Forum Linux.général Mon serveur mail est utilisé par des spammeurs !

Posté par charlax (site web personnel) le 23 juin 2006 à 21:17.

Étiquettes : aucune

juin

2006

Bonjour,

J'ai les lignes suivantes dans mes logs :

Jun 23 09:03:14 d3in postfix/smtp[29102]: 4485A1A585: to=<xyz.xyz@xyz.xyz>, relay=mx1.prserv.net[12.154.55.40], delay=14, status=sent (250 ok ; id=2006062307024710400hus7ue)
Jun 23 09:03:14 d3in postfix/smtp[29102]: 4485A1A585: to=<dxyz.xyz@xyz.xyz>, relay=mx1.prserv.net[12.154.55.40], delay=14, status=sent (250 ok ; id=2006062307024710400hus7ue)
Jun 23 09:03:14 d3in postfix/smtp[29102]: 4485A1A585: to=<xyz.xyz@xyz.xyz>, relay=mx1.prserv.net[12.154.55.40], delay=14, status=sent (250 ok ; id=2006062307024710400hus7ue)
Jun 23 09:03:14 d3in postfix/smtp[29102]: 4485A1A585: to=<xyz.xyz@xyz.xyz>, relay=mx1.prserv.net[12.154.55.40], delay=14, status=sent (250 ok ; id=2006062307024710400hus7ue)
Jun 23 09:03:14 d3in postfix/smtp[29102]: 4485A1A585: to=<xyz.xyz@xyz.xyz>, relay=mx1.prserv.net[12.154.55.40], delay=14, status=sent (250 ok ; id=2006062307024710400hus7ue)
Jun 23 09:03:14 d3in postfix/smtp[29102]: 4485A1A585: to=<xyz.xyz@xyz.xyz>, relay=mx1.prserv.net[12.154.55.40], delay=14, status=sent (250 ok ; id=2006062307024710400hus7ue)

(j'ai rendu les adresses anonymes)

J'ai aussi l'impression d'être dans une blacklist. J'aimerais que Postfix se contente de relayer les mails provenant du réseau local, ce qu'il ne fait pas. Voici ma configuration :

# See /usr/share/postfix/main.cf.dist for a commented, more complete version

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

myhostname = smtp.d3in.org
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = d3in.org, d3in.homelinux.org, localhost.localdomain, localhost.localdomain, localhost
relayhost =
mailbox_command = maildrop
virtual_transport = maildrop

mailbox_size_limit = 0
recipient_delimiter =
inet_interfaces = all

content_filter = smtp-amavis:[127.0.0.1]:10024

J'avais pourtant suivi cette documentation : http://frlinux.net/?section=reseau&article=131

J'ai bien spamassassin et amavis qui fonctionne correctement, mais je voudrais que seuls les mails provenant de mon réseau local soit routés. Les autres (bien évidemment ceux qui n'ont pas pour destination mon réseau) devront être rejetés.

Avez-vous une idée, ou une documentation sympa sur le sujet ?

Merci d'avance.

# Extrait du fichier d'exemple

Posté par Pascal Terjan (site web personnel) le 23 juin 2006 à 22:47. Évalué à 6.
```
# TRUST AND RELAY CONTROL

# The mynetworks parameter specifies the list of "trusted" SMTP
# clients that have more privileges than "strangers".
#
# In particular, "trusted" SMTP clients are allowed to relay mail
# through Postfix.  See the smtpd_recipient_restrictions parameter
# in postconf(5).
#
# You can specify the list of "trusted" network addresses by hand
# or you can let Postfix do it for you (which is the default).
#
# By default (mynetworks_style = subnet), Postfix "trusts" SMTP
# clients in the same IP subnetworks as the local machine.
# On Linux, this does works correctly only with interfaces specified
# with the "ifconfig" command.
#
# Specify "mynetworks_style = class" when Postfix should "trust" SMTP
# clients in the same IP class A/B/C networks as the local machine.
# Don't do this with a dialup site - it would cause Postfix to "trust"
# your entire provider's network.  Instead, specify an explicit
# mynetworks list by hand, as described below.
#
# Specify "mynetworks_style = host" when Postfix should "trust"
# only the local machine.
#
#mynetworks_style = class
#mynetworks_style = subnet
#mynetworks_style = host

# Alternatively, you can specify the mynetworks list by hand, in
# which case Postfix ignores the mynetworks_style setting.
#
# Specify an explicit list of network/netmask patterns, where the
# mask specifies the number of bits in the network part of a host
# address.
#
# You can also specify the absolute pathname of a pattern file instead
# of listing the patterns here. Specify type:table for table-based lookups
# (the value on the table right-hand side is not used).
#
#mynetworks = 168.100.189.0/28, 127.0.0.0/8
#mynetworks = $config_directory/mynetworks
#mynetworks = hash:/etc/postfix/network_table
```
Donc mynetworks = 192.168.0.0/24, 127.0.0.0/8 par exemple devrait suffir.
- [^] # Re: Extrait du fichier d'exemple
  
  Posté par charlax (site web personnel) le 23 juin 2006 à 23:34. Évalué à 1.
  
  J'ai trouvé ça http://cri.univ-tlse1.fr/documentations/spam/ ; c'est pas mal, je vous tiens au courant. Merci de ton aide.
  - [^] # Re: Extrait du fichier d'exemple
    
    Posté par charlax (site web personnel) le 24 juin 2006 à 00:25. Évalué à 2.
    
    Ça change rien... Même avec un fichier aussi contraignant que celui-ci :
    
    # See /usr/share/postfix/main.cf.dist for a commented, more complete version
    
    smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
    biff = no
    
    # appending .domain is the MUA's job.
    append_dot_mydomain = no
    
    # Uncomment the next line to generate "delayed mail" warnings
    #delay_warning_time = 4h
    
    myhostname = smtp.d3in.org
    alias_maps = hash:/etc/aliases
    alias_database = hash:/etc/aliases
    myorigin = /etc/mailname
    mydestination = d3in.org, localhost.localdomain, localhost.localdomain, localhost
    mynetworks = 192.168.0.0/24, 127.0.0.0/8
    relayhost =
    mailbox_command = maildrop
    virtual_transport = maildrop
    
    #mailbox_command = procmail -a "$EXTENSION"
    mailbox_size_limit = 0
    recipient_delimiter =
    inet_interfaces = all
    
    # anti-spam
    smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination
    smtpd_client_restrictions = permit_mynetworks, reject_maps_rbl sbl-xbl.spamhaus.org
    smtpd_helo_required = yes
    smtpd_restriction_classes = OK_AND_PREPEND
    
    OK_AND_PREPEND =
    check_policy_service unix:private/rbl
    permit
    #/
    
    # configuration errors for reject_maps_rbl
    
    content_filter = smtp-amavis:[127.0.0.1]:10024
    
    # SASL not compiled in
    - [^] # Re: Extrait du fichier d'exemple
      
      Posté par Raphaël G. (site web personnel) le 24 juin 2006 à 11:18. Évalué à 4.
      
      J'utilise ça sur mon serveur dédié, ça marche nickel, tout le monde peux envoyer des mails via mon dédié (avec n'importe quoi comme adresse, même possible de faker l'adresse source).
      
      Tout le monde se fait jetter, sauf ceux qui ont un compte valide en base de donnée mysql (ajout d'un user == 5secondes)
      
      Plus d'info compte jabber rapsys sur gmail com.
      (je cherche un serveur pour mes envois de mail (mdvcooker+20/jour environ), car pu de sous pour financer mon actuel, donc si ça t'intéresse je te fait la config chez toi et tu me laisse un compte d'envoi dessus ;)
      
      Par contre, certains domaines refusent purement et simplement les mails en provenance de ton smtp si tu a pas un reverse sur l'ip qui correspond exactement au nom de domaine de l'adresse de l'envoyeur (pour l'instant ça m'est arrivé sur une dizaine de provenance)
      
      Un dernier détail, tu est bon pour changer d'ip publique pour ton serveur de mail, elle dois être blacklistée maintenant...
      
      # See /usr/share/postfix/main.cf.dist for a commented, more complete version
      
      #banner os smtpd server
      smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
      #don't do notification to local user
      biff = no
      #don't append .domain.tld, it is the MUA's job.
      append_dot_mydomain = no
      #generate "delayed mail" warnings
      delay_warning_time = 4h
      
      #server hostname
      myhostname = exemple.com
      #server domain
      mydomain = exemple.com
      #server network
      mynetworks = 127.0.0.0/8
      #server destination
      mydestination =
      #alias map (remove NIS warning)
      alias_maps =
      #virtual alias domain
      virtual_alias_domains =
      #virtual alias maps
      virtual_alias_maps = mysql:/etc/postfix/mysql/virtual_forwardings.cf
      #virtual mailbox domains
      virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_domains.cf
      #virtual mailbox maps
      virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual_mailboxes.cf
      #virtual mailbox base
      virtual_mailbox_base = /home/vmail
      #virtual uid maps
      virtual_uid_maps = static:<uid numérique owner mail>
      #virtual gid maps
      virtual_gid_maps = static:<gid numérique owner mail>
      #512MB max mailboxes
      mailbox_size_limit = 512000000
      #100MB max mail
      message_size_limit = 102400000
      #512MB max virtual mailbox
      virtual_mailbox_limit = 512000000
      #enable ssl authentification
      smtpd_sasl_auth_enable = yes
      #allow outlook to login (why don't set it as NO)
      broken_sasl_auth_clients = yes
      #list allowed source of mail: local machine, authentificated user, reject other (no spam!)
      smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination
      #TLS/SSL
      smtpd_use_tls = yes
      #tls keys
      #smtpd_tls_key_file = /etc/postfix/sasl/smtpd.key.pem
      smtpd_tls_key_file = /etc/postfix/sasl/smtpd.key
      #smtpd_tls_cert_file = /etc/postfix/sasl/smtpd.crt.pem
      smtpd_tls_cert_file = /etc/postfix/sasl/smtpd.cert
      #reject anonymous login
      smtpd_sasl_security_options = noanonymous
      #list allowed domain
      smtpd_sasl_local_domain = mysql:/etc/postfix/mysql/virtual_domains.cf
      - [^] # Re: Extrait du fichier d'exemple
        
        Posté par charlax (site web personnel) le 24 juin 2006 à 11:51. Évalué à 1.
        
        Merci, j'ai essayé ça :
        
        # See /usr/share/postfix/main.cf.dist for a commented, more complete version
        
        smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
        # don't do notification to local user
        biff = no
        
        # appending .domain is the MUA's job.
        append_dot_mydomain = no
        # Uncomment the next line to generate "delayed mail" warnings
        #delay_warning_time = 4h
        
        myhostname = d3in.org
        mydomain = d3in.org
        mynetworks = 192.168.0.0/24, 127.0.0.0/8
        mydestination = d3in.org, localhost.localdomain, localhost.localdomain, localhost
        myorigin = /etc/mailname
        relayhost =
        
        #512MB max mailboxes
        mailbox_size_limit = 512000000
        #100MB max mail
        message_size_limit = 102400000
        
        #mailbox_command = procmail -a "$EXTENSION"
        mailbox_command = maildrop
        virtual_transport = maildrop
        
        recipient_delimiter =
        
        alias_maps = hash:/etc/aliases
        alias_database = hash:/etc/aliases
        
        # anti-spam
        smtpd_recipient_restrictions = permit_mynetworks, check_relay_domains, reject_unauth_destination
        smtpd_client_restrictions = permit_mynetworks, reject_maps_rbl sbl-xbl.spamhaus.org
        smtpd_helo_required = yes
        smtpd_restriction_classes = OK_AND_PREPEND
        
        OK_AND_PREPEND =
        check_policy_service unix:private/rbl
        permit
        
        content_filter = smtp-amavis:[127.0.0.1]:10024
        
        # SASL not compiled in
        
        Ça a l'air de marcher... en tout cas pour l'instant. Et j'ai fait postsuper -d ALL (suppression de tous les messages dans la file d'attente).
        
        Pourquoi est-ce qu'on ne peut pas prévoir très simplement :
        - d'accepter tous les mails du réseau local
        - d'accepter tous les autres mails à destination du réseau local
        - de virer tous les autres
        
        [^] # Re: Extrait du fichier d'exemple
        
        Posté par Quentin Delance le 24 juin 2006 à 12:14. Évalué à 3.
        
        Pourquoi est-ce qu'on ne peut pas prévoir très simplement :
        - d'accepter tous les mails du réseau local
        
        mynetwork = "ip de ton reseau" comme deja indique
        
        - d'accepter tous les autres mails à destination du réseau local
        
        dans ce cas tu veux faire un vrai serveur de mail (pas juste une machine qui envoi a l'exterieur) donc tu es oblige d'ecouter sur toutes les IP (pas seulement le LAN interne).
        Donc dans ce cas il faut limiter les domaines locaux avec mydestination ou les domaines a relayer avec relay_domains (dans le cas d'une passerelle de messagerie).
        
        - de virer tous les autres
        
        Ben si c'est bien configure les autres en question n'ont pas le droit d'utiliser ton serveur de mail.
        
        Faire attention a 3-4 clefs de conf sensibles ca ne me parait pas infaisable quand meme. D'autant que PAR DEFAUT, l'installation est securisee et evite le relai ouvert.
        C'est donc qui a configure ton serveur en open relay comme un grand...
        
        [^] # Re: Extrait du fichier d'exemple
        
        Posté par charlax (site web personnel) le 24 juin 2006 à 12:57. Évalué à 2.
        
        Bah oui je vois pas comment ce fut possible, puisqu'avant ça marchait parfaitement et je n'avais jamais été utilisé par des spammeurs, et mon serveur était configuré "par défaut" avec l'anti-relaying et les choses comme ça. Je comprends vraiment pas, merci de votre aide. On verra bien si ça recommence...
        
        En même temps, en ce moment, je n'ai même pas de connexion de spammeurs donc je ne peux pas vous dire si les mails sont bien rejetés.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.