
smtpd_sender_restrictions = permit_mynetworks reject_non_fqdn_sender
check_policy_service inet:127.0.0.1:60000 <http://127.0.0.1:60000>
content_filter = smtp-amavis:[127.0.0.1 <http://127.0.0.1>]:10024

Est-ce que ces restrictions sont améliorables ? Ou alors un autre
moyen pour empêcher que des tentatives de spam recommencent ?
Merci d'avance !

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le 19/04/06, Camille Turiel <cturiel@free.fr> a écrit :

"relay_domains" permet de creer une exception aux restrictions "reject_un auth_destination" et "permit_auth_dest..", or ds ton cas (config par defaut ) "smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destin ation".Ce qui veux dire que s'il y a une wildcard qui traine ds ta table, o u un "aol.com" (par hasard) qui traine ds cette table, n'importe qui peut r elayer à travers ton serveur à destination de ts les domaines présent s ds cette dernière.
Qd à la directive "smtpd_sender_restrictions" c'est idem: "relay_domain s" s'applique à la restriction "permit_mynetworks" donc si le destinatair e matche ce paramètre il n'y aura pas non plus de restrictions sur l'expe diteur.

Pourquoi utilises-tu cette table ? peux-tu ns en envoyer le contenu ?

J'utilise Postfixadmin qui utilise ces tables.
Par contre dans cette table domain, il n'y a absolument rien d'autres
que mes deux domaines.

Ceci dit le mieux est d'essayer de reproduire le problème, pour mieux l 'analyser ensuite, je te conseille d'attaquer ton serveur depuis un autre s ous-réseau, et d'activer le debug sur le domaine que tu veux essayer de l ui faire relayer ex: "debug_peer_list = aol.com", c'est assez bavard mais redoutablement efficace,

sinon en attendant tu peux deja commenter la directive "relay_domain"
et essayer de relayer depuis "l'exterieur".

Sur ce point, je ne sais absolument pas comment attaquer mon serveur
et je n'ai pas d'autre réseau sous la main :/




Le 19/04/06, Marc PERRUDIN <debianNOSPAM@mp342.org> a écrit :

tu ne peux pas. Beaucoup de fai refuse les mails en provenance directe
de serveurs smtp personnels. Pour pouvoir envoyer des mails a ces fai,
tu dois passer par le relai smtp de ton fai (configuration de type
smarthost).

Smarthost ? De quoi s'agit-il ? Mettre le smtp de mon FAI dans
relayhost ne suffit pas ?





2006/4/19, manioul <manioul@manioul.org>:

Voici une liste de restrictions que tu peux tester:

permit_mynetworks
reject_invalid_hostname
reject_unknown_hostname
reject_non_fqdn_hostname
reject_unknown_sender_domain
reject_non_fqdn_sender
reject_unauth_destination
reject_invalid_hostname
reject_non_fqdn_hostname
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unknown_sender_domain
reject_unknown_recipient_domain
reject_rbl_client

Ainsi que différentes cibles:

smtpd_helo_restrictions =
smtpd_etrn_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions =

Merci, je vais me documenter sur ces restrictions !

Bonne soirée

AllCoKe a écrit :

Le 19/04/06, Camille Turiel <cturiel@free.fr> a écrit :

"relay_domains" permet de creer une exception aux restrictions "reject_ unauth_destination" et "permit_auth_dest..", or ds ton cas (config par de faut) "smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_ destination".Ce qui veux dire que s'il y a une wildcard qui traine ds ta table, ou un "aol.com" (par hasard) qui traine ds cette table, n'importe qui peut relayer à travers ton serveur à destination de ts les domain es présents ds cette dernière.
Qd à la directive "smtpd_sender_restrictions" c'est idem: "relay_doma ins" s'applique à la restriction "permit_mynetworks" donc si le destina taire matche ce paramètre il n'y aura pas non plus de restrictions sur l'expediteur.

Pourquoi utilises-tu cette table ? peux-tu ns en envoyer le contenu ?

J'utilise Postfixadmin qui utilise ces tables.
Par contre dans cette table domain, il n'y a absolument rien d'autres
que mes deux domaines.

Cet outil (frontal graphique j'imagine) ne fait pas partie du paquetage
Postfix, et je ne le connait pas. En revanche ce qui est sur c'est que
ce genre d'outils est à proscrire si tu ne connais pas deja bien le
fonctionnement interne de Postfix, c'est tout juste utile pour la
gestion des comptes. Sinon pour info, ce n'est pas postfixadmin qui
utilise ces tables mais Postfix, bien que cela soit postfixadmin qui
l'aie crée, et ma question était de savoir pourquoi tu as ajouté ce tte
exception (relay_domain) et que contenait cette table.
Cela met bien en évidence le problème des frontaux graphiques de conf ig:
ds ce cas tu ne sais pourquoi tu as positionné cette directive, c'est
regrettable et cela te complique serieusement le débugage...
Pour en revenir au pb initial si il y a tes deux domaines ds cette table
cela veut dire que tu as un controle très restrictif qui bloque tt par
défaut et ne fait passer que tes domaines gérés par le biais de
l'exception "relay_domain" ou figurent tes domaines...maintenant reste à
savoir comment ton spammeur à pu attaquer malgré tout ton smtpd, pour
cela la seule solution est d'analyser les logs pour determiner
exactement par quel transport il est passé, j'imagine que les transport s
spécifiques (comme celui utilisé pour la réinjection ds Postfix apr ès
traitement antivirus) ont bien été limités à l'hôte local, et q ue les
restrictions du transport en question ont été redéfinies (ce qui es t
souvent le cas pour éviter un double contrôle inutile...).
Donc en résumé si tu as un transport smtp spécifique ex sur port 10 024
non restreint et non limité à l'hôte local il est possible que le
spammeur l'aie utilisé pour injecter ses pourriels...pour cela il
faudrait que tu nous envoie ton master.cf afin d'analyser la config des
services.
Et puis tant qu'à faire si tu peux nous faire parvenir le morceau de lo g
concernant l'attaque en question cela pourrait nous faciliter grandement
la tâche.

Ceci dit le mieux est d'essayer de reproduire le problème, pour mieux l'analyser ensuite, je te conseille d'attaquer ton serveur depuis un aut re sous-réseau, et d'activer le debug sur le domaine que tu veux essaye r de lui faire relayer ex: "debug_peer_list = aol.com", c'est assez bav ard mais redoutablement efficace,

sinon en attendant tu peux deja commenter la directive "relay_domain"
et essayer de relayer depuis "l'exterieur".

Normalement en faisant cela il devrait systématiquement refuser le rela y
quel que soit le domaine...

Sur ce point, je ne sais absolument pas comment attaquer mon serveur
et je n'ai pas d'autre réseau sous la main :/

Le plus simple est d'ajouter une deuxième interface Ex eth0:1 sur un
autre sous-réseau IP Ex: 10.0.0.2 (ds /etc/network/interfaces) et tu
l'attaques sur cette interface, sinon si tu veux t'amuser tu peux te
connecter avec un bon vieux modem RTC et tu attaques ton serveur sur son
adresse externe comme le ferait un client standard.

Le 19/04/06, Marc PERRUDIN <debianNOSPAM@mp342.org> a écrit :

tu ne peux pas. Beaucoup de fai refuse les mails en provenance directe
de serveurs smtp personnels. Pour pouvoir envoyer des mails a ces fai,
tu dois passer par le relai smtp de ton fai (configuration de type
smarthost).

Smarthost ? De quoi s'agit-il ? Mettre le smtp de mon FAI dans
relayhost ne suffit pas ?

C'est la même chose, la config "smarthost" correspond à ce type de
configuration (relay sur smtp de ton ISP par ex) c'est simplement
l'appellation utilisée par dpkg.

2006/4/19, manioul <manioul@manioul.org>:

Voici une liste de restrictions que tu peux tester:

permit_mynetworks
reject_invalid_hostname
reject_unknown_hostname
reject_non_fqdn_hostname
reject_unknown_sender_domain
reject_non_fqdn_sender
reject_unauth_destination
reject_invalid_hostname
reject_non_fqdn_hostname
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unknown_sender_domain
reject_unknown_recipient_domain
reject_rbl_client

Ainsi que différentes cibles:

smtpd_helo_restrictions =
smtpd_etrn_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions =

Merci, je vais me documenter sur ces restrictions !

Je pense qu'il te serait plus utile de te documenter sur le
fonctionnement global de Postfix afin de mieux cerner les concepts qui
mettent en oeuvre ces restrictions.

Cordialement,

Camille.

Bonjour,
Voilà mon fichier master.cf :

smtp inet n - n - - smtpd
#submission inet n - - - - smtpd
# -o smtpd_etrn_restrictions=reject
#628 inet n - - - - qmqpd
pickup fifo n - - 60 1 pickup
cleanup unix n - n - 0 cleanup
qmgr fifo n - - 300 1 qmgr
#qmgr fifo n - - 300 1 oqmgr
rewrite unix - - n - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
smtp unix - - - - - smtp
relay unix - - - - - smtp
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - - - - showq
error unix - - - - - error
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - n - - lmtp
anvil unix - - n - 1 anvil
smtp-amavis unix - - n - 2 smtp -o smtp_data_done_timeout=1 200
127.0.0.1:10025 inet n - n - - smtpd -o content_filter=

maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ( $recipient)
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipien t)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -d -t$nexthop
-f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
${nexthop} ${user} ${extension}

Et pour les logs, des centaines de lignes comme celles-là :

Apr 18 07:18:31 Serveur postfix/qmgr[1310]: 9D458AE315:
from=<allcoke@[mondomaine].net>, size=1052, nrcpt=2 (queue active)
Apr 18 07:18:32 Serveur postfix/smtp[6549]: 16E4EAE253:
to=<[utilisateur]@aol.com>, relay=mailin-02.mx.aol.com[64.12.138.185],
delay=373186, status=deferred (host
mailin-02.mx.aol.com[64.12.138.185] refused to talk to me: 554-
(RTR:BB) http://postmaster.info.aol.com/errors/554rtrbb.html 554- AOL
does not accept e-mail transactions from dynamic or residential 554-
IP addresses. 554 Connecting IP: [mon.ip])

Le paramêtre from de tous les mails envoyé semble être
allcoke@[mondomaine].net bien qu'elle n'existe pas.

------=neXtPaRt_1145555824
Content-Type: multipart/mixed; boundary="----=neXtPaRt_1145555822"


------=neXtPaRt_1145555822
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 8bit

Pour info, tu peux utiliser ce site
http://www.alaide.com/outils_testmailrelay.php
Cela ne reglera pas ton probleme directement mais ca peux aider afin d'etre
sur de ne pas etre en danger.
tu mets juste l'@ip publique de ton serveur mail et tu as un rapport si
d'autres peuvent s'en servir comme open relay

@+



----- Original Message -----
From: "Camille Turiel" <cturiel@free.fr>
To: <debian-user-french@lists.debian.org>
Sent: Thursday, April 20, 2006 11:24 AM
Subject: Re: Serveur Courier-smtp utilisé comme serveur de spamerait


AllCoKe a écrit :

Le 19/04/06, Camille Turiel <cturiel@free.fr> a écrit :

"relay_domains" permet de creer une exception aux restrictions

"reject_unauth_destination" et "permit_auth_dest..", or ds ton cas (config
par defaut) "smtpd_recipient_restrictions = permit_mynetworks,
reject_unauth_destination".Ce qui veux dire que s'il y a une wildcard qui
traine ds ta table, ou un "aol.com" (par hasard) qui traine ds cette table,
n'importe qui peut relayer à travers ton serveur à destination de ts les
domaines présents ds cette dernière.

Qd à la directive "smtpd_sender_restrictions" c'est idem: "relay_domains"

s'applique à la restriction "permit_mynetworks" donc si le destinataire
matche ce paramètre il n'y aura pas non plus de restrictions sur
l'expediteur.

Pourquoi utilises-tu cette table ? peux-tu ns en envoyer le contenu ?

J'utilise Postfixadmin qui utilise ces tables.
Par contre dans cette table domain, il n'y a absolument rien d'autres
que mes deux domaines.

Cet outil (frontal graphique j'imagine) ne fait pas partie du paquetage
Postfix, et je ne le connait pas. En revanche ce qui est sur c'est que
ce genre d'outils est à proscrire si tu ne connais pas deja bien le
fonctionnement interne de Postfix, c'est tout juste utile pour la
gestion des comptes. Sinon pour info, ce n'est pas postfixadmin qui
utilise ces tables mais Postfix, bien que cela soit postfixadmin qui
l'aie crée, et ma question était de savoir pourquoi tu as ajouté cette
exception (relay_domain) et que contenait cette table.
Cela met bien en évidence le problème des frontaux graphiques de config:
ds ce cas tu ne sais pourquoi tu as positionné cette directive, c'est
regrettable et cela te complique serieusement le débugage...
Pour en revenir au pb initial si il y a tes deux domaines ds cette table
cela veut dire que tu as un controle très restrictif qui bloque tt par
défaut et ne fait passer que tes domaines gérés par le biais de
l'exception "relay_domain" ou figurent tes domaines...maintenant reste à
savoir comment ton spammeur à pu attaquer malgré tout ton smtpd, pour
cela la seule solution est d'analyser les logs pour determiner
exactement par quel transport il est passé, j'imagine que les transports
spécifiques (comme celui utilisé pour la réinjection ds Postfix après
traitement antivirus) ont bien été limités à l'hôte local, et que les
restrictions du transport en question ont été redéfinies (ce qui est
souvent le cas pour éviter un double contrôle inutile...).
Donc en résumé si tu as un transport smtp spécifique ex sur port 10024
non restreint et non limité à l'hôte local il est possible que le
spammeur l'aie utilisé pour injecter ses pourriels...pour cela il
faudrait que tu nous envoie ton master.cf afin d'analyser la config des
services.
Et puis tant qu'à faire si tu peux nous faire parvenir le morceau de log
concernant l'attaque en question cela pourrait nous faciliter grandement
la tâche.

Ceci dit le mieux est d'essayer de reproduire le problème, pour mieux

l'analyser ensuite, je te conseille d'attaquer ton serveur depuis un autre
sous-réseau, et d'activer le debug sur le domaine que tu veux essayer de lui
faire relayer ex: "debug_peer_list = aol.com", c'est assez bavard mais
redoutablement efficace,

sinon en attendant tu peux deja commenter la directive "relay_domain"
et essayer de relayer depuis "l'exterieur".

Normalement en faisant cela il devrait systématiquement refuser le relay
quel que soit le domaine...

Sur ce point, je ne sais absolument pas comment attaquer mon serveur
et je n'ai pas d'autre réseau sous la main :/

Le plus simple est d'ajouter une deuxième interface Ex eth0:1 sur un
autre sous-réseau IP Ex: 10.0.0.2 (ds /etc/network/interfaces) et tu
l'attaques sur cette interface, sinon si tu veux t'amuser tu peux te
connecter avec un bon vieux modem RTC et tu attaques ton serveur sur son
adresse externe comme le ferait un client standard.

Le 19/04/06, Marc PERRUDIN <debianNOSPAM@mp342.org> a écrit :

tu ne peux pas. Beaucoup de fai refuse les mails en provenance directe
de serveurs smtp personnels. Pour pouvoir envoyer des mails a ces fai,
tu dois passer par le relai smtp de ton fai (configuration de type
smarthost).

Smarthost ? De quoi s'agit-il ? Mettre le smtp de mon FAI dans
relayhost ne suffit pas ?

C'est la même chose, la config "smarthost" correspond à ce type de
configuration (relay sur smtp de ton ISP par ex) c'est simplement
l'appellation utilisée par dpkg.

2006/4/19, manioul <manioul@manioul.org>:

Voici une liste de restrictions que tu peux tester:

permit_mynetworks
reject_invalid_hostname
reject_unknown_hostname
reject_non_fqdn_hostname
reject_unknown_sender_domain
reject_non_fqdn_sender
reject_unauth_destination
reject_invalid_hostname
reject_non_fqdn_hostname
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unknown_sender_domain
reject_unknown_recipient_domain
reject_rbl_client

Ainsi que différentes cibles:

smtpd_helo_restrictions >>smtpd_etrn_restrictions >>smtpd_sender_restrictions >>smtpd_recipient_restrictions >>

Merci, je vais me documenter sur ces restrictions !

Je pense qu'il te serait plus utile de te documenter sur le
fonctionnement global de Postfix afin de mieux cerner les concepts qui
mettent en oeuvre ces restrictions.

Cordialement,

Camille.




------=neXtPaRt_1145555822
Content-Type: text/plain;

-------------------------------------------------------------------------------------------------------------------
Ce message électronique et tous les fichiers attachés qu'il contient sont confidentiels et destinés exclusivement
à l'usage de la personne à laquelle ils sont adressés. Si vous avez reçu ce message par erreur, merci de le
retourner à son émetteur. La publication, l'usage, la distribution, l'impression ou la copie non autorisée de ce
message et des attachements qu'il contient sont strictement interdits.

------=neXtPaRt_1145555822--


------=neXtPaRt_1145555824
Content-Type: text/plain;
charset=fr
Content-Transfer-Encoding: 8bits

Sans virus connus

------=neXtPaRt_1145555824--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org