Forum Linux.debian/ubuntu [postfix] est ce que mon serveur est piraté? Est il utilisé comme relai?

Posté par . Licence CC by-sa
Tags : aucun
2
13
juin
2018

Bonsoir,

Pour le compte de mon entreprise, j'ai mis en place un serveur de messagerie sous Debian avec Postfix+Dovecot+rainloop.

J'ai suivi un tuto en ligne. Actuellement il fonctionne (il me manque encore le TLS, SPF, DKIM, je continue de chercher de bons tuto) au cours du tuto, pour tester postfix, l'auteur nous demande de faire un "mailq", ce qui affichait "pas de message" ou un truc du genre. Mais maintenant, je vois ceci:

73CB61DCB 2795 Tue Jun 12 09:12:23 MAILER-DAEMON
(host mailstore1.secureserver.net[68.178.213.243] refused to talk to me: 421 p3plibsmtp02-15.prod.phx3.secureserver.net bizsmtp Temporarily rejected. Reverse DNS for 213.179.181.19 failed. IB108 http://x.co/srbounce)
zlbphbfu@mjvy.com

91CA51E8A 3327 Wed Jun 13 17:01:33 MAILER-DAEMON
(connect to nzdb.com[202.208.222.48]:25: Connection timed out)
lxssgtfnx@nzdb.com

9141F1E76 3305 Tue Jun 12 21:56:03 MAILER-DAEMON
(lost connection with jdmo.net[68.178.213.61] while receiving the initial server greeting)
gtmqbfrfq@jdmo.net

811DF8F9 3596 Mon Jun 11 21:20:50 MAILER-DAEMON
(host mx00.1and1.com[74.208.5.3] refused to talk to me: 421-perfora.net (mxeueus004) Nemesis ESMTP Service not available 421 Requested action aborted: local error in processing)
bsgfg@sahv.com

La liste est plus longue. Je ne comprends pas, "mailq" => mail queue => courrier en attente d'être envoyé, mais là ça a raté, comme ci quelqu'un ou quelque chose essayait d'envoyer des emails depuis mon serveur.

Je me fais des films?? Merci.

  • # Open Relay Test

    Posté par (page perso) . Évalué à 1 (+1/-0).

    J'utilise https://mxtoolbox.com/diagnostic.aspx pour vérifier que mon serveur SMTP n'est pas un open relay.

  • # les logs

    Posté par . Évalué à 1 (+0/-0).

    Salut,

    en root journalctl -f tu verras l'activités en direct (très verbeux) mais tu auras plus d'infos qu'avec mailq.

  • # Je pense pas ... mais pas assez d'infos !

    Posté par (page perso) . Évalué à 3 (+1/-0).

    Alors, voyons les messages au cas par cas:

    (host mailstore1.secureserver.net[68.178.213.243] refused to talk to me: 421 p3plibsmtp02-15.prod.phx3.secureserver.net bizsmtp Temporarily rejected. Reverse DNS for 213.179.181.19 failed. IB108 http://x.co/srbounce)

    Ca c'est le serveur en face qui t'envoie bouler parce que, vraisemblablement, tu n'as pas de reverse DNS associé à ton IP.
    Cette vérification est souvent mise en place pour lutter contre le spam.
    Pour être "bien", il faut qu'un dig -x <ton ip> donne un nom DNS valide et surtout renseigné comme étant MX sur le domaine.

    91CA51E8A 3327 Wed Jun 13 17:01:33 MAILER-DAEMON
    (connect to nzdb.com[202.208.222.48]:25: Connection timed out)
    lxssgtfnx@nzdb.com

    De mon point de vue ces mails sont générés parce que, à un moment, tu as accepté des emails pour un user qui n'existait pas sur ton domaine.
    Ton postfix a donc généré des MAILER-DAEMON pour l'expéditeur … qui était vraisemblablement un expéditeur bidonné, sur un domaine ou les serveurs de mails sont soit inexistants (le connection timeout du premier) soit fatigué (les autres).

    Après, sur l'unique base de ces logs, c'est compliqué de dire ce qui c'est réellement passé.
    Pour bien faire, il faudrait que tu recherches toutes les occurences des domaines incriminés (jdmo.net, nzdb.com) dans tes logs pour déterminer ce qui a provoquer la génération des MAILER-DAEMON….

  • # réponse

    Posté par . Évalué à 0 (+0/-1).

    Bonjour,
    d'après l'outil, tout est OK, sauf le reverse DNS. Donc je devrais être tranquille. Mais en affichant le journal; avec la commande envoyée par @srayneau, je vois des trucs bizarre comme:

    juin 14 12:18:23 exchange sshd[1295]: reverse mapping checking getaddrinfo for 185.13.87.165.ua.bluezonejordan.com [185.13.87.165] failed - POSSIBLE BREAK-IN ATTEMPT!
    juin 14 12:18:23 exchange sshd[1295]: Invalid user teamspeak from 185.13.87.165

    juin 14 12:16:55 exchange sshd[1290]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=177.193.197.5
    juin 14 12:16:57 exchange sshd[1290]: Failed password for invalid user cvsuser1 from 177.193.197.5 port 63752 ssh2
    juin 14 12:16:59 exchange sshd[1290]: Connection closed by 177.193.197.5 [preauth]

    Il est clair que c'est gens qui essayent de se connecter en ssh non?

    pour le SMTP, c'est toujours les même lignes avec les adresses générées.

    @Gérald, j'ai trouvé dans la boite Maildir/new de l'utilisateur linux, des e-mails automatisés, en plus de ceux que j'envoyais lors de mes testes. Des e-mail envoyés à root par root(cron daemon), le contenu est:

    Subject: Cron root@exchange /usr/bin/freshclam --quiet
    MIME-Version: 1.0
    Content-Type: text/plain; charset=UTF-8
    Content-Transfer-Encoding: 8bit
    X-Cron-Env: SHELL=/bin/sh
    X-Cron-Env: HOME=/root
    X-Cron-Env: PATH=/usr/bin:/bin
    X-Cron-Env: LOGNAME=root

    c'est désactivable?

    • [^] # Re: réponse

      Posté par (page perso) . Évalué à 2 (+1/-0).

      Bonjour,
      Cron envoie par mail tout ce qui sortirai à l'affichage dans un terminal. Si tu ne le veux pas, il faut rediriger ces flux dans un fichier ou dans /dev/null

    • [^] # Re: réponse

      Posté par . Évalué à 3 (+1/-0).

      Il est clair que c'est gens qui essayent de se connecter en ssh non?

      Oui. C'est commun sur un serveur SSH accessible publiquement, généralement des bots.

      Assures-toi simplement d'utiliser des bons mots de passe, ou mieux, d'autoriser uniquement l'accès SSH avec une clé.

      Pour éviter de pourrir tes logs, tu peux :
      - firewaller le port SSH pour autoriser certaines adresses ;
      - bloquer les adresses qui font trop d'auth fail avec par exemple fail2ban ;
      - changer le port d'écoute de SSH - je conseille quand même de rester sur un port privilégié (<1024) ;
      - faire du port knocking.

      • [^] # Re: réponse

        Posté par (page perso) . Évalué à 4 (+2/-0).

        Je conseille quand même de rester sur un port privilégié (<1024)

        Pour quelle raison ?

        • [^] # Re: réponse

          Posté par . Évalué à 4 (+2/-0).

          Pour éviter qu'un utilisateur puisse mettre un faux service en écoute sur le port et capturer mots de passe et autres joyeusetés.

          Je concède qu'en pratique, ça s'avère assez difficile :
          * il y a normalement déjà le vrai service en écoute, donc le port sera occupé (à moins de trouver un moyen de le stopper, ou d'attraper une fenêtre ou il redémarre) ;
          * il n'a pas accès aux clés du serveur, donc le client renverra une alerte si ce n'est pas sa première connexion.

  • # proposition de tuto

    Posté par . Évalué à 1 (+0/-0).

    Bonjour,

    j'ai un tuto en cours d"écriture sur l'installation d'un serveur sécurisé, avec partie serveur mail quasi terminée. Ce n'est pas un tuto à suivre , mais un tuto avec explications et tests à chaque étape; il n'est pas finalisé, mais la partie écrite marche parfaitement (testée sur 2 serveurs). Je peux vous l'envoyer en l'état. Mon adresse émail est dispo sur ma page web Le Yojik, page contact. (site complètement sans pub ni traceurs ou autres joyeusetés )

    Eric

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.