Forum général.général Log postfix: l'anssi fait-elle des scans de vulnérabilité?

Posté par  . Licence CC By‑SA.
Étiquettes :
1
5
avr.
2020

J'ai configuré mon serveur mail auto-hébergé, il gère mes mails sur un nom de domaine en .fr
Je suis encore en phase de test, donc je surveille les logs d'assez près et j'ai remarqué la séquence suivante:

Apr 05 10:15:09 CubieTruck postfix/smtpd[23866]: connect from unknown[92.154.95.236]
Apr 05 10:15:09 CubieTruck postfix/smtpd[23866]: SSL_accept error from unknown[92.154.95.236]: -1
Apr 05 10:15:09 CubieTruck postfix/smtpd[23866]: warning: TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol:ssl/statem/statem_srvr.c:1685:
Apr 05 10:15:09 CubieTruck postfix/smtpd[23866]: lost connection after STARTTLS from unknown[92.154.95.236]
Apr 05 10:15:09 CubieTruck postfix/smtpd[23866]: disconnect from unknown[92.154.95.236] ehlo=1 starttls=0/1 commands=1/2
Apr 05 10:18:29 CubieTruck postfix/anvil[23867]: statistics: max connection rate 1/60s for (smtp:92.154.95.236) at Apr  5 10:15:09
Apr 05 10:18:29 CubieTruck postfix/anvil[23867]: statistics: max connection count 1 for (smtp:92.154.95.236) at Apr  5 10:15:09
Apr 05 10:18:29 CubieTruck postfix/anvil[23867]: statistics: max cache size 1 at Apr  5 10:15:09

Après un copier coller foireux pour faire une recherche sur l'ip, j'ai simplement ouvert la page web à cette adresse pour tomber sur un message de l'anssi:

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un service à compétence nationale créé par décret en juillet 2009. Ce service est rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN), autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale.

Dans ce cadre, l'ANSSI procède à des évaluations régulières de l'impact de vulnérabilités vis-à-vis des menaces pesant sur l'Internet français, en provenance de l'adresse IP 92.154.95.236.

Si vous ne souhaitez plus faire partie de ces évaluations, merci d'envoyer un mail à blacklist-ip _ at _ ssi.gouv.fr

Est-ce légitime? Si oui, étiez-vous au courant de cette activité de l'anssi? De quels genres de tests s'agit-il?

Au passage j'ai souvent des messages 'max connection', vraisemblablement en provenance de serveurs de spam ou de bot. Faut-il prendre des mesures supplémentaires pour les filtrer, j'ai juste les règles suivantes pour l'instant:

smtpd_client_connection_rate_limit = 60
smtpd_client_connection_count_limit = 10
smtpd_error_sleep_time = 1s
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 20

disable_vrfy_command=yes
smtpd_delay_reject = yes
smtpd_helo_required=yes

smtp_header_checks = regexp:/etc/postfix/smtp_header_checks

# Restrictions
smtpd_helo_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    reject_unknown_helo_hostname,
    permit
smtpd_sasl_authenticated_header = yes
smtpd_sender_login_maps = ldap:/etc/postfix/ldap-senders.cf
smtpd_sender_restrictions =
    permit_mynetworks,
    reject_authenticated_sender_login_mismatch,
    permit_sasl_authenticated,
    reject_invalid_hostname,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain
    permit
smtpd_recipient_restrictions=
    permit_sasl_authenticated,
    reject_unauth_destination,
#   check_policy_service unix:private/policy-spf
    permit
smtpd_data_restrictions =
    reject_unauth_pipelining

  • # Idem ici

    Posté par  . Évalué à 4. Dernière modification le 05/04/20 à 12:07.

    Idem ici, via Orange (ip2000-adsl-bas, 92.154.95.236) ; probablement des scans de contrôles, en effet. Peut être seulement à fin statistique.
    1 seule occurence venant de l'ANSSI, le 19 janvier à 23h.

    En tout cas leur test de relevé TLS est bien plus respectueux que ceux de certains services en ligne (shodan, par exemple, qui bourrine comme un salaud avec une liste de domaines et sous-domaines longue comme le bras)

    Ils pourraient en faire 10 fois par jour que ça ne me dérangerait pas venant d'eux, mais bon, ça ce n'est qu'une considération personnelle

    • [^] # Re: Idem ici

      Posté par  . Évalué à 6. Dernière modification le 05/04/20 à 15:12.

      J'ai aussi dans divers logs :

      Apr  5 06:02:05 **** postfix/postscreen[2594657]: CONNECT from [92.154.95.236]:57335 to [5.135.188.123]:25
      Apr  5 06:02:05 **** postfix/dnsblog[2594661]: addr 92.154.95.236 listed by domain zen.spamhaus.org as 127.0.0.11
      Apr  5 06:02:11 **** postfix/postscreen[2594657]: DNSBL rank 3 for [92.154.95.236]:57335
      Apr  5 06:02:11 **** postfix/postscreen[2594657]: DISCONNECT [92.154.95.236]:57335
      

      Donc c'est bloqué avant toute transaction SMTP car l'IP est listée chez spamhaus. L'IP est également listée ici.. Bizarre s'il s'agit vraiment de l'ANSSI…

      Cette IP est référencée (whois) comme étant une IP ADSL d'Orange/Wanadoo. Très bizarre s'il s'agit vraiment de l'ANSSI…

      Cette IP correspond au nom d'hôte (dig -x) lstlambert-656-1-48-236.w92-154.abo.wanadoo.fr.
      Très, très bizarre s'il s'agit vraiment de l'ANSSI…

      :-D

      • [^] # Re: Idem ici

        Posté par  . Évalué à 5.

        C'est bien vu, cette méfiance.
        D'un autre côté, c'est une IP chez Orange, donc en fr_FR, avec un joli logo de l'Ansi servi en http.. Donc si ce n'est pas l'ANSSI elle même il y a fort à parier pour que la blague dure très peu de temps …

        • [^] # Re: Idem ici

          Posté par  . Évalué à 4.

          La blague dure depuis assez longtemps, probablement plus de deux ans.
          Et tant que personne ne contactera le service abuse concerné ou l'ANSSI, elle perdurera.

          • [^] # Re: Idem ici

            Posté par  . Évalué à 3.

            De ce que j'avais entendu à un autre comptoir, il serait bien possible que ce soit l'ANSSI et il se dit qu'ils le confirment si on leur envoie un mail. Je n'ai pas essayé de le vérifier par moi-même car de toute façon, ANSSI ou pas, la réponse doit être la même: du doit te défendre de la même manière que tu le ferait pour tout autre attaquant, donc pas de soucis à blacklister l'IP si c'est ce que tu fais d'habitude. Je trouve que c'est plutôt positif qu'ils fassent un audit gratuit à toutes les petites PME sans SI pour assurer un minimum de sécurité.

            • [^] # Re: Idem ici

              Posté par  . Évalué à 4. Dernière modification le 06/04/20 à 11:30.

              Comme beaucoup, j'avais trouvé ça étrange.
              J'ai lu dans un thread FRnOG que c'était a priori légitime mais j'avais un doute donc j'ai envoyé un mail à l'adresse sur le site + l'adresse de contact principal de l'agence.
              Et ils répondent donc il n'y a pas à hésiter vous pouvez leur poser la question (spoiler : c'est bien eux).

              • [^] # Re: Idem ici

                Posté par  . Évalué à 2.

                Tiens nous au courant si tu as une réponse.
                Je persiste à trouver cela extrêmement douteux ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.