Forum Linux.général Postfix : forcer l'authentification des expéditeurs

Posté par . Licence CC by-sa.
Tags :
1
4
avr.
2018

Bonjour,

jusqu'à très récemment, mon serveur postfix ne me causait pas trop de soucis : il n'était pas en relai ouvert (j'utilisais dovecot et sasl pour envoyer des courriers sur d'autres domaines)

Mais une de mes adresses s'est retrouvée dans la nature. Et depuis quelques temps, je me retrouve avec des spams avec mon adresse (toto@example.com) comme expéditeur ET comme destinataire.

C'est très génant…

J'avais blindé le relai vers l'extérieur, mais pas vers moi…

Auriez-vous une idée qui pourrait résoudre ce problème ? Une meilleure configuration ? (je pensais conditionner l'envoi de courrier à une authentification obligatoire, mais j'ai bloqué roundcube)

Merci de vos pistes,
Bonne journée

  • # Etrange

    Posté par . Évalué à 1.

    salut,

    J'ai le même problème depuis quelques jours seulement.
    J'utilise Spamassassin et il considère bien le mail comme du spam.
    Dans les mails que je reçois, j'ai un signature DKIM qui n'est pas la bonne donc je pense que ça bloque avec la source.

    Mais j'ai pas encore de solution.

    • [^] # Re: Etrange

      Posté par . Évalué à 1.

      Merci de ton témoignage, je me sens moins seul.

      J'ai déjà bloqué les IP, mais le message est tellement court (avec juste un prénom de femme comme Objet), répétitif que cela me semble une très grosse vague de spam.

      J'avais également pensé à Spamassassin ; je crois que je ne vais plus pouvoir repousser son installation.

  • # Clarification

    Posté par (page perso) . Évalué à 3.

    Je ne suis pas sûr de bien comprendre. Le problème est que quelqu'un usurpe ton adresse, et envoie des messages en l'utilisant comme MAIL FROM ou comme From, dans des messages qu'il envoie, n'est-ce pas ?

    La solution, dans ce genre de cas, va être de publier une politique SPF (pour signaler aux destinataires qu'ils doivent refuser le courrier avec un MAIL FROM de chez toi, s'il provient d'une autre adresse IP que celle de ton serveur), de mettre en place une vérification SPF (pour toi-même refuser un tel courrier). Ça, c'est pour éviter les usurpations de MAIL FROM.

    Ensuite, tu peux mettre en place une signature et une vérification DKIM, et publier une politique DMARC, de façon à éviter les usurpations de From.

    • [^] # Re: Clarification

      Posté par . Évalué à 1. Dernière modification le 05/04/18 à 12:35.

      Voici le genre de message que je reçois

      Return-Path: <compte@domaine.fr>
      X-Original-To: compte@domaine.fr
      Delivered-To: compte@domaine.fr
      Received: from [203.177.131.3] (unknown [203.177.131.3])
          by machine.domaine.fr (Postfix) with ESMTP id 9BB19340074
          for <compte@domaine.fr>; Wed,  4 Apr 2018 22:53:56 +0200 (CEST)
      From: <compte@domaine.fr>
      To: <compte@domaine.fr>
      Subject: Anna
      Date: 5 Apr 2018 11:35:51 +0700
      MIME-Version: 1.0
      Content-Type: multipart/alternative;
          boundary="----=_NextPart_000_002D_01D3CC9A.052096D3"
      X-Mailer: Microsoft Outlook 15.0
      Thread-Index: Acpyap79mji1v3fnpyap79mji1v3fn==
      Content-Language: en-us

      Donc je pense que mon serveur

      • reçoit un FROM qu'il connait (puisque de son domaine)
      • et l'envoie

      Mais comme j'ai configuré pour ne pas avoir un relai ouvert, les envois vers les domaines extérieurs échouent en raison d'un échec d'authentification.

      Or je n'avais rien mis pour protéger mon domaine ; je pensai que le système de relai (SASL avec dovecot et postfix) mis en place suffisait.

      Et là, je ne réussis pas à mettre la bonne configuration pour également forcer une authentification pour les envois à mon propre domaine (la fois où j'ai réussi, j'ai bloqué roundcube).

  • # Forcer l'authentification

    Posté par (page perso) . Évalué à 2.

    Il est assez facile de mettre en place un système d'authentification, tu peux regarder la page dédiée pour te faire une idée des solutions disponibles (authentification conjointe avec dovecot, etc)

    Auriez-vous une idée qui pourrait résoudre ce problème ? Une meilleure configuration ? (je pensais conditionner l'envoi de courrier à une authentification obligatoire, mais j'ai bloqué roundcube)

    Avec ces options, cela devrait passer (tu autorises l'envoi depuis le réseau local sans authentification) :

    mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
    smtpd_relay_restrictions = … permit_mynetworks …
    • [^] # Re: Forcer l'authentification

      Posté par . Évalué à 1.

      Je vais essayer ta proposition tout à l'heure.

    • [^] # Re: Forcer l'authentification

      Posté par . Évalué à 1.

      Merci pour l'info, je test aussi!

    • [^] # Re: Forcer l'authentification

      Posté par . Évalué à 1.

      Après essais : ça marche (authentification obligatoire pour envoyer un courriel, quelle que soit l'adresse d'envoi).

      Je n'ai plus qu'à installer spamassassin.

      Merci pour la réponse

    • [^] # Re: Forcer l'authentification

      Posté par . Évalué à 1.

      Salut,

      Alors sachant que j'utilise déjà l'authentification pour envoyer, un simple ajout de

      smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
      

      fonctionne à merveille !

      Merci beaucoup !

  • # si aucun mail de ton domaine ne vient de l'extérieur...

    Posté par . Évalué à 1.

    un smtp_sender_restriction devrait faire l'affaire :

    1) permit my networks

    2) reject my domain

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.