Serveur postfix smtp eviter que se soit un relay

B@rtounet · Le 20/04/2007, à 13:01

Bonjour,
J'ai depuis un moment un serveur postfix, qui fonctionne très bien, mais j'ai une question, comment éviter qu'il soit utiliser comme relay pour du spam...

Car aujourd'hui tous les serveur SMTP sont configurer comme ca non?? on veut envoyer du courrier avec n'importe smtp en ce faisant passer pour n'importe qui...

si je me connecte sur le smtp de free et que je me fait passer pour n'importe qui je peux envoyer n'importe ou

Bref quels sont les moyens de sécurisé ce serveur ?

vivienfr · Le 20/04/2007, à 16:35

B@rtounet a écrit :

Bonjour,
J'ai depuis un moment un serveur postfix, qui fonctionne très bien, mais j'ai une question, comment éviter qu'il soit utiliser comme relay pour du spam...
Car aujourd'hui tous les serveur SMTP sont configurer comme ca non?? on veut envoyer du courrier avec n'importe smtp en ce faisant passer pour n'importe qui...
si je me connecte sur le smtp de free et que je me fait passer pour n'importe qui je peux envoyer n'importe ou
Bref quels sont les moyens de sécurisé ce serveur ?

Par default c'est uniquement ta machine + ton réseau local qui peut envoyer des mails via ton serveur.

Voici mon bloc note sur postfix :

http://doc.ubuntu-fr.org/serveur/postfix
http://people.via.ecp.fr/~alexis/formation-linux/serveur-mail2.html
http://cjovet.free.fr/cours/postfix.htm
http://www.com.univ-mrs.fr/ssc/info/cours/install_postfix.html
http://people.via.ecp.fr/~alexis/formation-linux/config/main.cf

http://christian.caleca.free.fr/smtp/const_smtp.htm
http://www.postfix.org/non-english.html
http://www.zdnet.fr/entreprise/service-informatique/serveurs-stockage/0,50007198,39115768,00.htm

Voici une petite liste des commandes de base d'administration de Postfix :

* Liste la queue de mails en attente d'envoi :
% mailq
Cette commande est équivalente à la commande postqueue -p.

* Force Postfix à réessayer d'envoyer les mails en attente d'envoi immédiatement :
% postqueue -f

* Supprime un mail de la queue des mails en attente d'envoi :
# postsuper -d mail_ID
où mail_ID est l'identifiant du mail dans la queue (il apparaît à gauche dans la sortie de la commande mailq).

La commande postcat montre les contenu de la file d'attente de Postfix.
C'est un programme limité, il peut être remplacé par un autre plus puissant qui permettrait d'éditer les fichiers de file d'attente de Postfix.

La commande postconf montre les paramètres donnés dans le fichier main.cf de Postfix : les valeurs réelles, les valeurs par défaut, ou les paramètres qui n'ont pas de valeur par défaut.
C'est un programme limité et primaire. Ce programme peut être remplacé par un autre plus puissant qui pourrait non seulement énumérer mais également éditer le fichier main.cf.
Exemples :
#postconf -n affiche les paramètres modifiés par notre configuration.
#postconf -d affiche les paramètres par défaut.

tail -f /var/log/mail.log : Regarder les logs

Uggy · Le 20/04/2007, à 16:43

B@rtounet a écrit :

J'ai depuis un moment un serveur postfix, qui fonctionne très bien, mais j'ai une question, comment éviter qu'il soit utiliser comme relay pour du spam...

Principalement ne pas mettre n'importe quoi dans "relay_domains" et surtout dans "mynetworks".

Uggy · Le 20/04/2007, à 16:46

B@rtounet a écrit :

si je me connecte sur le smtp de free et que je me fait passer pour n'importe qui je peux envoyer n'importe ou

Les plages IP d'abonnés Free sur justement dans leur "mynetworks".

Cela permet tout de même aux gens qui n'ont pas de serveur mail chez eux d'envoyer des mails...

B@rtounet · Le 20/04/2007, à 18:44

je viens de faire quelques tests apperement, personne ne peut envoyer de mail si ils ne sont pas à destination de mon domaine...

De plus apperement seul mon réseau local peut se connecter en telnet à mon serveur.. ca ca me parait curieux

voici mon fichiers de conf de postfix

usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = mail.appart.lan
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = pctest.appart.lan, appart.lan, localhost.appart.lan, info16.fr, localhost
relayhost =
mynetworks = 127.0.0.0/8 192.168.1.0/24
mailbox_command = /usr/bin/procmail -Y -a $DOMAIN
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
home_mailbox = Maildir/

derneire question, j'ai couplé un webmail squirrelmail dessus qui marche très bien, je peux recevoir et envoyer des mails de n'importe ou ( a condition que mon port 25 et 110 soit ouvert)

Mais j'ai un petit message d'erreur sur la gauche de lafenete de squirelmail

ERROR: Could not complete request.
Query: CREATE ".Sent"
Reason Given: Invalid mailbox name.

Ca ne l'empèche pas de fonctionner, mais apperement il n'arrive pas à trouver le dossier Sent
qui se trouve pourtant dans ~Maildir/.Sent

je viens de voir que je peux envoyer des mails vers free. mais apperement yahoo pose probleme

Apr 20 19:13:02 localhost postfix/smtp[25990]: connect to c.mx.mail.yahoo.com[216.39.53.3]: server refused to talk to me: 421 Message from (82.240.217.196) temporarily deferred - 4.16.50. Please refer to http://help.yahoo.com/help/us/mail/defer/defer-06.html   (port 25)

ha si le message fini par s'envoyer vers yahoo mais c'est très long

Dernière modification par B@rtounet (Le 20/04/2007, à 19:15)

chapi · Le 20/04/2007, à 21:54

Bonsoir,

avant que Uggy ne se fâche, édite vite ton post en remplace ton main.cf par un postconf -n !!!!!

B@rtounet · Le 20/04/2007, à 23:05

J'ai trouver la solution pour le message d'erreur de squirellmail
il faut configurer les lignes suivantes du
/etc/squirrelmail/config.php

$optional_delimiter     = '/';

$default_folder_prefix          = '';
$trash_folder                   = 'INBOX.Trash';
$sent_folder                    = 'INBOX.Sent';
$draft_folder                   = 'INBOX.Drafts';
$default_move_to_trash          = true;
$default_move_to_sent           = true;
$default_save_as_draft          = true

B@rtounet · Le 20/04/2007, à 23:20

par contre toujours des problemes pour envoyer sur des adresses hotmail...
le destinataires ne les recoit pas, pourtant le mail part

Apr 20 23:18:20 localhost postfix/smtp[726]: 1EE778410B: to=<xxxx@hotmail.com >, relay=mx3.hotmail.com[65.54.244.72], delay=1, status=sent (250 <36084.192.16 8.1.105.1177103899.squirrel@www.appart.lan> Queued mail for delivery)

Uggy · Le 20/04/2007, à 23:27

B@rtounet a écrit :

le destinataires ne les recoit pas, pourtant le mail part
to=<xxxx@hotmail.com >, relay=mx3.hotmail.com[65.54.244.72], delay=1, status=sent (250

Hotmail a accepté le mail... Ton Postfix a fait son boulot...

Par contre vu ton hostname, ca ne m'etonnerais pas que Hotmail classe ton mail "spam"...

Chapi -> tu m'a enlevé les mots de la bouche

B@rtounet · Le 20/04/2007, à 23:54

le hostname.?
tu parles de appart.lan
Oui en effet je gere plusieurs domaine avec le meme postfix...
mail.info16.fr serait mieux?

je te fais plaisir uggy puisque tu me donnes de bons tuyeaux

pctest@pctest:/etc/postfix$ postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
home_mailbox = Maildir/
inet_interfaces = all
mailbox_command = /usr/bin/procmail -Y -a $DOMAIN
mailbox_size_limit = 0
mydestination = pctest.appart.lan, appart.lan, localhost.appart.lan, info16.fr,                                                                              localhost
myhostname = mail.appart.lan
mynetworks = 127.0.0.0/8 192.168.1.0/24
myorigin = /etc/mailname
recipient_delimiter = +
relayhost =
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes

j'ai changé mon hostname en mail.info16.fr

mais hotmail ne délivre toujours pas mes messages

Dernière modification par B@rtounet (Le 21/04/2007, à 00:12)

Uggy · Le 21/04/2007, à 01:12

B@rtounet a écrit :

je te fais plaisir uggy puisque tu me donnes de bons tuyaux

Si on demande un "postconf -n" et pas un "main.cf" c'est qu'il y a des raisons... apres si donner les bonnes infos aident a trouver le problème... c'est surtout a toi que ca va faire plaisir...

B@rtounet a écrit :

mail.info16.fr serait mieux?

Oui un nom qui existe c'est beaucoup mieux...

B@rtounet a écrit :

mais hotmail ne délivre toujours pas mes messages

Il est pas dans un dossier spam ?
Le reste de la conf et les entrées DNS ont l'air a peu pres OK...
La raison la plus probable est que ton serveur est sur une plage d'IP Adsl et que c'est souvent "suspect" vu le nombre de virus et de spams envoyés de ces plages d'IP...

Hotmail n'a pas un service réputé fiable..si tu as des tests a faire prend tout sauf hotmail (et Aol)

B@rtounet · Le 21/04/2007, à 01:19

Merci pour tout uggy...
tu confirme que niveau sécurité mon serveur postfix est ok? ilne peut pas servir de relais spam je pense ?

Pour le probleme de hotmail, malheureusement je pense moi aussi que le serveur smtp de microsoft ne les traite pas ou du moins les stock dans un dossier obscur (pas dans spam en tous cas)... soit mon ip soit mon domaine ne lui plait pas...

J'ai testé des envois vers free.fr, wanadoo.fr, orange.fr, club-internet.fr ... le tout avec succès, seul hotmail et msn ne veulent pas de moi

C'est assez balot sachant que la majorité de mes contacts persos utilisent hotmail...

en surfant sur le net, j'ai vu que je n'étais pas le seul...

Dernière modification par B@rtounet (Le 21/04/2007, à 01:23)

Uggy · Le 21/04/2007, à 01:58

B@rtounet a écrit :

tu confirmes que niveau sécurité mon serveur postfix est ok?

Oui

B@rtounet a écrit :

il ne peut pas servir de relais spam je pense ?

Non

B@rtounet a écrit :

J'ai testé des envois vers free.fr, wanadoo.fr, orange.fr, club-internet.fr ... le tout avec succès, seul hotmail et msn ne veulent pas de moi

Ca ne m'étonne pas..

Tu peux a priori simplifier ton main.cf avec uniquement:

alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
home_mailbox = Maildir/
mailbox_command = /usr/bin/procmail -Y -a $DOMAIN
mailbox_size_limit = 0
mydestination = $myhostname, localhost.$mydomain, localhost, info16.fr 
myhostname = mail.info16.fr
recipient_delimiter = +
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_use_tls = yes

B@rtounet · Le 21/04/2007, à 02:16

Merci je vais essayer, mais comme j'aime comprendre, à quoi servent les options supprimées? pourquoi ne sont t'elles pas utiles?
selon tes modifs, postfix ne sera plus capable d'envoyer mes messages au sein de mon domaine local appart.lan

Dernière modification par B@rtounet (Le 21/04/2007, à 02:18)

Uggy · Le 21/04/2007, à 12:51

B@rtounet a écrit :

Merci je vais essayer, mais comme j'aime comprendre, à quoi servent les options supprimées? pourquoi ne sont t'elles pas utiles?

Je t'ai fais enlever les options qui sont dèja aux valeurs par défaut.
La question est donc pourquoi tu les avait rajouter ?? ??
Il y a meme des options que je t'ai laissées.. je suis pas sur que tu en ai besoin... ?

B@rtounet a écrit :

selon tes modifs, postfix ne sera plus capable d'envoyer mes messages au sein de mon domaine local appart.lan

Effectivement... si tu utilise ce domaine dans ton LAN, oui rajoute le...

B@rtounet · Le 01/05/2007, à 10:44

Personne n'a trouvé la solution, pour que les serveurs SMTP de MSN acceptent les mails postés par postfix et un nom de domaine autre que les domaines connus ??

toniotonio · Le 01/05/2007, à 11:18

utilse un relayhost pour envoyer tes mails vers MSN

B@rtounet · Le 01/05/2007, à 11:30

Oui je cherche dans ce sens,, mais comment configurer le relayhost dans postfix, pour que se relay ne soit utilisé QUE pour les envoie vers les domaines hotmail et MSN ?

toniotonio · Le 01/05/2007, à 11:43

cree un fichier /etc/postfix/transport

dans ce fichier tu specifies le domaine de destination et en face le transport a utiliser:
par exemple:

aol.com	smtp:[smtp.free.fr]
yahoo.com	smtp:[smtp.free.fr]
yahoo.fr	smtp:[smtp.free.fr]

ensuite tu fais un potsmap de ce fichier
et tu ajoutes au main.cf

transport_maps = hash:/etc/postfix/transport

puis postfix reload

et tu testes en regardant les logs (relay=....)

bien sur tous les autres domaines continuent d'utiliser le transport par defaut

Dernière modification par toniotonio (Le 01/05/2007, à 11:43)

B@rtounet · Le 01/05/2007, à 11:56

ok merci, comme d'habitude tu es une aide précieuse
Mais en y reflechissant, quel est l'interet de ne pas utiliser le relay de mon FAI pour tous les domaines?

ou en formulant autrement, quel est l'interet d'utiliser un serveur sans relay ?

Dernière modification par B@rtounet (Le 01/05/2007, à 12:06)

toniotonio · Le 01/05/2007, à 12:30

tu as tout a fait raison
lorqu'on possede un ip d'une ligne adsl et un serveur de mail, il est quasiment indispensable d'utiliser un relayhost (celui de ton FAI) par defaut.

par exemple la plupart des RBL bloque les ip ADSL.

apres on peut se contenter de faire la manip que je t'ai donné plus haut, pour faire du cas par cas des qu'un blocage est detecté, mais ce n'est pas tres serieux pour un serveur en prod. (je prends le cas d'une petite société avec un ligne adsl et un serveur de mail interne)

B@rtounet · Le 01/05/2007, à 13:01

Le seul avantage est d'être autonome ?
et d'éviter les intermédiaires?

par contre autre question, si on utilise un relayhost général, le serveur ne pourra plus envoyer directement des mails en interne et passera par le relay ?

Dernière modification par B@rtounet (Le 01/05/2007, à 13:02)

toniotonio · Le 01/05/2007, à 13:30

en gros on va dire que l'avantage est bien d'etre autonome. (cela a de multiples implications mais sans grande importance pour un serveur at home ou pour une petite société )

un relayhost general ne concerne que les mail destinés a l'exterieur qui ont comme transport smtp.

Les mail locaux sont toujours livrés directment (par procmail, maildrop ou virtual)

les mails locaux sont ceux dont le domaine de destination est listé dans mydestination ou dans virtual_mailbox_domain

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 20/04/2007, à 13:01

Serveur postfix smtp eviter que se soit un relay

#2 Le 20/04/2007, à 16:35

Re : Serveur postfix smtp eviter que se soit un relay

#3 Le 20/04/2007, à 16:43

Re : Serveur postfix smtp eviter que se soit un relay

#4 Le 20/04/2007, à 16:46

Re : Serveur postfix smtp eviter que se soit un relay

#5 Le 20/04/2007, à 18:44

Re : Serveur postfix smtp eviter que se soit un relay

#6 Le 20/04/2007, à 21:54

Re : Serveur postfix smtp eviter que se soit un relay

#7 Le 20/04/2007, à 23:05

Re : Serveur postfix smtp eviter que se soit un relay

#8 Le 20/04/2007, à 23:20

Re : Serveur postfix smtp eviter que se soit un relay

#9 Le 20/04/2007, à 23:27

Re : Serveur postfix smtp eviter que se soit un relay

#10 Le 20/04/2007, à 23:54

Re : Serveur postfix smtp eviter que se soit un relay

#11 Le 21/04/2007, à 01:12

Re : Serveur postfix smtp eviter que se soit un relay

#12 Le 21/04/2007, à 01:19

Re : Serveur postfix smtp eviter que se soit un relay

#13 Le 21/04/2007, à 01:58

Re : Serveur postfix smtp eviter que se soit un relay

#14 Le 21/04/2007, à 02:16

Re : Serveur postfix smtp eviter que se soit un relay

#15 Le 21/04/2007, à 12:51

Re : Serveur postfix smtp eviter que se soit un relay

#16 Le 01/05/2007, à 10:44

Re : Serveur postfix smtp eviter que se soit un relay

#17 Le 01/05/2007, à 11:18

Re : Serveur postfix smtp eviter que se soit un relay

#18 Le 01/05/2007, à 11:30

Re : Serveur postfix smtp eviter que se soit un relay

#19 Le 01/05/2007, à 11:43

Re : Serveur postfix smtp eviter que se soit un relay

#20 Le 01/05/2007, à 11:56

Re : Serveur postfix smtp eviter que se soit un relay

#21 Le 01/05/2007, à 12:30

Re : Serveur postfix smtp eviter que se soit un relay

#22 Le 01/05/2007, à 13:01

Re : Serveur postfix smtp eviter que se soit un relay

#23 Le 01/05/2007, à 13:30

Re : Serveur postfix smtp eviter que se soit un relay

Pied de page des forums