Postfix, renforcement de la sécurité !

Marsh Posté le 07-09-2008 à 13:29:22

Slt,

J'ai un serveur mail qui me cause de gros soucis(installé par DTC), il fonctionne très bien même trop bien mais il est temps de le sécuriser un peu plus car il accepte ce type de chose :

Code :

<?php
$to = "monadresse@email.fr";
$subject = "Test mail";
$message = "Hello! This is a simple email message.";
$from = "lol@kikoo.com";
$headers = "From: $from";
mail($to,$subject,$message,$headers);
echo "Mail Sent.";
?>

Je voudrais que tout e-mail n'ayant pas xxx@mondomaine.com soit bloqué !
Voici ma configuration POSTFIX :

Code :

dtc:~# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases, hash:/var/lib/dtc/etc/postfix_aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
content_filter = dkimsign:[127.0.0.1]:10028
disable_vrfy_command = yes
inet_interfaces = all
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
mydestination = dtc.mondomaine.com, ks3xxxx.kimsufi.com, localhost.mondomaine.com, ,
localhost
myhostname = mx.mondomaine.com
mynetworks = 127.0.0.0/8
myorigin = /etc/mailname
parent_domain_matches_subdomains =
recipient_delimiter = +
relay_domains = /var/lib/dtc/etc/postfix_relay_domains
relay_recipient_maps = hash:/var/lib/dtc/etc/postfix_relay_recipients
relayhost =
smtp_sasl_auth_enable = no
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated, permit_sasl_authenticated,
reject_invalid_hostname, reject_non_fqdn_sender,
reject_non_fqdn_recipient, reject_unknown_sender_domain,
reject_unlisted_sender,
reject_unknown_recipient_domain, reject_rbl_client
sbl-xbl.spamhaus.org, reject_rbl_client list.dsbl.org,
reject_unauth_destination, check_sender_access
regexp:/etc/postfix/filter_10026_catchall permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = /etc/mailname
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_mynetworks,
permit_sasl_authenticated, check_policy_service
unix:private/tumgreyspf, permit
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes
transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = hash:/var/lib/dtc/etc/postfix_virtual
virtual_gid_maps = static:110
virtual_mailbox_base = /
virtual_mailbox_domains = hash:/var/lib/dtc/etc/postfix_virtual_mailbox_domains
virtual_mailbox_maps = hash:/var/lib/dtc/etc/postfix_vmailbox
virtual_minimum_uid = 98
virtual_transport = maildrop
virtual_uid_maps = hash:/var/lib/dtc/etc/postfix_virtual_uid_mapping

Après des recherches sur google et des modifications de ma conf, toujours pareil, ils acceptent toujours d'autres domaines que le mien :??:

Merci d'avance pour vos infos.

Message édité par PoussinJaune le 07-09-2008 à 13:31:30

Reply

Marsh Posté le 07-09-2008 à 13:29:22

Reply

Marsh Posté le 07-09-2008 à 14:41:49

Etant donné que mynetworks étant égal à localhost et que ton serveur web est sur localhost, il est logique que ça fonctionne

Reply

Marsh Posté le 07-09-2008 à 14:50:17

D'accord, merci mais il faudrait que je remplace mynetworks par quoi dans ce cas ?

Reply

Marsh Posté le 07-09-2008 à 15:00:49

Même en mettant
#mynetworks = 127.0.0.0/8
Je peux toujours envoyer des mails venant de kikoo@lol.com :s

Reply

Marsh Posté le 07-09-2008 à 17:22:50

c'est *NORMAL*

désactive la fonction mail de PHP, ça ira plus vite

Message cité 1 fois

---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me

Reply

Marsh Posté le 07-09-2008 à 19:37:17

black_lord a écrit :

c'est *NORMAL*

désactive la fonction mail de PHP, ça ira plus vite

% postconf -e 'authorized_submit_users = !www-data,static:all'
% postfix reload
sera plus rapide
(sous réserver que l'utilisateur apache tourne sous www-data )

Message cité 1 fois

---------------
Intermittent du GNU

Reply

Marsh Posté le 07-09-2008 à 19:53:34

mikala a écrit :

% postconf -e 'authorized_submit_users = !www-data,static:all'
% postfix reload
sera plus rapide
(sous réserver que l'utilisateur apache tourne sous www-data )

je connaissais pas ça [:klem3i1]

Message cité 1 fois

---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me

Reply

Marsh Posté le 07-09-2008 à 19:58:45

black_lord a écrit :

je connaissais pas ça [:klem3i1]

c'est tout en ligne de commande, c'est pour cela que c'est top
(a noter que selon les options de compilation de postfix, le reload n'est pas forcément nécessaire, postfix pouvant relire son fichier de configuration si il est modifié )

Message cité 1 fois

---------------
Intermittent du GNU

Reply

Marsh Posté le 07-09-2008 à 20:03:06

mikala a écrit :

c'est tout en ligne de commande, c'est pour cela que c'est top
(a noter que selon les options de compilation de postfix, le reload n'est pas forcément nécessaire, postfix pouvant relire son fichier de configuration si il est modifié )

pas de GUI ? OMG [:hide]

---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me

Reply

Postfix, renforcement de la sécurité !

Sujets relatifs:

Leave a Replay