Coup de gueule contre certains administrateurs de serveurs mail

Coup de gueule contre certains administrateurs de serveurs mail - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 02-08-2006 à 15:50:42    

Bonjour a tous.
 
JE SUIS ENERVE !!!
 
Je possede un serveur linux qui heberge notre serveur web, notre serveur de messagerie, et d'autres services, et je commencais a en avoir marre de recevoir des tonnes de spam.
Du coup je me suis penché plus en detail sur la configuration de Postfix et j'ai mis en place 2 ou 3 parametres afin de filtrer au maximum les mail entrant.
 
Voila ce que j'avais rajouté dans le /etc/postfix/main.cf :
 
# On rejette le client le plus tot possible
 
smtpd_delay_reject = no
 
# Restrictions sur les clients
# reject_unknown_client permet de jeter le client dès la connexion si son adresse IP ne pointe pas vers un nom de domaine (reverse DNS)
 
smtpd_client_restrictions = permit_mynetworks, reject_unknown_client
 
# On oblige le client a dire HELO et on rejette le client dans certain cas
# reject_invalid_hostname permet de jeter le client si son nom d'hote passé en parametre est invalide
# reject_unknown_hostname permet de jeter le client si le nom d'hote passé en parametre ne possede pas un champ DNS A ou MX
 
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, reject_unknown_hostname
 
 
# Restrictions sur l'expediteur (commande MAIL FROM)
# reject_unknown_sender_domain permet de jeter le client si le nom de domaine de l'expediteur n'existe pas
# reject_non_fqdn_sender permet de jeter le client si le nom de domaine de l'expediteur n'est pas valide
 
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender
 
Donc tout cela marche tres tres bien, ca elimine pas mal de spam.
Le gros souci, c'est que beaucoup de serveur mail averés et leurs DNS associés sont mal configurés, et du coup, on perd des mails  :fou:  :fou:  
 
Exemple 1 :
Le serveur de mail d'un de nos client se connecte, et postfix fait donc un reverse DNS pour voir si son adresse IP pointe vers un nom d'hote. Et bien ca passe pas, car justement le reverse DNS ne renvoie pas de nom d'hote.  :fou:  
 
Dans ce cas, l'admin du serveur n'a pas demandé a son provider qui lui fournit l'adresse IP de configurer un champ PTR dans les DNS pour faire pointer l'adresse IP vers le nom d'hote.
 
Exemple 2 :
Une TRES grosse boite nous envoie des mails, et quand leur serveur se connecte, il envoie la commande HELO avec un nom d'hote qui n'existe pas !! Du coup, Postfix fait une requete DNS pour voir si le nom d'hote pointe vers une IP, mais comme y a rien, ca passe pas  :fou:  
 
Dans ce cas, l'admin a mal configuré son serveur de mail, il n'envoie pas le vrai nom d'hote du serveur
 
Du coup, comme le probleme risque de se reproduire avec d'autres serveurs, et qu'on ne peut pas se permettre de perdre des mails, je suis obligé de virer mes configurations  :fou:  :fou:  :fou:  
 
Et moi qui me suis justement fait chier avec mes petites connaissances pour bien tout configurer afin que notre serveur puisse traverser les barrieres de securité des autres serveurs :o
 
Si vous etes admin d'un serveur mail, comment faites vous pour palier a ces problemes ??
 
Cyril

Reply

Marsh Posté le 02-08-2006 à 15:50:42   

Reply

Marsh Posté le 02-08-2006 à 16:40:14    

Ouais je sais bien, mais avant d'installer quoi que ce soit ca aurait été pas mal de filtrer deja peut etre 50% des spams !!
 
Meme plus que 50% a mon avis, vu le nombre de spams recu hier comparé a d'habitude.

Reply

Marsh Posté le 02-08-2006 à 19:33:24    

Tiens, pourquoi la personne qui parlait de spamassassin a t'elle effacé son message ?
 
En tout cas, ca ne colle qu'a moitié, car spamassassin semble juste changer le titre du message. Du coup, on peut avec les filtres du logiciel de messagerie le mettre a la poubelle. Mais a la limite spamassassin ne sert pas a grand chose, vu qu'avec mozilla ou thunderbird, les spams sont assez bien reconnu et mis a la poubelle.
 
Le but serait de squeezer les messages directement sur le serveur pour ne pas polluer le client de messagerie. Et on gagne du temps quand on charge ses mails en 56k et qu'on a pas 200 spams a telecharger :D

Reply

Marsh Posté le 02-08-2006 à 19:40:36    

ya pas mal d'idée pour paramétrer un serveur mail là :
http://acme.com/mail_filtering/


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 02-08-2006 à 20:43:40    

nlc a écrit :

Tiens, pourquoi la personne qui parlait de spamassassin a t'elle effacé son message ?
 
En tout cas, ca ne colle qu'a moitié, car spamassassin semble juste changer le titre du message. Du coup, on peut avec les filtres du logiciel de messagerie le mettre a la poubelle. Mais a la limite spamassassin ne sert pas a grand chose, vu qu'avec mozilla ou thunderbird, les spams sont assez bien reconnu et mis a la poubelle.
 
Le but serait de squeezer les messages directement sur le serveur pour ne pas polluer le client de messagerie. Et on gagne du temps quand on charge ses mails en 56k et qu'on a pas 200 spams a telecharger :D


 
 
Le probleme c'est que d'un point de vue conceptuel, on peut pas accepter de supprimer des mails sans que l'utilisateur donne son accord. Le filtrage sert quand meme, parce qu'il est plus facile de reperer un faux positif ( un mail marque comme spam a tort) parmis et un rate parmis les courries legitimes que d'avoir une boite en desordre.


---------------
Bitcoin, Magical Thinking, and Political Ideology
Reply

Marsh Posté le 02-08-2006 à 20:59:16    

Mjules : merci, je vais jeter un oeil
 
farib : Les messages ne sont pas supprimés a proprement parler. Par exemple avec les configs postfix que j'avais mis en place, l'expediteur est prevenu de l'erreur.
 
J'imagine qu'on doit pouvoir faire la meme chose avec les outils de filtrage.

Reply

Marsh Posté le 02-08-2006 à 21:07:13    

en ce qui me concerne , je reste strict au niveau des mails reçus , si le smtp en face est configuré comme pied je me passerais de recevoir ses mails :o


---------------
Intermittent du GNU
Reply

Marsh Posté le 02-08-2006 à 21:17:50    

Ben oui, je suis bien d'accord...
D'ailleurs quand au tout depart mes mails ne passaient pas partout je ne leur ai pas demandé de modifier leur config, j'ai cherché les erreurs et j'ai tout configuré comme il faut de mon coté (postfix et dns) pour que ca marche !
 
Ceci dit j'ai envoyé des messages a mes correspondants pour qu'ils remontent l'info comme quoi leur serveur/dns sont mal configurés...

Reply

Marsh Posté le 02-08-2006 à 22:43:56    

chez nous c'est auth par clé uniquement :o


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 02-08-2006 à 22:51:04    

black_lord a écrit :

chez nous c'est auth par clé uniquement :o


 
C'est a dire ? Pourrais tu nous apporter quelques precisions ?
 
A+

Reply

Marsh Posté le 02-08-2006 à 22:51:04   

Reply

Marsh Posté le 02-08-2006 à 22:53:31    

black_lord a écrit :

chez nous c'est auth par clé uniquement :o


 :??:


---------------
Intermittent du GNU
Reply

Marsh Posté le 02-08-2006 à 23:11:05    

merde je me suis planté de topic :o je me croyais sur celui du SSH [:dawa]
 
toutes mes confuses :o


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 02-08-2006 à 23:13:01    

Pas de mal ;)

Reply

Marsh Posté le 03-08-2006 à 09:49:30    

Mjules a écrit :

ya pas mal d'idée pour paramétrer un serveur mail là :
http://acme.com/mail_filtering/


 
Effectivement, c'est pas mal, dommage que ca s'applique seulement a sendmail.
Mais l'idée de la greylist me plait bien, je vais essayer de mettre un place ce systeme

Reply

Marsh Posté le 03-08-2006 à 21:37:50    

Au boulot j'ai ete oblige de virer les deux meme checks (qu'un reverse existe, et que le nom envoye au helo existe) car trop de serveurs mal configures.
 
Pas beaucoup de seveurs mal configures parmi les serveurs "normaux", et en general pas trop dur de faire faire les modifs par les admins.
Mais enormement de serveurs mal configures parmi les serveurs de mailing lists bidons auquels sont inscrit mes utilisateurs, et comme ils veulent les recevoir [:spamafote]  
 
Mais meme sans ces deux checks je refuse entre 50 et 60% des mails.

Reply

Marsh Posté le 03-08-2006 à 23:28:48    

Mais du coup sans ces 2 verifs que t'as viré il reste quoi ?
 
Moi il ne me reste plus que la verification de l'existence et de la validité du domaine de l'expediteur :
 
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender  
 
Mais d'apres les logs ca filtre un peu, mais pas des masses :(

Reply

Marsh Posté le 07-09-2006 à 19:10:55    

je viens de trouver ça si ça peut servir :
http://www.howtoforge.com/virtual_postfix_antispam


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 08-09-2006 à 09:03:25    

mikala a écrit :

en ce qui me concerne , je reste strict au niveau des mails reçus , si le smtp en face est configuré comme pied je me passerais de recevoir ses mails :o


+1 :o

Reply

Marsh Posté le 08-09-2006 à 09:21:25    

Citation :

Exemple 1 :
Le serveur de mail d'un de nos client se connecte, et postfix fait donc un reverse DNS pour voir si son adresse IP pointe vers un nom d'hote. Et bien ca passe pas, car justement le reverse DNS ne renvoie pas de nom d'hote.  :fou:  
 
Dans ce cas, l'admin du serveur n'a pas demandé a son provider qui lui fournit l'adresse IP de configurer un champ PTR dans les DNS pour faire pointer l'adresse IP vers le nom d'hote.


 
Moi j'administre (comme je peux!) un serveur mail, et je suis justement confronté à ce problème : j'ai loué un serveur dédié chez un hébergeur, en faisant pointer mon nom de domaine dessus, mais quand je fait un reverse IP, je tombe sur le nom de domaine attribué par l'hébergeur pour chacune de ses machines : pour moi c'est SIVIT, donc sd****.sivit.org et pas mon nom de domaine. Que puis-je y faire?  :??:

Reply

Marsh Posté le 08-09-2006 à 09:22:59    

tu leur envois un mail avec ton reverse et ils vont l'associer à ton ip


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 08-09-2006 à 14:32:49    

symphony_x a écrit :

mais quand je fait un reverse IP, je tombe sur le nom de domaine attribué par l'hébergeur pour chacune de ses machines : pour moi c'est SIVIT, donc sd****.sivit.org et pas mon nom de domaine. Que puis-je y faire?  :??:


 
Je suppose que c'est une dédibox ?
Dans ce cas, tu peux changer le reverse de ta dedibox à partir de http://console.dedibox.fr


---------------
--
Reply

Marsh Posté le 08-09-2006 à 15:09:54    

non ce n'est pas une Dedibox chez sivit :O Il leur envoi un mail et ils changeront son reverse, ça a fonctionné comme ça pour moi


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 09-09-2006 à 21:47:45    

leto a écrit :

Je suppose que c'est une dédibox ?
Dans ce cas, tu peux changer le reverse de ta dedibox à partir de http://console.dedibox.fr


[:rofl]


---------------
Intermittent du GNU
Reply

Marsh Posté le 10-09-2006 à 18:21:32    

J'ai lu le sd-xxx, je me suis arreté là .
J'avoue que si j'avais lu le sivit.org , j'aurais pas répondu ça :D


---------------
--
Reply

Marsh Posté le 11-09-2006 à 10:35:53    

Bon y'a pas de mal non plus... :)
 
J'ai envoyé un mail à SIVIT, et ça a été fait dans l'heure. Merci du renseignement!
 
D'ailleurs, coup de chapeau au service d'assistance de SIVIT, j'en suis très content, ils m'ont toujours répondu dans l'heure. Pour une fois que je suis satisfait d'un service, je me permet d'en faire un peu la pub (Bon OK je ferme la balise </pub> ) :D

Reply

Marsh Posté le 19-09-2006 à 12:57:47    

nlc a écrit :

Bonjour a tous.
 
JE SUIS ENERVE !!!
 
Je possede un serveur linux qui heberge notre serveur web, notre serveur de messagerie, et d'autres services, et je commencais a en avoir marre de recevoir des tonnes de spam.
Du coup je me suis penché plus en detail sur la configuration de Postfix et j'ai mis en place 2 ou 3 parametres afin de filtrer au maximum les mail entrant.
 
Voila ce que j'avais rajouté dans le /etc/postfix/main.cf :
 
# On rejette le client le plus tot possible
 
smtpd_delay_reject = no
 
# Restrictions sur les clients
# reject_unknown_client permet de jeter le client dès la connexion si son adresse IP ne pointe pas vers un nom de domaine (reverse DNS)
 
smtpd_client_restrictions = permit_mynetworks, reject_unknown_client
 
# On oblige le client a dire HELO et on rejette le client dans certain cas
# reject_invalid_hostname permet de jeter le client si son nom d'hote passé en parametre est invalide
# reject_unknown_hostname permet de jeter le client si le nom d'hote passé en parametre ne possede pas un champ DNS A ou MX
 
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, reject_unknown_hostname
 
 
# Restrictions sur l'expediteur (commande MAIL FROM)
# reject_unknown_sender_domain permet de jeter le client si le nom de domaine de l'expediteur n'existe pas
# reject_non_fqdn_sender permet de jeter le client si le nom de domaine de l'expediteur n'est pas valide
 
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender
 
Donc tout cela marche tres tres bien, ca elimine pas mal de spam.
Le gros souci, c'est que beaucoup de serveur mail averés et leurs DNS associés sont mal configurés, et du coup, on perd des mails  :fou:  :fou:  
 
Exemple 1 :
Le serveur de mail d'un de nos client se connecte, et postfix fait donc un reverse DNS pour voir si son adresse IP pointe vers un nom d'hote. Et bien ca passe pas, car justement le reverse DNS ne renvoie pas de nom d'hote.  :fou:  
 
Dans ce cas, l'admin du serveur n'a pas demandé a son provider qui lui fournit l'adresse IP de configurer un champ PTR dans les DNS pour faire pointer l'adresse IP vers le nom d'hote.
 
Exemple 2 :
Une TRES grosse boite nous envoie des mails, et quand leur serveur se connecte, il envoie la commande HELO avec un nom d'hote qui n'existe pas !! Du coup, Postfix fait une requete DNS pour voir si le nom d'hote pointe vers une IP, mais comme y a rien, ca passe pas  :fou:  
 
Dans ce cas, l'admin a mal configuré son serveur de mail, il n'envoie pas le vrai nom d'hote du serveur
 
Du coup, comme le probleme risque de se reproduire avec d'autres serveurs, et qu'on ne peut pas se permettre de perdre des mails, je suis obligé de virer mes configurations  :fou:  :fou:  :fou:  
 
Et moi qui me suis justement fait chier avec mes petites connaissances pour bien tout configurer afin que notre serveur puisse traverser les barrieres de securité des autres serveurs :o
 
Si vous etes admin d'un serveur mail, comment faites vous pour palier a ces problemes ??
 
Cyril


 
 
C'est pas toujours possible ;) (certains FAI fournissent l'ip fixe mais pas le reverse :/ )
 
 
Je suis aussi partisant de configurer comme il faut les serveurs mails et de dire merde à ceux qui ne le font pas, mais quand y'a la direction de la boite qui gueule parce que tel mail est jamais arrivé, pas simple de leur expliquer que ca vient des autres, alors qu'avant ca marchait :D


Message édité par aspegic500mg le 19-09-2006 à 13:00:54
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed