Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 21/11/2016, à 01:35

seabird2_fr

Serveur Blacklisté

Bonjour,

J'ai remarqué ce matin que je ne recevais plus les notifications mail du serveur  .
En regardant plus avant , j'ai vu que le serveur était blacklisté. ( ... blocked using sbl-xbl.spamhaus.org; )

En faisant le tour des sites et des logs, j'ai vu que le site d'un client avait été infecté par de nombreux virus , malware entre hier et aujourd'hui. J'ai donc désactivé ce site.
Mais je reçois dans mail.log encore des messages de ce type.

postfix/smtp[12338]: 4F38211D30: to=<websterbailey@cornerstoneofrecovery.com>, relay=cluster6.us.messagelabs.com[216.82.242.46]:25, delay=146842, delays=144490/0.01/1027/1325, dsn=4.4.2, status=deferred (conversation with cluster6.us.messagelabs.com[216.82.242.46] timed out while sending end of data -- message may be sent more than once)
Nov 21 00:23:28 loisirs-divertissements postfix/smtp[14425]: A4D8E11480: to=<info@southwickconveyancing.com.au>, relay=cluster5.us.messagelabs.com[216.82.242.131]:25, delay=164062, delays=162123/5.3/979/954, dsn=4.4.2, status=deferred (conversation with cluster5.us.messagelabs.com[216.82.242.131] timed out while sending end of data -- message may be sent more than once)
Nov 21 00:24:20 loisirs-divertissements postfix/smtp[14448]: 38909108F7: to=<jlotierzo@languageline.com>, relay=cluster2.us.messagelabs.com[216.82.241.131]:25, delay=178550, delays=176559/3.9/1039/948, dsn=4.4.2, status=deferred (conversation with cluster2.us.messagelabs.com[216.82.241.131] timed out while sending end of data -- message may be sent more than once)
...

D'où cela pourrait venir , cette utilisation de postfix ( je ne suis pas un spécialiste ) ?? Et comment je peux m'en sortir pour arrêter ces requêtes ?
Merci pour votre aide

postconf -n

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
inet_interfaces = all
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
mydestination = loisirs-divertissements, localhost.localdomain, localhost
myhostname = loisirs-divertissements.com
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = $myhostname
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes

Merci,

Eric

Hors ligne

#2 Le 21/11/2016, à 13:15

donut

Re : Serveur Blacklisté

Salut,

Pour les histoires de blacklist, ça a l'air presque bon, il n'en reste qu'une : http://mxtoolbox.com/SuperTool.aspx?act … n=toolpage
Tu peux attendre ou voir s'ils ont un site pour demander à te dé-blacklister.

Quant à l'erreur que tu rencontres, je ne sais pas si c'est lié. Quelque chose bloque la conversation avec ce destinataire en particulier. Il peut y avoir plusieurs causes, c'est difficile à dire.

Essaie :

# telnet cluster6.us.messagelabs.com 25
quit

Pour voir si la connexion passe bien.

https://utux.fr (blog perso)

Hors ligne

#3 Le 21/11/2016, à 14:08

seabird2_fr

Re : Serveur Blacklisté

Salut,

Oui pour la blacklist de Protected Sky, je ne sais pas comment faire, ils ont mis sur leur site http://psky.me/
Delist and Online lookup are Coming Soon
In the meantime, we have automated delisting in place. Your IP address will become clean once you stop spamming. Cela fait plusieurs mois déjà à ce que j'ai pu lire à droite à gauche.

Sinon a priori, cela s'est calmé, le serveur n’envoie plus de mail. Cela venait bien du site que j'ai désactivé, visiblement.
Si jamais cela venait à se reproduire, je vais limiter le nombre d'envois par heure dans la conf de postfix.
Si je ne me trompe pas et si je veux par exemple limiter à 50 mail/heure, c’est bien ces deux lignes qu'il faut mettre ?

# Nombre de message max par unité de temps
smtpd_client_message_rate_limit = 50
# Unité de temps
anvil_rate_time_unit = 1h

Merci,

Eric

Dernière modification par seabird2_fr (Le 21/11/2016, à 14:09)

Hors ligne

#4 Le 21/11/2016, à 14:17

donut

Re : Serveur Blacklisté

Je n'ai jamais eu à toucher à ces paramètres, mais d'après la doc Postfix cela a l'air correct oui.

https://utux.fr (blog perso)

Hors ligne

#5 Le 21/11/2016, à 14:32

seabird2_fr

Re : Serveur Blacklisté

Bon , il y a visiblement un problème , je viens de tenter 3 mail/heure et j'ai réussi à en envoyer 5

# Nombre de message max par unité de temps
smtpd_client_message_rate_limit = 3
# Unité de temps
anvil_rate_time_unit = 1h

Quelqu'un a déjà essayé de limiter l'envoi de Postfix ?

Eric

Hors ligne

#6 Le 22/11/2016, à 01:30

LeoMajor

Re : Serveur Blacklisté

deferred est un problème de transport dans la plupart des cas

sudo mailq   
sudo postcat -qv id_message
sudo postsuper -d ALL  # pour supprimer les messages en file d'attente

ne perds pas de vue aussi, que par défaut

smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination

peut aider aussi, plutôt que de renvoyer 

soft_bounce = yes

dsn=4.4.2

temporaire
X.4.2	Bad connection	421	The outbound connection was established, but was unable to complete the message transaction, either because of time-out, or inadequate connection quality. This is useful only as a persistent transient error.

est-ce que le relais cluster6.us.messagelabs.com t'appartient ou pas ? c'est  possible qu'il n'autorise pas les relais de notifications

notify_classes = bounce,resource,software
smtpd_discard_ehlo_keyword_address_maps = cidr:/etc/postfix/dsn_access.cf
cat /etc/postfix/dsn_access.cf
# Allow DSN requests from local subnet only
127.0.0.1	silent-discard
0.0.0.0/0	silent-discard, dsn
::/0	silent-discard, dsn

Hors ligne

#7 Le 22/11/2016, à 11:00

seabird2_fr

Re : Serveur Blacklisté

Bonjour,

Non non cluster6.us.messagelabs.com ne m'appartient pas.
Bon sinon , j'ai rajouter ces lignes dans la config de postfix:

# Autorise les connexions depuis le réseau sûr seulement.
smtpd_client_restrictions = permit_mynetworks, reject

# Ne pas accepter de courrier des domaines qui n'existent pas.
smtpd_sender_restrictions = reject_unknown_sender_domain

# Liste blanche: les clients locaux peuvent indiquer n'importe quelle destination, pas les autres.
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination

# Bloquer les clients qui parlent trop tôt
smtpd_data_restrictions = reject_unauth_pipelining

Et j'ai maintenant ce genre de message:

Nov 22 08:07:17 loisirs-divertissements postfix/smtpd[6269]: NOQUEUE: reject: RCPT from unknown[14.221.44.160]: 554 5.7.1 <unknown[14.221.44.160]>: Client host rejected: Access denied; from=<wacfjn@ghst.net> to=<xiaonanzi11165@vip.126.com> proto=ESMTP helo=<XL-20141217WFEH>
Nov 22 08:07:18 loisirs-divertissements postfix/smtpd[6269]: NOQUEUE: reject: RCPT from unknown[14.221.44.160]: 554 5.7.1 <unknown[14.221.44.160]>: Client host rejected: Access denied; from=<wacfjn@ghst.net> to=<xiaonanzi11165@vip.126.com> proto=ESMTP helo=<XL-20141217WFEH>
Nov 22 08:07:18 loisirs-divertissements postfix/smtpd[6269]: NOQUEUE: reject: RCPT from unknown[14.221.44.160]: 554 5.7.1 <unknown[14.221.44.160]>: Client host rejected: Access denied; from=<adgkpt@ghst.net> to=<jijing667@163.com> proto=ESMTP helo=<XL-20141217WFEH>
Nov 22 08:07:19 loisirs-divertissements postfix/smtpd[6269]: NOQUEUE: reject: RCPT from unknown[14.221.44.160]: 554 5.7.1 <unknown[14.221.44.160]>: Client host rejected: Access denied; from=<adgkpt@ghst.net> to=<jijing667@163.com> proto=ESMTP helo=<XL-20141217WFEH>

Ils se font tous jeter.

Eric

Hors ligne

#8 Le 22/11/2016, à 12:59

bruno

Re : Serveur Blacklisté

Bonjour,

# Autorise les connexions depuis le réseau sûr seulement.
smtpd_client_restrictions = permit_mynetworks, reject

Cela ne sert pas vraiment dans ton contexte car c'était déjà le cas : la machine locale est le seul client autorisé à envoyer des courriels.

# Ne pas accepter de courrier des domaines qui n'existent pas.
smtpd_sender_restrictions = reject_unknown_sender_domain

Ok. SI tu veux.

# Liste blanche: les clients locaux peuvent indiquer n'importe quelle destination, pas les autres.
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination

Non. C'est une restriction sur le destinataire du courriel (RCPT TO) avec reject_unauth_destination tu interdit tous les courriels dont la destination n'est pas explicitement autorisée par une autre directive (dans relay_domains ou mydestinations). Ce qui engendre une erreur 554

# Bloquer les clients qui parlent trop tôt
smtpd_data_restrictions = reject_unauth_pipelining

Ok


Il est inutile de t'acharner sur la configuration de Postfix pour le moment.
Pour tes sites web tu as besoin que Postfix autorise la machine locale à transmettre des courriels vers n'importe quelle destination. La connexion d'autres clients étant interdite. C'est déjà le cas de ta configuration.

Le problème c'est que si l'un de site web est compromis par injection de code Postfix pourra relayer les courriels envoyés par le code malicieux.
N.B. : la très grande majorité des malwares injectés sur des sites web servent à spammer ou a faire du phishing.

Il faut donc avant tout sécuriser tes sites Web :
- s'assurer que les CMS que tu utilise sont à jour, ainsi que leur éventuelles extensions et ne contiennet pas de failles connues ;
- s'assurer que tes sites web n'ont pas d'interface d'administration accessible par des mots de passe faible (idem poour les mots de passe FTP si tu l'utilises)

Hors ligne

#9 Le 22/11/2016, à 13:19

seabird2_fr

Re : Serveur Blacklisté

Bonjour,

Merci pour ce complément d'informations. Sur le serveur, il n'y a que 3 sites avec celui qui était compromis ( qui est désactivé ) . Sur les 2 autres, je pense qu'ils sont sains, tout est à jour et je vérifie régulièrement les dates éventuelles de fichiers qui auraient pu être soit modifiés, soit ajoutés.
Donc ma question. Si je reçois toujours ce genre de message:

Nov 22 08:07:17 loisirs-divertissements postfix/smtpd[6269]: NOQUEUE: reject: RCPT from unknown[14.221.44.160]: 554 5.7.1 <unknown[14.221.44.160]>: Client host rejected: Access denied; from=<wacfjn@ghst.net> to=<xiaonanzi11165@vip.126.com> proto=ESMTP helo=<XL-20141217WFEH>

Par où passent-t-ils ? Y-a -t'il forcément un malware injecté quelques-part ?

Merci,

Eric

Dernière modification par seabird2_fr (Le 22/11/2016, à 13:20)

Hors ligne

#10 Le 22/11/2016, à 15:05

seabird2_fr

Re : Serveur Blacklisté

Re,

A je commence à comprendre en fait. c'est le problème des Open relay.
Je viens de faire un test sur par exemple:
http://www.mailradar.com/openrelay/
ou
http://tools.appriver.com/OpenRelay.aspx

C'est bon je ne suis pas open relay comme l'indique les logs et également les tests effectués: Relay NOT Accepted

Eric

Hors ligne

#11 Le 22/11/2016, à 15:55

bruno

Re : Serveur Blacklisté

Tu as un postfix installé, ce qui implique que ton serveur est en écoute au moins sur le port 25 (et éventuellement 587).
En conséquence tu verras des dizaines (voir des milliers) de tentatives de onnexion sur ce port pour essayer d'envoyer du spam. Ce qui est important c'est effectivement que tu rejettes ces tentatives. Ce qui est bien le cas :

Client host rejected: Access denied;

puisque ton serveur de courriel est configuré pour n'autoriser QUE la machine locale à relayer des courriels. Toute tentative de connexion qu client smtp d'une machine externe sera donc rejetée.

Hors ligne

#12 Le 22/11/2016, à 16:06

LeoMajor

Re : Serveur Blacklisté

Par où passent-t-ils ?

ben, ... par la porte

 nc -i 1 -w 1 -z 95.142.174.96 25; echo "$?"
0
nc -i 1 -w 1 -z 95.142.174.96 587; echo "$?"
1
 nc -i 1 -w 1 -z 95.142.174.96 465; echo "$?"
1

->port 25
un netstat l'aurait montré ...

inet_interfaces = all

normal si tu réceptionnes 

openssl s_client -connect loisirs-divertissements.com:25 -starttls smtp 
CONNECTED(00000003)
depth=0 CN = seabird
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = seabird
verify return:1
---
Certificate chain
 0 s:/CN=seabird
   i:/CN=seabird
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=seabird
issuer=/CN=seabird
---
No client certificate CA names sent
---
SSL handshake has read 1595 bytes and written 456 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: 2013C4381AF76BE60E836BBCB875CF606229D2DDA58990274AE73A93FAB02538
    Session-ID-ctx: 
    Master-Key: C17B29599E1C44F22721BE938FEE041A5A14FF4D66B0F1C69CA56391E79EC9F17254F4EB7DDAE1156A65E6951C30CCB4
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 3600 (seconds)
    TLS session ticket:
    0000 - e8 64 ac be b2 86 4b bb-40 b1 b3 23 43 1e 4f f2   .d....K.@..#C.O.
    0010 - 25 e3 d3 c3 54 13 12 bd-71 d5 1d d8 20 eb 8c 6c   %...T...q... ..l
    0020 - 97 7d 80 4b 8c ac 19 0a-dc e6 0e 66 ec a2 bf c5   .}.K.......f....
    0030 - 9a 1b 74 1a 93 12 e7 d7-7b d2 74 d6 76 99 bf 98   ..t.....{.t.v...
    0040 - 5f 4e d0 a6 cc 82 92 a6-94 d8 60 c3 90 cc 05 ca   _N........`.....
    0050 - 61 28 4b 86 80 49 f0 fc-2b 98 76 b1 0e 2a 3e 16   a(K..I..+.v..*>.
    0060 - b5 f2 c9 ad cd d2 33 e8-aa a9 d9 90 ae 41 10 de   ......3......A..
    0070 - d6 22 3b 1d 05 1a 14 51-6e 3c 77 87 be 4b 32 34   .";....Qn<w..K24
    0080 - 96 8e d2 fb 25 26 9a 4a-de ec 32 b9 ed b4 cf 8b   ....%&.J..2.....
    0090 - 72 5e 6f ec 1d 33 94 51-0f b5 f6 da f6 6f 78 0d   r^o..3.Q.....ox.

    Start Time: 1479822315
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
250 DSN
ehlo ...
250-loisirs-divertissements.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
...
 telnet 95.142.174.96 25
Trying 95.142.174.96...
Connected to 95.142.174.96.
Escape character is '^]'.
220 loisirs-divertissements.com ESMTP Postfix (Debian/GNU)
ehlo ....
250-loisirs-divertissements.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

si tu veux juste envoyer

inet_interfaces = loopback-only
ou 127.0.0.1 ou localhost

Hors ligne

Pages : 1