Forum général.cherche-logiciel [Outil] Test en conformité sécurité

Posté par . Licence CC by-sa.
Tags : aucun
1
24
jan.
2020

Bonjour à tous,

Je cherche un outil de conformité en sécurité d'un serveur mail auto-hébergé.

Ou un script, auriez-vous connaissance d'une solution telle que celle-ci ?

Je vous parle de ceci car n'ayant pas mis à jour mon hostname, je crois que je ne respecte pas complètement le schéma classique théorique FQDN.

Est-ce que les serveurs mails à règles sévères ont besoin de ceci ?

Merci d'avance.

  • # mail tester ?

    Posté par . Évalué à 2 (+1/-0).

    Un service comme celui-ci par exemple ?

  • # oui

    Posté par . Évalué à 5 (+3/-0).

    Je vous parle de ceci car n'ayant pas mis à jour mon hostname, je crois que je ne respecte pas complètement le schéma classique théorique FQDN.

    Est-ce que les serveurs mails à règles sévères ont besoin de ceci ?

    sans être "severe", dans la lutte anti spam, on regarde souvent que l'émetteur ait un nom de domaine valide (FQDN), si possible dans le domaine émetteur, ou sinon listé dans la liste SPF du domaine émetteur.

    ainsi quand je reçois un email d'une machine X.Y.Z.T qui cherche a envoyé un email en provenance de @domainelectro75.tld vers mes utilisateurs,

    ma machine va regarder si :

    • X.Y.Z.T renvoie bien sur un nom de domaine valide (c'est donc le reverse DNS, PTR de son nom qu'il faut renseigner)
    • X.Y.Z.T et/ou le nom de domaine trouvé preceddemment est dans la liste des machines autorisées à envoyer des emails avec émetteur @domainelectro75.tld (c'est le champ DNS SPF ou TXT du domaine domainelectro75.tld qu'il faut configurer)

    mais on dégage aussi les machines qui ne se présente pas avec un hostname valide ou inconnu…

    ci-dessous mes rapports anti spams

    RCPT
       Recipient address rejected: 
    
       Relay access denied (total: 4)
              2   45.143.223.51
              1   purpleroad.top
              1   195.189.197.138
       blocked using b.barracudacentral.org (total: 1)
              1   hostwindsdns.com
       blocked using bl.spamcop.net (total: 2)
              1   rsgsv.net
              1   sfmails.net
       blocked using cbl.abuseat.org (total: 1)
              1   rednovel.top
       cannot find your hostname (total: 63)
             42   64.225.118.184
              8   23.247.93.161
              4   134.73.250.199
              1   59.31.90.206
              1   77.121.5.131
              1   81.21.86.97
              1   91.191.146.57
              1   96.70.52.227
              1   118.70.220.116
              1   178.176.104.182
              1   185.116.254.18
              1   202.166.174.218
    • [^] # Re: oui

      Posté par . Évalué à 2 (+1/-0). Dernière modification le 25/01/20 à 18:34.

      Merci pour ta réponse.

      ma machine va regarder si :
      X.Y.Z.T renvoie bien sur un nom de domaine valide (c'est donc le reverse DNS, PTR de son nom qu'il faut renseigner)

      Je prend comme exemple le cas suivant :
      Hostname: mail
      Domain: contoso.com
      FQDN: mail.contoso.com

      => Donc si le hostname de la machine est différent de "mail", l'IP est banni ? => concerne le rDNS du coup

      => par contre, dans la zone DNS, on doit tout de même avoir mail.contoso.com lié à contoso.com, non ? => concerne la zone DNS

      En résumé : en Smtp, on utilise le hostname dans l'envoie des e-mails.

      Aussi, peut-on faire du multiple hostname pour un seul PC avec plusieurs services ?

      Même si je pense que seul le serveur mail vérifie le FQDN (avec rDNS), …

      • [^] # Re: oui

        Posté par . Évalué à 3 (+1/-0). Dernière modification le 26/01/20 à 10:41.

        Aussi, peut-on faire du multiple hostname pour un seul PC avec plusieurs services ?

        oui, une meme machine, meme IP peut avoir plusieurs services, accessible par des noms de domaine different.

        www.domain.tld IN A Adresse_IP
        smtp.domain.tld IN A Adresse_IP
        mail.domain.tld IN A Adresse_IP
        ftp.domain.tld IN A Adresse_IP
        

        chaque service écoutant sur un (des) port(s) different(s), ton client se connectera donc au bon service en fonction de ce qu'il demande.

        exemple de port par défaut

        www => port 80 (et 443 pour https)
        smtp => port 25 (et/ou 465, 587)
        mail => port 143 (imap), 110 (pop) et leur variante SSL, TLS (993, 995)
        ftp => port 20/21 en actif, port 21 et multiport en passif

        • [^] # Re: oui

          Posté par . Évalué à 1 (+0/-0).

          D'accord, mais du coup dans ce cas de figure, le /etc/hostname sert juste à donner le nom à un PC pour son réseau local ?

          Ca n'a pas d'impact sur le score du serveur mail ?

          • [^] # Re: oui

            Posté par . Évalué à 1 (+0/-0). Dernière modification le 26/01/20 à 19:13.

            Pour la zone DNS, il ne manque pas un '.' ?

            www.domain.tld IN A Adresse_IP
            

            pour plutôt cela :

            www.domain.tld. IN A Adresse_IP
            

            En ce moment, j'ai plutôt le schéma suivant :

            @ 10800 IN A IP_PUBLIC
            mailing 10800 IN CNAME mondomain.org
            

            Est-ce que le paragraphe du dessous est identique au paragraphe du dessus ?

            @ 10800 IN A IP_PUBLIC
            mailing.mondomain.org 10800 IN A IP_PUBLIC
            
            • [^] # Re: oui

              Posté par . Évalué à 1 (+0/-0).

              En soit, quelle est la différence entre un enregistrement de type A et CNAME ?

              A priori c'est identique

              • [^] # Re: oui

                Posté par . Évalué à 2 (+0/-0).

                le A va forcement sur une IP
                le CNAME va vers un A

                exemple :

                monserveur1 IN A A.B.C.D
                monserveur2 IN A E.F.G.H
                
                mail IN CNAME monserveur1
                smtp IN CNAME monserveur1
                pop IN CNAME monserveur1
                imap IN CNAME monserveur1
                
                www IN CNAME monserveur2
                ftp IN CNAME monserveur2

                ainsi quand tu changes de serveur2 pour un autre, mais tu réinstalles les memes services,
                tu changes juste ta ligne monserveur2 IN A ….

                • [^] # Re: oui

                  Posté par . Évalué à 1 (+0/-0). Dernière modification le 27/01/20 à 15:01.

                  D'accord merci.

                  J'ai fait le test au niveau de mon serveur mail.

                  En ce moment j'utilise opensmtp et dovecot + sogo.

                  J'ai vu quelqu'un qui a signé ses mails avec DKIM et rspam.

                  Malheureusement, je ne trouve pas grand chose pour signer DKIM avec opensmtp.

                  Saurais-tu quelques chose à propos ?

                  Aussi, PYZOR_CHECK
                  Ajustez votre message ou demandez à être whitelisté (http://public.pyzor.org/whitelist/)

                  Merci

                  • [^] # Re: oui

                    Posté par . Évalué à 2 (+0/-0).

                    pour dim et opensmtpd

                    https://lmgtfy.com/?q=dkim+%2Bopensmtpd

                    semble donner quelques résultats

                    pour pyzorcheck, ben c'est peut-être que tu as encore besoin de travailler sur ton serveur email, tes config DNS (MX, PTR, SPF, DKIM, DMARC…)

                    • [^] # Re: oui

                      Posté par . Évalué à 1 (+0/-0).

                      Oui merci pour le lien google, j'ai déja cherché mais alors entre,

                      opendkim et dkimproxy , … ! Je vois plutôt postfix que opensmtp.

                      Du coup, déjà, choisir opendkim ou dkimproxy ?

                      • [^] # Re: oui

                        Posté par . Évalué à 1 (+0/-0).

                        Du coup, étant donné que je suis assez avancé, je vais implémenter rspamd avec opensmtpd.

                        Ca sera plus simple pour signer en DKIM

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.