J'ai configuré mon serveur mail auto-hébergé, il gère mes mails sur un nom de domaine en .fr
Je suis encore en phase de test, donc je surveille les logs d'assez près et j'ai remarqué la séquence suivante:
Apr 05 10:15:09 CubieTruck postfix/smtpd[23866]: connect from unknown[92.154.95.236]
Apr 05 10:15:09 CubieTruck postfix/smtpd[23866]: SSL_accept error from unknown[92.154.95.236]: -1
Apr 05 10:15:09 CubieTruck postfix/smtpd[23866]: warning: TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol:ssl/statem/statem_srvr.c:1685:
Apr 05 10:15:09 CubieTruck postfix/smtpd[23866]: lost connection after STARTTLS from unknown[92.154.95.236]
Apr 05 10:15:09 CubieTruck postfix/smtpd[23866]: disconnect from unknown[92.154.95.236] ehlo=1 starttls=0/1 commands=1/2
Apr 05 10:18:29 CubieTruck postfix/anvil[23867]: statistics: max connection rate 1/60s for (smtp:92.154.95.236) at Apr 5 10:15:09
Apr 05 10:18:29 CubieTruck postfix/anvil[23867]: statistics: max connection count 1 for (smtp:92.154.95.236) at Apr 5 10:15:09
Apr 05 10:18:29 CubieTruck postfix/anvil[23867]: statistics: max cache size 1 at Apr 5 10:15:09
Après un copier coller foireux pour faire une recherche sur l'ip, j'ai simplement ouvert la page web à cette adresse pour tomber sur un message de l'anssi:
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un service à compétence nationale créé par décret en juillet 2009. Ce service est rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN), autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale.
Dans ce cadre, l'ANSSI procède à des évaluations régulières de l'impact de vulnérabilités vis-à-vis des menaces pesant sur l'Internet français, en provenance de l'adresse IP 92.154.95.236.
Si vous ne souhaitez plus faire partie de ces évaluations, merci d'envoyer un mail à blacklist-ip _ at _ ssi.gouv.fr
Est-ce légitime? Si oui, étiez-vous au courant de cette activité de l'anssi? De quels genres de tests s'agit-il?
Au passage j'ai souvent des messages 'max connection', vraisemblablement en provenance de serveurs de spam ou de bot. Faut-il prendre des mesures supplémentaires pour les filtrer, j'ai juste les règles suivantes pour l'instant:
smtpd_client_connection_rate_limit = 60
smtpd_client_connection_count_limit = 10
smtpd_error_sleep_time = 1s
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 20
disable_vrfy_command=yes
smtpd_delay_reject = yes
smtpd_helo_required=yes
smtp_header_checks = regexp:/etc/postfix/smtp_header_checks
# Restrictions
smtpd_helo_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
reject_unknown_helo_hostname,
permit
smtpd_sasl_authenticated_header = yes
smtpd_sender_login_maps = ldap:/etc/postfix/ldap-senders.cf
smtpd_sender_restrictions =
permit_mynetworks,
reject_authenticated_sender_login_mismatch,
permit_sasl_authenticated,
reject_invalid_hostname,
reject_non_fqdn_sender,
reject_unknown_sender_domain
permit
smtpd_recipient_restrictions=
permit_sasl_authenticated,
reject_unauth_destination,
# check_policy_service unix:private/policy-spf
permit
smtpd_data_restrictions =
reject_unauth_pipelining
# Idem ici
Posté par bubar🦥 (Mastodon) . Évalué à 4. Dernière modification le 05 avril 2020 à 12:07.
Idem ici, via Orange (ip2000-adsl-bas, 92.154.95.236) ; probablement des scans de contrôles, en effet. Peut être seulement à fin statistique.
1 seule occurence venant de l'ANSSI, le 19 janvier à 23h.
En tout cas leur test de relevé TLS est bien plus respectueux que ceux de certains services en ligne (shodan, par exemple, qui bourrine comme un salaud avec une liste de domaines et sous-domaines longue comme le bras)
Ils pourraient en faire 10 fois par jour que ça ne me dérangerait pas venant d'eux, mais bon, ça ce n'est qu'une considération personnelle
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 6. Dernière modification le 05 avril 2020 à 15:12.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Idem ici
Posté par bubar🦥 (Mastodon) . Évalué à 5.
C'est bien vu, cette méfiance.
D'un autre côté, c'est une IP chez Orange, donc en fr_FR, avec un joli logo de l'Ansi servi en http.. Donc si ce n'est pas l'ANSSI elle même il y a fort à parier pour que la blague dure très peu de temps …
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Idem ici
Posté par pma . Évalué à 3.
De ce que j'avais entendu à un autre comptoir, il serait bien possible que ce soit l'ANSSI et il se dit qu'ils le confirment si on leur envoie un mail. Je n'ai pas essayé de le vérifier par moi-même car de toute façon, ANSSI ou pas, la réponse doit être la même: du doit te défendre de la même manière que tu le ferait pour tout autre attaquant, donc pas de soucis à blacklister l'IP si c'est ce que tu fais d'habitude. Je trouve que c'est plutôt positif qu'ils fassent un audit gratuit à toutes les petites PME sans SI pour assurer un minimum de sécurité.
[^] # Re: Idem ici
Posté par thibaudbd . Évalué à 4. Dernière modification le 06 avril 2020 à 11:30.
Comme beaucoup, j'avais trouvé ça étrange.
J'ai lu dans un thread FRnOG que c'était a priori légitime mais j'avais un doute donc j'ai envoyé un mail à l'adresse sur le site + l'adresse de contact principal de l'agence.
Et ils répondent donc il n'y a pas à hésiter vous pouvez leur poser la question (spoiler : c'est bien eux).
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.