Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 26/03/2013, à 18:54

Elzen

[Postfix] Verrouiller au maximum l'envoi de mails

Salut les gens,

ça fait plusieurs fois que mon postfix se retrouve à servir à spammer, ce qui, forcément, ne me plaît pas particulièrement.

J'ai plusieurs fois fait tomber le serveur, re-vérifié toute la conf, vidé la queue et relancé ; le spam revient à chaque fois un peu plus tard. Je vous poste ma conf' à tout hasard ci-dessous, mais je pense que ça ne vient pas de là (j'en ai discuté avec d'autres gens s'y connaissant un peu mieux que moi, qui n'ont pas trouvé grand chose à redire). En fait, la conclusion à laquelle on en est arrivé, c'est que le spam doit transiter par une autre porte d'entrée.

Du coup, j'aimerais savoir comment faire en sorte de bloquer au maximum ce genre de choses, c'est-à-dire :
– Interdire tout envoi de mail autrement que par authentification directement chez postfix (rejet de la commande mail en local et compagnie)
– Restreindre la liste des comptes utilisateurs ayant le droit d'envoyer des mails, même authentifiés.
– Sur cette liste restreinte, ne les autoriser à envoyer de mails que si l'émetteur correspond bien, voire que si le mail est signé.

En fait, j'pense que ça pourrait être une bonne idée de faire ça, même s'il s'avère finalement que c'était ma conf postfix qui était en cause ; cependant, si celle-ci est bien valide et que vous avez des idées pour m'aider à identifier l'appli qui sert de porte d'entrée aux spammeurs, ça m'intéresse aussi.

À tout hasard, donc, ma conf actuelle :

elzen@fadrienn: ~$ postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
home_mailbox = Mails/
inet_interfaces = all
inet_protocols = all
mailbox_command =
mailbox_size_limit = 0
mydestination = fadrienn.irlnc.org, localhost.irlnc.org, fadrienn, localhost
myhostname = fadrienn.irlnc.org
mynetworks =
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_recipient_restrictions = permit_sasl_authenticated,reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_use_tls = yes

Hors ligne

#2 Le 26/03/2013, à 22:14

tiramiseb

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Ton problème se situe au niveau de la directive mynetworks : il s'agit des adresses qui ont le droit d'envoyer des e-mails à n'importe qui en passant par ton serveur. Tu dois limiter ça aux adresses de ton réseau ; uniquement 127.0.0.1 si ce serveur ne doit pas accepter d'e-mail sortant à partir d'autres machines (cas d'un dédié par exemple).

Hors ligne

#3 Le 26/03/2013, à 22:30

Elzen

Re : [Postfix] Verrouiller au maximum l'envoi de mails

En fait, je viens de le vider quelques instants avant de poster, pour voir si ça changeait quelque chose ou pas.
À l'origine (enfin, pendant les incidents de spam, quoi), il contenait ça :

127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

Soit la configuration d'origine ; je ne suis pas expert en IPv6, mais il me semble que ça n'acceptait déjà que localhost, non ?
(De toute façon, j'n'ai pas encore activé l'IPv6 chez moi, normalement)

Dernière modification par Elzen (Le 26/03/2013, à 22:31)

Hors ligne

#4 Le 27/03/2013, à 09:45

tiramiseb

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Remets ce qu'il y avait à l'origine.

Ensuite, peux-tu donner le retour de :

postconf -d

?

Hors ligne

#5 Le 27/03/2013, à 10:51

Elzen

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Bah à la suite de ton post, j'ai juste remis 127.0.0.1 ; inutile de laisser le reste, je pense.

2bounce_notice_recipient = postmaster
access_map_defer_code = 450
access_map_reject_code = 554
address_verify_cache_cleanup_interval = 12h
address_verify_default_transport = $default_transport
address_verify_local_transport = $local_transport
address_verify_map = btree:$data_directory/verify_cache
address_verify_negative_cache = yes
address_verify_negative_expire_time = 3d
address_verify_negative_refresh_time = 3h
address_verify_poll_count = ${stress?1}${stress:3}
address_verify_poll_delay = 3s
address_verify_positive_expire_time = 31d
address_verify_positive_refresh_time = 7d
address_verify_relay_transport = $relay_transport
address_verify_relayhost = $relayhost
address_verify_sender = $double_bounce_sender
address_verify_sender_dependent_default_transport_maps = $sender_dependent_default_transport_maps
address_verify_sender_dependent_relayhost_maps = $sender_dependent_relayhost_maps
address_verify_sender_ttl = 0s
address_verify_service_name = verify
address_verify_transport_maps = $transport_maps
address_verify_virtual_transport = $virtual_transport
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases, nis:mail.aliases
allow_mail_to_commands = alias, forward
allow_mail_to_files = alias, forward
allow_min_user = no
allow_percent_hack = yes
allow_untrusted_routing = no
alternate_config_directories =
always_add_missing_headers = no
always_bcc =
anvil_rate_time_unit = 60s
anvil_status_update_time = 600s
append_at_myorigin = yes
append_dot_mydomain = yes
application_event_drain_time = 100s
authorized_flush_users = static:anyone
authorized_mailq_users = static:anyone
authorized_submit_users = static:anyone
backwards_bounce_logfile_compatibility = yes
berkeley_db_create_buffer_size = 16777216
berkeley_db_read_buffer_size = 131072
best_mx_transport =
biff = yes
body_checks =
body_checks_size_limit = 51200
bounce_notice_recipient = postmaster
bounce_queue_lifetime = 5d
bounce_service_name = bounce
bounce_size_limit = 50000
bounce_template_file =
broken_sasl_auth_clients = no
bsmtp_delivery_slot_cost = $default_delivery_slot_cost
bsmtp_delivery_slot_discount = $default_delivery_slot_discount
bsmtp_delivery_slot_loan = $default_delivery_slot_loan
bsmtp_destination_concurrency_failed_cohort_limit = $default_destination_concurrency_failed_cohort_limit
bsmtp_destination_concurrency_limit = $default_destination_concurrency_limit
bsmtp_destination_concurrency_negative_feedback = $default_destination_concurrency_negative_feedback
bsmtp_destination_concurrency_positive_feedback = $default_destination_concurrency_positive_feedback
bsmtp_destination_rate_delay = $default_destination_rate_delay
bsmtp_destination_recipient_limit = $default_destination_recipient_limit
bsmtp_extra_recipient_limit = $default_extra_recipient_limit
bsmtp_initial_destination_concurrency = $initial_destination_concurrency
bsmtp_minimum_delivery_slots = $default_minimum_delivery_slots
bsmtp_recipient_limit = $default_recipient_limit
bsmtp_recipient_refill_delay = $default_recipient_refill_delay
bsmtp_recipient_refill_limit = $default_recipient_refill_limit
bsmtp_time_limit = $command_time_limit
canonical_classes = envelope_sender, envelope_recipient, header_sender, header_recipient
canonical_maps =
cleanup_service_name = cleanup
command_directory = /usr/sbin
command_execution_directory =
command_expansion_filter = 1234567890!@%-_=+:,./abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ
command_time_limit = 1000s
config_directory = /etc/postfix
connection_cache_protocol_timeout = 5s
connection_cache_service_name = scache
connection_cache_status_update_time = 600s
connection_cache_ttl_limit = 2s
content_filter =
cyrus_sasl_config_path =
daemon_directory = /usr/lib/postfix
daemon_table_open_error_is_fatal = no
daemon_timeout = 18000s
data_directory = /var/lib/postfix
debug_peer_level = 2
debug_peer_list =
debugger_command =
default_database_type = hash
default_delivery_slot_cost = 5
default_delivery_slot_discount = 50
default_delivery_slot_loan = 3
default_destination_concurrency_failed_cohort_limit = 1
default_destination_concurrency_limit = 20
default_destination_concurrency_negative_feedback = 1
default_destination_concurrency_positive_feedback = 1
default_destination_rate_delay = 0s
default_destination_recipient_limit = 50
default_extra_recipient_limit = 1000
default_filter_nexthop =
default_minimum_delivery_slots = 3
default_privs = nobody
default_process_limit = 100
default_rbl_reply = $rbl_code Service unavailable; $rbl_class [$rbl_what] blocked using $rbl_domain${rbl_reason?; $rbl_reason}
default_recipient_limit = 20000
default_recipient_refill_delay = 5s
default_recipient_refill_limit = 100
default_transport = smtp
default_verp_delimiters = +=
defer_code = 450
defer_service_name = defer
defer_transports =
delay_logging_resolution_limit = 2
delay_notice_recipient = postmaster
delay_warning_time = 0h
deliver_lock_attempts = 20
deliver_lock_delay = 1s
destination_concurrency_feedback_debug = no
detect_8bit_encoding_header = yes
disable_dns_lookups = no
disable_mime_input_processing = no
disable_mime_output_conversion = no
disable_verp_bounces = no
disable_vrfy_command = no
dnsblog_reply_delay = 0s
dnsblog_service_name = dnsblog
dont_remove = 0
double_bounce_sender = double-bounce
duplicate_filter_limit = 1000
empty_address_default_transport_maps_lookup_key = <>
empty_address_recipient = MAILER-DAEMON
empty_address_relayhost_maps_lookup_key = <>
enable_long_queue_ids = no
enable_original_recipient = yes
error_delivery_slot_cost = $default_delivery_slot_cost
error_delivery_slot_discount = $default_delivery_slot_discount
error_delivery_slot_loan = $default_delivery_slot_loan
error_destination_concurrency_failed_cohort_limit = $default_destination_concurrency_failed_cohort_limit
error_destination_concurrency_limit = $default_destination_concurrency_limit
error_destination_concurrency_negative_feedback = $default_destination_concurrency_negative_feedback
error_destination_concurrency_positive_feedback = $default_destination_concurrency_positive_feedback
error_destination_rate_delay = $default_destination_rate_delay
error_destination_recipient_limit = $default_destination_recipient_limit
error_extra_recipient_limit = $default_extra_recipient_limit
error_initial_destination_concurrency = $initial_destination_concurrency
error_minimum_delivery_slots = $default_minimum_delivery_slots
error_notice_recipient = postmaster
error_recipient_limit = $default_recipient_limit
error_recipient_refill_delay = $default_recipient_refill_delay
error_recipient_refill_limit = $default_recipient_refill_limit
error_service_name = error
execution_directory_expansion_filter = 1234567890!@%-_=+:,./abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ
expand_owner_alias = no
export_environment = TZ MAIL_CONFIG LANG
fallback_transport =
fallback_transport_maps =
fast_flush_domains = $relay_domains
fast_flush_purge_time = 7d
fast_flush_refresh_time = 12h
fault_injection_code = 0
flush_service_name = flush
fork_attempts = 5
fork_delay = 1s
forward_expansion_filter = 1234567890!@%-_=+:,./abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ
forward_path = $home/.forward${recipient_delimiter}${extension}, $home/.forward
frozen_delivered_to = yes
hash_queue_depth = 1
hash_queue_names = deferred, defer
header_address_token_limit = 10240
header_checks =
header_size_limit = 102400
helpful_warnings = yes
home_mailbox =
hopcount_limit = 50
html_directory = no
ifmail_delivery_slot_cost = $default_delivery_slot_cost
ifmail_delivery_slot_discount = $default_delivery_slot_discount
ifmail_delivery_slot_loan = $default_delivery_slot_loan
ifmail_destination_concurrency_failed_cohort_limit = $default_destination_concurrency_failed_cohort_limit
ifmail_destination_concurrency_limit = $default_destination_concurrency_limit
ifmail_destination_concurrency_negative_feedback = $default_destination_concurrency_negative_feedback
ifmail_destination_concurrency_positive_feedback = $default_destination_concurrency_positive_feedback
ifmail_destination_rate_delay = $default_destination_rate_delay
ifmail_destination_recipient_limit = $default_destination_recipient_limit
ifmail_extra_recipient_limit = $default_extra_recipient_limit
ifmail_initial_destination_concurrency = $initial_destination_concurrency
ifmail_minimum_delivery_slots = $default_minimum_delivery_slots
ifmail_recipient_limit = $default_recipient_limit
ifmail_recipient_refill_delay = $default_recipient_refill_delay
ifmail_recipient_refill_limit = $default_recipient_refill_limit
ifmail_time_limit = $command_time_limit
ignore_mx_lookup_error = no
import_environment = MAIL_CONFIG MAIL_DEBUG MAIL_LOGTAG TZ XAUTHORITY DISPLAY LANG=C
in_flow_delay = 1s
inet_interfaces = all
inet_protocols = all
initial_destination_concurrency = 5
internal_mail_filter_classes =
invalid_hostname_reject_code = 501
ipc_idle = 5s
ipc_timeout = 3600s
ipc_ttl = 1000s
line_length_limit = 2048
lmtp_address_preference = any
lmtp_assume_final = no
lmtp_bind_address =
lmtp_bind_address6 =
lmtp_body_checks =
lmtp_cname_overrides_servername = no
lmtp_connect_timeout = 0s
lmtp_connection_cache_destinations =
lmtp_connection_cache_on_demand = yes
lmtp_connection_cache_time_limit = 2s
lmtp_connection_reuse_time_limit = 300s
lmtp_data_done_timeout = 600s
lmtp_data_init_timeout = 120s
lmtp_data_xfer_timeout = 180s
lmtp_defer_if_no_mx_address_found = no
lmtp_delivery_slot_cost = $default_delivery_slot_cost
lmtp_delivery_slot_discount = $default_delivery_slot_discount
lmtp_delivery_slot_loan = $default_delivery_slot_loan
lmtp_destination_concurrency_failed_cohort_limit = $default_destination_concurrency_failed_cohort_limit
lmtp_destination_concurrency_limit = $default_destination_concurrency_limit
lmtp_destination_concurrency_negative_feedback = $default_destination_concurrency_negative_feedback
lmtp_destination_concurrency_positive_feedback = $default_destination_concurrency_positive_feedback
lmtp_destination_rate_delay = $default_destination_rate_delay
lmtp_destination_recipient_limit = $default_destination_recipient_limit
lmtp_discard_lhlo_keyword_address_maps =
lmtp_discard_lhlo_keywords =
lmtp_dns_resolver_options =
lmtp_enforce_tls = no
lmtp_extra_recipient_limit = $default_extra_recipient_limit
lmtp_generic_maps =
lmtp_header_checks =
lmtp_host_lookup = dns
lmtp_initial_destination_concurrency = $initial_destination_concurrency
lmtp_lhlo_name = $myhostname
lmtp_lhlo_timeout = 300s
lmtp_line_length_limit = 998
lmtp_mail_timeout = 300s
lmtp_mime_header_checks =
lmtp_minimum_delivery_slots = $default_minimum_delivery_slots
lmtp_mx_address_limit = 5
lmtp_mx_session_limit = 2
lmtp_nested_header_checks =
lmtp_per_record_deadline = no
lmtp_pix_workaround_delay_time = 10s
lmtp_pix_workaround_maps =
lmtp_pix_workaround_threshold_time = 500s
lmtp_pix_workarounds = disable_esmtp,delay_dotcrlf
lmtp_quit_timeout = 300s
lmtp_quote_rfc821_envelope = yes
lmtp_randomize_addresses = yes
lmtp_rcpt_timeout = 300s
lmtp_recipient_limit = $default_recipient_limit
lmtp_recipient_refill_delay = $default_recipient_refill_delay
lmtp_recipient_refill_limit = $default_recipient_refill_limit
lmtp_reply_filter =
lmtp_rset_timeout = 20s
lmtp_sasl_auth_cache_name =
lmtp_sasl_auth_cache_time = 90d
lmtp_sasl_auth_enable = no
lmtp_sasl_auth_soft_bounce = yes
lmtp_sasl_mechanism_filter =
lmtp_sasl_password_maps =
lmtp_sasl_path =
lmtp_sasl_security_options = noplaintext, noanonymous
lmtp_sasl_tls_security_options = $lmtp_sasl_security_options
lmtp_sasl_tls_verified_security_options = $lmtp_sasl_tls_security_options
lmtp_sasl_type = cyrus
lmtp_send_dummy_mail_auth = no
lmtp_send_xforward_command = no
lmtp_sender_dependent_authentication = no
lmtp_skip_5xx_greeting = yes
lmtp_skip_quit_response = no
lmtp_starttls_timeout = 300s
lmtp_tcp_port = 24
lmtp_tls_CAfile =
lmtp_tls_CApath =
lmtp_tls_block_early_mail_reply = no
lmtp_tls_cert_file =
lmtp_tls_ciphers = export
lmtp_tls_dcert_file =
lmtp_tls_dkey_file = $lmtp_tls_dcert_file
lmtp_tls_eccert_file =
lmtp_tls_eckey_file = $lmtp_tls_eccert_file
lmtp_tls_enforce_peername = yes
lmtp_tls_exclude_ciphers =
lmtp_tls_fingerprint_cert_match =
lmtp_tls_fingerprint_digest = md5
lmtp_tls_key_file = $lmtp_tls_cert_file
lmtp_tls_loglevel = 0
lmtp_tls_mandatory_ciphers = medium
lmtp_tls_mandatory_exclude_ciphers =
lmtp_tls_mandatory_protocols = !SSLv2
lmtp_tls_note_starttls_offer = no
lmtp_tls_per_site =
lmtp_tls_policy_maps =
lmtp_tls_protocols = !SSLv2
lmtp_tls_scert_verifydepth = 9
lmtp_tls_secure_cert_match = nexthop
lmtp_tls_security_level =
lmtp_tls_session_cache_database =
lmtp_tls_session_cache_timeout = 3600s
lmtp_tls_verify_cert_match = hostname
lmtp_use_tls = no
lmtp_xforward_timeout = 300s
local_command_shell =
local_delivery_slot_cost = $default_delivery_slot_cost
local_delivery_slot_discount = $default_delivery_slot_discount
local_delivery_slot_loan = $default_delivery_slot_loan
local_destination_concurrency_failed_cohort_limit = $default_destination_concurrency_failed_cohort_limit
local_destination_concurrency_limit = 2
local_destination_concurrency_negative_feedback = $default_destination_concurrency_negative_feedback
local_destination_concurrency_positive_feedback = $default_destination_concurrency_positive_feedback
local_destination_rate_delay = $default_destination_rate_delay
local_destination_recipient_limit = 1
local_extra_recipient_limit = $default_extra_recipient_limit
local_header_rewrite_clients = permit_inet_interfaces
local_initial_destination_concurrency = $initial_destination_concurrency
local_minimum_delivery_slots = $default_minimum_delivery_slots
local_recipient_limit = $default_recipient_limit
local_recipient_maps = proxy:unix:passwd.byname $alias_maps
local_recipient_refill_delay = $default_recipient_refill_delay
local_recipient_refill_limit = $default_recipient_refill_limit
local_transport = local:$myhostname
luser_relay =
mail_name = Postfix
mail_owner = postfix
mail_release_date = 20130203
mail_spool_directory = /var/mail
mail_version = 2.9.6
mailbox_command =
mailbox_command_maps =
mailbox_delivery_lock = fcntl, dotlock
mailbox_size_limit = 51200000
mailbox_transport =
mailbox_transport_maps =
maildrop_delivery_slot_cost = $default_delivery_slot_cost
maildrop_delivery_slot_discount = $default_delivery_slot_discount
maildrop_delivery_slot_loan = $default_delivery_slot_loan
maildrop_destination_concurrency_failed_cohort_limit = $default_destination_concurrency_failed_cohort_limit
maildrop_destination_concurrency_limit = $default_destination_concurrency_limit
maildrop_destination_concurrency_negative_feedback = $default_destination_concurrency_negative_feedback
maildrop_destination_concurrency_positive_feedback = $default_destination_concurrency_positive_feedback
maildrop_destination_rate_delay = $default_destination_rate_delay
maildrop_destination_recipient_limit = $default_destination_recipient_limit
maildrop_extra_recipient_limit = $default_extra_recipient_limit
maildrop_initial_destination_concurrency = $initial_destination_concurrency
maildrop_minimum_delivery_slots = $default_minimum_delivery_slots
maildrop_recipient_limit = $default_recipient_limit
maildrop_recipient_refill_delay = $default_recipient_refill_delay
maildrop_recipient_refill_limit = $default_recipient_refill_limit
maildrop_time_limit = $command_time_limit
mailman_delivery_slot_cost = $default_delivery_slot_cost
mailman_delivery_slot_discount = $default_delivery_slot_discount
mailman_delivery_slot_loan = $default_delivery_slot_loan
mailman_destination_concurrency_failed_cohort_limit = $default_destination_concurrency_failed_cohort_limit
mailman_destination_concurrency_limit = $default_destination_concurrency_limit
mailman_destination_concurrency_negative_feedback = $default_destination_concurrency_negative_feedback
mailman_destination_concurrency_positive_feedback = $default_destination_concurrency_positive_feedback
mailman_destination_rate_delay = $default_destination_rate_delay
mailman_destination_recipient_limit = $default_destination_recipient_limit
mailman_extra_recipient_limit = $default_extra_recipient_limit
mailman_initial_destination_concurrency = $initial_destination_concurrency
mailman_minimum_delivery_slots = $default_minimum_delivery_slots
mailman_recipient_limit = $default_recipient_limit
mailman_recipient_refill_delay = $default_recipient_refill_delay
mailman_recipient_refill_limit = $default_recipient_refill_limit
mailman_time_limit = $command_time_limit
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
maps_rbl_domains =
maps_rbl_reject_code = 554
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains =
masquerade_exceptions =
master_service_disable =
max_idle = 100s
max_use = 100
maximal_backoff_time = 4000s
maximal_queue_lifetime = 5d
message_reject_characters =
message_size_limit = 10240000
message_strip_characters =
milter_command_timeout = 30s
milter_connect_macros = j {daemon_name} v
milter_connect_timeout = 30s
milter_content_timeout = 300s
milter_data_macros = i
milter_default_action = tempfail
milter_end_of_data_macros = i
milter_end_of_header_macros = i
milter_header_checks =
milter_helo_macros = {tls_version} {cipher} {cipher_bits} {cert_subject} {cert_issuer}
milter_macro_daemon_name = $myhostname
milter_macro_v = $mail_name $mail_version
milter_mail_macros = i {auth_type} {auth_authen} {auth_author} {mail_addr} {mail_host} {mail_mailer}
milter_protocol = 6
milter_rcpt_macros = i {rcpt_addr} {rcpt_host} {rcpt_mailer}
milter_unknown_command_macros =
mime_boundary_length_limit = 2048
mime_header_checks = $header_checks
mime_nesting_limit = 100
minimal_backoff_time = 300s
multi_instance_directories =
multi_instance_enable = no
multi_instance_group =
multi_instance_name =
multi_instance_wrapper =
multi_recipient_bounce_reject_code = 550
mydestination = $myhostname, localhost.$mydomain, localhost
mydomain = localdomain
myhostname = fadrienn.localdomain
mynetworks = 127.0.0.0/8 192.168.0.0/24 [::1]/128 [fe80::]/64
mynetworks_style = subnet
myorigin = $myhostname
nested_header_checks = $header_checks
newaliases_path = /usr/bin/newaliases
non_fqdn_reject_code = 504
non_smtpd_milters =
notify_classes = resource, software
owner_request_special = yes
parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,smtpd_access_maps
permit_mx_backup_networks =
pickup_service_name = pickup
plaintext_reject_code = 450
postmulti_control_commands = reload flush
postmulti_start_commands = start
postmulti_stop_commands = stop abort drain quick-stop
postscreen_access_list = permit_mynetworks
postscreen_bare_newline_action = ignore
postscreen_bare_newline_enable = no
postscreen_bare_newline_ttl = 30d
postscreen_blacklist_action = ignore
postscreen_cache_cleanup_interval = 12h
postscreen_cache_map = btree:$data_directory/postscreen_cache
postscreen_cache_retention_time = 7d
postscreen_client_connection_count_limit = $smtpd_client_connection_count_limit
postscreen_command_count_limit = 20
postscreen_command_filter =
postscreen_command_time_limit = ${stress?10}${stress:300}s
postscreen_disable_vrfy_command = $disable_vrfy_command
postscreen_discard_ehlo_keyword_address_maps = $smtpd_discard_ehlo_keyword_address_maps
postscreen_discard_ehlo_keywords = $smtpd_discard_ehlo_keywords
postscreen_dnsbl_action = ignore
postscreen_dnsbl_reply_map =
postscreen_dnsbl_sites =
postscreen_dnsbl_threshold = 1
postscreen_dnsbl_ttl = 1h
postscreen_enforce_tls = $smtpd_enforce_tls
postscreen_expansion_filter = $smtpd_expansion_filter
postscreen_forbidden_commands = $smtpd_forbidden_commands
postscreen_greet_action = ignore
postscreen_greet_banner = $smtpd_banner
postscreen_greet_ttl = 1d
postscreen_greet_wait = ${stress?2}${stress:6}s
postscreen_helo_required = $smtpd_helo_required
postscreen_non_smtp_command_action = drop
postscreen_non_smtp_command_enable = no
postscreen_non_smtp_command_ttl = 30d
postscreen_pipelining_action = enforce
postscreen_pipelining_enable = no
postscreen_pipelining_ttl = 30d
postscreen_post_queue_limit = $default_process_limit
postscreen_pre_queue_limit = $default_process_limit
postscreen_reject_footer = $smtpd_reject_footer
postscreen_tls_security_level = $smtpd_tls_security_level
postscreen_use_tls = $smtpd_use_tls
postscreen_watchdog_timeout = 10s
postscreen_whitelist_interfaces = static:all
prepend_delivered_header = command, file, forward
process_id_directory = pid
propagate_unmatched_extensions = canonical, virtual
proxy_interfaces =
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $sender_bcc_maps $recipient_bcc_maps $smtp_generic_maps $lmtp_generic_maps $alias_maps
proxy_write_maps = $smtp_sasl_auth_cache_name $lmtp_sasl_auth_cache_name $address_verify_map $postscreen_cache_map
proxymap_service_name = proxymap
proxywrite_service_name = proxywrite
qmgr_clog_warn_time = 300s
qmgr_daemon_timeout = 1000s
qmgr_fudge_factor = 100
qmgr_ipc_timeout = 60s
qmgr_message_active_limit = 20000
qmgr_message_recipient_limit = 20000
qmgr_message_recipient_minimum = 10
qmqpd_authorized_clients =
qmqpd_client_port_logging = no
qmqpd_error_delay = 1s
qmqpd_timeout = 300s
queue_directory = /var/spool/postfix
queue_file_attribute_count_limit = 100
queue_minfree = 0
queue_run_delay = 300s
queue_service_name = qmgr
rbl_reply_maps =
readme_directory = /usr/share/doc/postfix
receive_override_options =
recipient_bcc_maps =
recipient_canonical_classes = envelope_recipient, header_recipient
recipient_canonical_maps =
recipient_delimiter =
reject_code = 554
reject_tempfail_action = defer_if_permit
relay_clientcerts =
relay_delivery_slot_cost = $default_delivery_slot_cost
relay_delivery_slot_discount = $default_delivery_slot_discount
relay_delivery_slot_loan = $default_delivery_slot_loan
relay_destination_concurrency_failed_cohort_limit = $default_destination_concurrency_failed_cohort_limit
relay_destination_concurrency_limit = $default_destination_concurrency_limit
relay_destination_concurrency_negative_feedback = $default_destination_concurrency_negative_feedback
relay_destination_concurrency_positive_feedback = $default_destination_concurrency_positive_feedback
relay_destination_rate_delay = $default_destination_rate_delay
relay_destination_recipient_limit = $default_destination_recipient_limit
relay_domains = $mydestination
relay_domains_reject_code = 554
relay_extra_recipient_limit = $default_extra_recipient_limit
relay_initial_destination_concurrency = $initial_destination_concurrency
relay_minimum_delivery_slots = $default_minimum_delivery_slots
relay_recipient_limit = $default_recipient_limit
relay_recipient_maps =
relay_recipient_refill_delay = $default_recipient_refill_delay
relay_recipient_refill_limit = $default_recipient_refill_limit
relay_transport = relay
relayhost =
relocated_maps =
remote_header_rewrite_domain =
require_home_directory = no
reset_owner_alias = no
resolve_dequoted_address = yes
resolve_null_domain = no
resolve_numeric_domain = no
retry_delivery_slot_cost = $default_delivery_slot_cost
retry_delivery_slot_discount = $default_delivery_slot_discount
retry_delivery_slot_loan = $default_delivery_slot_loan
retry_destination_concurrency_failed_cohort_limit = $default_destination_concurrency_failed_cohort_limit
retry_destination_concurrency_limit = $default_destination_concurrency_limit
retry_destination_concurrency_negative_feedback = $default_destination_concurrency_negative_feedback
retry_destination_concurrency_positive_feedback = $default_destination_concurrency_positive_feedback
retry_destination_rate_delay = $default_destination_rate_delay
retry_destination_recipient_limit = $default_destination_recipient_limit
retry_extra_recipient_limit = $default_extra_recipient_limit
retry_initial_destination_concurrency = $initial_destination_concurrency
retry_minimum_delivery_slots = $default_minimum_delivery_slots
retry_recipient_limit = $default_recipient_limit
retry_recipient_refill_delay = $default_recipient_refill_delay
retry_recipient_refill_limit = $default_recipient_refill_limit
rewrite_service_name = rewrite
sample_directory = /usr/share/doc/postfix/examples
scalemail-backend_delivery_slot_cost = $default_delivery_slot_cost
scalemail-backend_delivery_slot_discount = $default_delivery_slot_discount
scalemail-backend_delivery_slot_loan = $default_delivery_slot_loan
scalemail-backend_destination_concurrency_failed_cohort_limit = $default_destination_concurrency_failed_cohort_limit
scalemail-backend_destination_concurrency_limit = $default_destination_concurrency_limit
scalemail-backend_destination_concurrency_negative_feedback = $default_destination_concurrency_negative_feedback
scalemail-backend_destination_concurrency_positive_feedback = $default_destination_concurrency_positive_feedback
scalemail-backend_destination_rate_delay = $default_destination_rate_delay
scalemail-backend_destination_recipient_limit = $default_destination_recipient_limit
scalemail-backend_extra_recipient_limit = $default_extra_recipient_limit
scalemail-backend_initial_destination_concurrency = $initial_destination_concurrency
scalemail-backend_minimum_delivery_slots = $default_minimum_delivery_slots
scalemail-backend_recipient_limit = $default_recipient_limit
scalemail-backend_recipient_refill_delay = $default_recipient_refill_delay
scalemail-backend_recipient_refill_limit = $default_recipient_refill_limit
scalemail-backend_time_limit = $command_time_limit
send_cyrus_sasl_authzid = no
sender_bcc_maps =
sender_canonical_classes = envelope_sender, header_sender
sender_canonical_maps =
sender_dependent_default_transport_maps =
sender_dependent_relayhost_maps =
sendmail_fix_line_endings = always
sendmail_path = /usr/sbin/sendmail
service_throttle_time = 60s
setgid_group = postdrop
show_user_unknown_table_name = yes
showq_service_name = showq
smtp_address_preference = any
smtp_always_send_ehlo = yes
smtp_bind_address =
smtp_bind_address6 =
smtp_body_checks =
smtp_cname_overrides_servername = no
smtp_connect_timeout = 30s
smtp_connection_cache_destinations =
smtp_connection_cache_on_demand = yes
smtp_connection_cache_time_limit = 2s
smtp_connection_reuse_time_limit = 300s
smtp_data_done_timeout = 600s
smtp_data_init_timeout = 120s
smtp_data_xfer_timeout = 180s
smtp_defer_if_no_mx_address_found = no
smtp_delivery_slot_cost = $default_delivery_slot_cost
smtp_delivery_slot_discount = $default_delivery_slot_discount
smtp_delivery_slot_loan = $default_delivery_slot_loan
smtp_destination_concurrency_failed_cohort_limit = $default_destination_concurrency_failed_cohort_limit
smtp_destination_concurrency_limit = $default_destination_concurrency_limit
smtp_destination_concurrency_negative_feedback = $default_destination_concurrency_negative_feedback
smtp_destination_concurrency_positive_feedback = $default_destination_concurrency_positive_feedback
smtp_destination_rate_delay = $default_destination_rate_delay
smtp_destination_recipient_limit = $default_destination_recipient_limit
smtp_discard_ehlo_keyword_address_maps =
smtp_discard_ehlo_keywords =
smtp_dns_resolver_options =
smtp_enforce_tls = no
smtp_extra_recipient_limit = $default_extra_recipient_limit
smtp_fallback_relay = $fallback_relay
smtp_generic_maps =
smtp_header_checks =
smtp_helo_name = $myhostname
smtp_helo_timeout = 300s
smtp_host_lookup = dns
smtp_initial_destination_concurrency = $initial_destination_concurrency
smtp_line_length_limit = 998
smtp_mail_timeout = 300s
smtp_mime_header_checks =
smtp_minimum_delivery_slots = $default_minimum_delivery_slots
smtp_mx_address_limit = 5
smtp_mx_session_limit = 2
smtp_nested_header_checks =
smtp_never_send_ehlo = no
smtp_per_record_deadline = no
smtp_pix_workaround_delay_time = 10s
smtp_pix_workaround_maps =
smtp_pix_workaround_threshold_time = 500s
smtp_pix_workarounds = disable_esmtp,delay_dotcrlf
smtp_quit_timeout = 300s
smtp_quote_rfc821_envelope = yes
smtp_randomize_addresses = yes
smtp_rcpt_timeout = 300s
smtp_recipient_limit = $default_recipient_limit
smtp_recipient_refill_delay = $default_recipient_refill_delay
smtp_recipient_refill_limit = $default_recipient_refill_limit
smtp_reply_filter =
smtp_rset_timeout = 20s
smtp_sasl_auth_cache_name =
smtp_sasl_auth_cache_time = 90d
smtp_sasl_auth_enable = no
smtp_sasl_auth_soft_bounce = yes
smtp_sasl_mechanism_filter =
smtp_sasl_password_maps =
smtp_sasl_path =
smtp_sasl_security_options = noplaintext, noanonymous
smtp_sasl_tls_security_options = $smtp_sasl_security_options
smtp_sasl_tls_verified_security_options = $smtp_sasl_tls_security_options
smtp_sasl_type = cyrus
smtp_send_dummy_mail_auth = no
smtp_send_xforward_command = no
smtp_sender_dependent_authentication = no
smtp_skip_5xx_greeting = yes
smtp_skip_quit_response = yes
smtp_starttls_timeout = 300s
smtp_tls_CAfile =
smtp_tls_CApath =
smtp_tls_block_early_mail_reply = no
smtp_tls_cert_file =
smtp_tls_ciphers = export
smtp_tls_dcert_file =
smtp_tls_dkey_file = $smtp_tls_dcert_file
smtp_tls_eccert_file =
smtp_tls_eckey_file = $smtp_tls_eccert_file
smtp_tls_enforce_peername = yes
smtp_tls_exclude_ciphers =
smtp_tls_fingerprint_cert_match =
smtp_tls_fingerprint_digest = md5
smtp_tls_key_file = $smtp_tls_cert_file
smtp_tls_loglevel = 0
smtp_tls_mandatory_ciphers = medium
smtp_tls_mandatory_exclude_ciphers =
smtp_tls_mandatory_protocols = !SSLv2
smtp_tls_note_starttls_offer = no
smtp_tls_per_site =
smtp_tls_policy_maps =
smtp_tls_protocols = !SSLv2
smtp_tls_scert_verifydepth = 9
smtp_tls_secure_cert_match = nexthop, dot-nexthop
smtp_tls_security_level =
smtp_tls_session_cache_database =
smtp_tls_session_cache_timeout = 3600s
smtp_tls_verify_cert_match = hostname
smtp_use_tls = no
smtp_xforward_timeout = 300s
smtpd_authorized_verp_clients = $authorized_verp_clients
smtpd_authorized_xclient_hosts =
smtpd_authorized_xforward_hosts =
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_client_connection_count_limit = 50
smtpd_client_connection_rate_limit = 0
smtpd_client_event_limit_exceptions = ${smtpd_client_connection_limit_exceptions:$mynetworks}
smtpd_client_message_rate_limit = 0
smtpd_client_new_tls_session_rate_limit = 0
smtpd_client_port_logging = no
smtpd_client_recipient_rate_limit = 0
smtpd_client_restrictions =
smtpd_command_filter =
smtpd_data_restrictions =
smtpd_delay_open_until_valid_rcpt = yes
smtpd_delay_reject = yes
smtpd_discard_ehlo_keyword_address_maps =
smtpd_discard_ehlo_keywords =
smtpd_end_of_data_restrictions =
smtpd_enforce_tls = no
smtpd_error_sleep_time = 1s
smtpd_etrn_restrictions =
smtpd_expansion_filter = \t\40!"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`abcdefghijklmnopqrstuvwxyz{|}~
smtpd_forbidden_commands = CONNECT GET POST
smtpd_hard_error_limit = ${stress?1}${stress:20}
smtpd_helo_required = no
smtpd_helo_restrictions =
smtpd_history_flush_threshold = 100
smtpd_junk_command_limit = ${stress?1}${stress:100}
smtpd_milters =
smtpd_noop_commands =
smtpd_null_access_lookup_key = <>
smtpd_peername_lookup = yes
smtpd_per_record_deadline = ${stress?yes}${stress:no}
smtpd_policy_service_max_idle = 300s
smtpd_policy_service_max_ttl = 1000s
smtpd_policy_service_timeout = 100s
smtpd_proxy_ehlo = $myhostname
smtpd_proxy_filter =
smtpd_proxy_options =
smtpd_proxy_timeout = 100s
smtpd_recipient_limit = 1000
smtpd_recipient_overshoot_limit = 1000
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination
smtpd_reject_footer =
smtpd_reject_unlisted_recipient = yes
smtpd_reject_unlisted_sender = no
smtpd_restriction_classes =
smtpd_sasl_auth_enable = no
smtpd_sasl_authenticated_header = no
smtpd_sasl_exceptions_networks =
smtpd_sasl_local_domain =
smtpd_sasl_path = smtpd
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_sasl_type = cyrus
smtpd_sender_login_maps =
smtpd_sender_restrictions =
smtpd_service_name = smtpd
smtpd_soft_error_limit = 10
smtpd_starttls_timeout = ${stress?10}${stress:300}s
smtpd_timeout = ${stress?10}${stress:300}s
smtpd_tls_CAfile =
smtpd_tls_CApath =
smtpd_tls_always_issue_session_ids = yes
smtpd_tls_ask_ccert = no
smtpd_tls_auth_only = no
smtpd_tls_ccert_verifydepth = 9
smtpd_tls_cert_file =
smtpd_tls_ciphers = export
smtpd_tls_dcert_file =
smtpd_tls_dh1024_param_file =
smtpd_tls_dh512_param_file =
smtpd_tls_dkey_file = $smtpd_tls_dcert_file
smtpd_tls_eccert_file =
smtpd_tls_eckey_file = $smtpd_tls_eccert_file
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers =
smtpd_tls_fingerprint_digest = md5
smtpd_tls_key_file = $smtpd_tls_cert_file
smtpd_tls_loglevel = 0
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers =
smtpd_tls_mandatory_protocols = !SSLv2
smtpd_tls_protocols =
smtpd_tls_received_header = no
smtpd_tls_req_ccert = no
smtpd_tls_security_level =
smtpd_tls_session_cache_database =
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_wrappermode = no
smtpd_use_tls = no
soft_bounce = no
stale_lock_time = 500s
stress =
strict_7bit_headers = no
strict_8bitmime = no
strict_8bitmime_body = no
strict_mailbox_ownership = yes
strict_mime_encoding_domain = no
strict_rfc821_envelopes = no
sun_mailtool_compatibility = no
swap_bangpath = yes
syslog_facility = mail
syslog_name = ${multi_instance_name:postfix}${multi_instance_name?$multi_instance_name}
tcp_windowsize = 0
tls_append_default_CA = no
tls_daemon_random_bytes = 32
tls_disable_workarounds =
tls_eecdh_strong_curve = prime256v1
tls_eecdh_ultra_curve = secp384r1
tls_export_cipherlist = aNULL:-aNULL:ALL:+RC4:@STRENGTH
tls_high_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:!MEDIUM:+RC4:@STRENGTH
tls_legacy_public_key_fingerprints = no
tls_low_cipherlist = aNULL:-aNULL:ALL:!EXPORT:+RC4:@STRENGTH
tls_medium_cipherlist = aNULL:-aNULL:ALL:!EXPORT:!LOW:+RC4:@STRENGTH
tls_null_cipherlist = eNULL:!aNULL
tls_preempt_cipherlist = no
tls_random_bytes = 32
tls_random_exchange_name = ${data_directory}/prng_exch
tls_random_prng_update_period = 3600s
tls_random_reseed_period = 3600s
tls_random_source = dev:/dev/urandom
tlsproxy_enforce_tls = $smtpd_enforce_tls
tlsproxy_service_name = tlsproxy
tlsproxy_tls_CAfile = $smtpd_tls_CAfile
tlsproxy_tls_CApath = $smtpd_tls_CApath
tlsproxy_tls_always_issue_session_ids = $smtpd_tls_always_issue_session_ids
tlsproxy_tls_ask_ccert = $smtpd_tls_ask_ccert
tlsproxy_tls_ccert_verifydepth = $smtpd_tls_ccert_verifydepth
tlsproxy_tls_cert_file = $smtpd_tls_cert_file
tlsproxy_tls_ciphers = $smtpd_tls_ciphers
tlsproxy_tls_dcert_file = $smtpd_tls_dcert_file
tlsproxy_tls_dh1024_param_file = $smtpd_tls_dh1024_param_file
tlsproxy_tls_dh512_param_file = $smtpd_tls_dh512_param_file
tlsproxy_tls_dkey_file = $smtpd_tls_dkey_file
tlsproxy_tls_eccert_file = $smtpd_tls_eccert_file
tlsproxy_tls_eckey_file = $smtpd_tls_eckey_file
tlsproxy_tls_eecdh_grade = $smtpd_tls_eecdh_grade
tlsproxy_tls_exclude_ciphers = $smtpd_tls_exclude_ciphers
tlsproxy_tls_fingerprint_digest = $smtpd_tls_fingerprint_digest
tlsproxy_tls_key_file = $smtpd_tls_key_file
tlsproxy_tls_loglevel = $smtpd_tls_loglevel
tlsproxy_tls_mandatory_ciphers = $smtpd_tls_mandatory_ciphers
tlsproxy_tls_mandatory_exclude_ciphers = $smtpd_tls_mandatory_exclude_ciphers
tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols
tlsproxy_tls_protocols = $smtpd_tls_protocols
tlsproxy_tls_req_ccert = $smtpd_tls_req_ccert
tlsproxy_tls_security_level = $smtpd_tls_security_level
tlsproxy_tls_session_cache_timeout = $smtpd_tls_session_cache_timeout
tlsproxy_use_tls = $smtpd_use_tls
tlsproxy_watchdog_timeout = 10s
trace_service_name = trace
transport_maps =
transport_retry_time = 60s
trigger_timeout = 10s
undisclosed_recipients_header =
unknown_address_reject_code = 450
unknown_address_tempfail_action = $reject_tempfail_action
unknown_client_reject_code = 450
unknown_helo_hostname_tempfail_action = $reject_tempfail_action
unknown_hostname_reject_code = 450
unknown_local_recipient_reject_code = 550
unknown_relay_recipient_reject_code = 550
unknown_virtual_alias_reject_code = 550
unknown_virtual_mailbox_reject_code = 550
unverified_recipient_defer_code = 450
unverified_recipient_reject_code = 450
unverified_recipient_reject_reason =
unverified_recipient_tempfail_action = $reject_tempfail_action
unverified_sender_defer_code = 450
unverified_sender_reject_code = 450
unverified_sender_reject_reason =
unverified_sender_tempfail_action = $reject_tempfail_action
uucp_delivery_slot_cost = $default_delivery_slot_cost
uucp_delivery_slot_discount = $default_delivery_slot_discount
uucp_delivery_slot_loan = $default_delivery_slot_loan
uucp_destination_concurrency_failed_cohort_limit = $default_destination_concurrency_failed_cohort_limit
uucp_destination_concurrency_limit = $default_destination_concurrency_limit
uucp_destination_concurrency_negative_feedback = $default_destination_concurrency_negative_feedback
uucp_destination_concurrency_positive_feedback = $default_destination_concurrency_positive_feedback
uucp_destination_rate_delay = $default_destination_rate_delay
uucp_destination_recipient_limit = $default_destination_recipient_limit
uucp_extra_recipient_limit = $default_extra_recipient_limit
uucp_initial_destination_concurrency = $initial_destination_concurrency
uucp_minimum_delivery_slots = $default_minimum_delivery_slots
uucp_recipient_limit = $default_recipient_limit
uucp_recipient_refill_delay = $default_recipient_refill_delay
uucp_recipient_refill_limit = $default_recipient_refill_limit
uucp_time_limit = $command_time_limit
verp_delimiter_filter = -=+
virtual_alias_domains = $virtual_alias_maps
virtual_alias_expansion_limit = 1000
virtual_alias_maps = $virtual_maps
virtual_alias_recursion_limit = 1000
virtual_delivery_slot_cost = $default_delivery_slot_cost
virtual_delivery_slot_discount = $default_delivery_slot_discount
virtual_delivery_slot_loan = $default_delivery_slot_loan
virtual_destination_concurrency_failed_cohort_limit = $default_destination_concurrency_failed_cohort_limit
virtual_destination_concurrency_limit = $default_destination_concurrency_limit
virtual_destination_concurrency_negative_feedback = $default_destination_concurrency_negative_feedback
virtual_destination_concurrency_positive_feedback = $default_destination_concurrency_positive_feedback
virtual_destination_rate_delay = $default_destination_rate_delay
virtual_destination_recipient_limit = $default_destination_recipient_limit
virtual_extra_recipient_limit = $default_extra_recipient_limit
virtual_gid_maps =
virtual_initial_destination_concurrency = $initial_destination_concurrency
virtual_mailbox_base =
virtual_mailbox_domains = $virtual_mailbox_maps
virtual_mailbox_limit = 51200000
virtual_mailbox_lock = fcntl, dotlock
virtual_mailbox_maps =
virtual_minimum_delivery_slots = $default_minimum_delivery_slots
virtual_minimum_uid = 100
virtual_recipient_limit = $default_recipient_limit
virtual_recipient_refill_delay = $default_recipient_refill_delay
virtual_recipient_refill_limit = $default_recipient_refill_limit
virtual_transport = virtual
virtual_uid_maps =

Apparemment, ça ne re-spamme pas pour le moment, mais je laisse un tail -f ouvert en permanence sur le fichier de log, maintenant…

Hors ligne

#6 Le 27/03/2013, à 10:56

tiramiseb

Re : [Postfix] Verrouiller au maximum l'envoi de mails

En effet je ne vois pas de problème particulier au niveau de ta configuration...
En tout cas rien qui me saute aux yeux...


Cela dit, c'est pas dur de tester : essaie d'utiliser ton serveur SMTP pour envoyer un e-mail à partir de "l'extérieur" vers "l'extérieur"...

Tiens, je viens de tester :

root@outchou:~# telnet fadrienn.irlnc.org 25
Trying 82.233.208.64...
Connected to fadrienn.irlnc.org.
Escape character is '^]'.
220 fadrienn.irlnc.org ESMTP Postfix (Debian/GNU)
HELO test-tiramiseb.fr
250 fadrienn.irlnc.org
MAIL FROM: <sebastien@tiramiseb.fr>
250 2.1.0 Ok
RCPT TO: <sebastien@tiramiseb.fr>
554 5.7.1 <sebastien@tiramiseb.fr>: Relay access denied

C'est bon c'est bloqué.

Si tu as des spams qui passent, alors ça n'arrive pas de cette manière.

Dernière modification par tiramiseb (Le 27/03/2013, à 10:59)

Hors ligne

#7 Le 27/03/2013, à 11:16

Elzen

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Oui, je t'ai vu passer dans les logs smile

Mais comme je l'ai dit dans le premier post, j'avais déjà vérifié (personnellement et en demandant à d'autres gens) que la conf était correcte ; ç'pour ça que je demandais des conseils pour autre une autre approche wink

Elzen a écrit :

En fait, la conclusion à laquelle on en est arrivé, c'est que le spam doit transiter par une autre porte d'entrée.

Du coup, j'aimerais savoir comment faire en sorte de bloquer au maximum ce genre de choses, c'est-à-dire :
– Interdire tout envoi de mail autrement que par authentification directement chez postfix (rejet de la commande mail en local et compagnie)
– Restreindre la liste des comptes utilisateurs ayant le droit d'envoyer des mails, même authentifiés.
– Sur cette liste restreinte, ne les autoriser à envoyer de mails que si l'émetteur correspond bien, voire que si le mail est signé.

En fait, j'pense que ça pourrait être une bonne idée de faire ça, même s'il s'avère finalement que c'était ma conf postfix qui était en cause ; cependant, si celle-ci est bien valide et que vous avez des idées pour m'aider à identifier l'appli qui sert de porte d'entrée aux spammeurs, ça m'intéresse aussi.

Hors ligne

#8 Le 27/03/2013, à 11:17

tiramiseb

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Il faut déjà analyser les logs liés à ces spams pour voir comment ils sont retransmis.
Normalement dans les logs de Postfix tu dois pouvoir trouver comment le spam serait entré. À partir de là tu pourras approfondir.

Il faut aussi savoir ce que tu as d'autre comme services sur ton serveur...

Par exemple tu as peut-être un script PHP soit-disant sans gravité qui serait fourni avec un framework PHP que tu utiliserais, sauf que le script en question permettrait peut-être à n'importe qui d'envoyer un e-mail. Ce n'est bien sûr pas une analyse de ton problème mais juste un petit exemple en passant.

Autrement dit : plutôt que bloquer au niveau de Postfix, corrige la faille elle-même.

(tiens, ça me fait penser une discussion récente avec un énorme troll à propos des firewalls et du filtrage en sortie)

Dernière modification par tiramiseb (Le 27/03/2013, à 11:19)

Hors ligne

#9 Le 27/03/2013, à 11:45

Elzen

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Bah bien sûr que si je repère une faille ailleurs, je vais la corriger ; ça n'empêche pas, je pense, de verrouiller postfix correctement au cas où (le problème avec les failles, c'est que la résolution n'est jamais définitive pour peu que la chose évolue).
Quand bien même il n'y aurait pas de faille, ça ne me semble pas une mauvaise idée que de faire en sorte que la seule chose qui puisse sortir, soit la seule dont je veux qu'elle sorte.

Sinon, en PHP, je n'utilise pas de framework ; mon site n'a que deux pages en PHP accessibles (le reste, c'est du html prégénéré), dont aucune n'a d'envoi de mail, et aucune possibilité d'uploader quelque fichier que ce soit, normalement. Les autres serveurs qui tournent sur la machine : ssh (par clef uniquement, pas par mots de passe), prosody, lighttpd, git, et un postgresql qui n'est normalement accessible que sur le réseau local. Je crois que c'est à peu près tout.

Sinon, le spam est revenu juste pendant qu'on parlait, donc pour le cas où tu verrais des trucs qui m'ont échappé dans les logs, je t'ai mis l'extrait entre ta tentative et la coupure du serveur ici

Hors ligne

#10 Le 27/03/2013, à 11:47

tiramiseb

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Quand bien même il n'y aurait pas de faille, ça ne me semble pas une mauvaise idée que de faire en sorte que la seule chose qui puisse sortir, soit la seule dont je veux qu'elle sorte.

Oui mais bon, à raisonner comme ça on va avoir besoin de 10 admins pour chaque serveur... car des usages détournés, ça peut passer par plein d'endroits...

Si je veux que le voisin n'utilise pas le robinet de ma cuisine, je ferme la porte à clé et je ne la lui donne pas, ça suffit. Et s'il casse la fenêtre, je renforce ensuite la fenêtre.
Il y a bien un moment où il va arrêter : il ne va pas non plus attaquer mon mur avec un marteau-piqueur...

Mais je ne mets pas de code secret sur mon robinet...

Dernière modification par tiramiseb (Le 27/03/2013, à 11:48)

Hors ligne

#11 Le 27/03/2013, à 11:55

tiramiseb

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Dans ton log, tout en haut du fichier, on retrouve :

Mar 27 10:59:59 fadrienn postfix/smtpd[28613]: E1450320074: client=ns2307943.ovh.net[5.135.139.61], sasl_method=LOGIN, sasl_username=guest

Dans ta conf (message #1), tu as, entre autres :

smtpd_recipient_restrictions = permit_sasl_authenticated

Pour mon message #4, désolé je suis con, je t'ai demandé "postconf -d" alors que ce que je voulais c'est "postconf -n", que tu avais déjà donné.

Tu n'aurais pas, par zazard, un utilisateur appelé "guest" avec un mot de passe à la con genre "guest" dans ta base d'authentification SASL ?

Hors ligne

#12 Le 27/03/2013, à 13:10

Elzen

Re : [Postfix] Verrouiller au maximum l'envoi de mails

tiramiseb a écrit :

Oui mais bon, à raisonner comme ça on va avoir besoin de 10 admins pour chaque serveur... car des usages détournés, ça peut passer par plein d'endroits...

Bah, non ; il me semble que si la conf que j'envisage était mise en place par défaut (autoriser uniquement certains utilisateurs à envoyer un mail ; éventuellement avec une signature), ça ne demanderait pas plus d'administration que ça, et ça résoudrait tous les problèmes.

(En tout cas, mon SSh marche très bien comme ça, et du coup je n'ai besoin d'y retoucher que quand j'ajoute un nouvel utilisateur, et encore)

tiramiseb a écrit :

Tu n'aurais pas, par zazard, un utilisateur appelé "guest" avec un mot de passe à la con genre "guest" dans ta base d'authentification SASL ?

Hmm. Maintenant que tu le dis… j'ai bien un utilisateur « guest », et j'étais sûr d'avoir viré son mot de passe, mais un petit tour dans /etc/shadow montre que ce n'était pas le cas ^^"
Problème d'interface chaise-clavier de mon côté, donc ^^" Potentiellement réglé, on verra bien.

Ceci dit, je maintiens que je préférerais restreindre les envois à quelques comptes utilisateurs seulement. Dont pas celui-là, justement.

Dernière modification par Elzen (Le 27/03/2013, à 13:11)

Hors ligne

#13 Le 27/03/2013, à 13:33

Pseudo supprimé

Re : [Postfix] Verrouiller au maximum l'envoi de mails

tu as mis guest:guest comme user:mot de passe ...
bon à supprimer

[mer. 27 mars 2013 13:15:36 CET] The resource: "http://fadrienn.irlnc.org/....." has a user and password in the body. The offending URL is: "\t\t<p><a href="https://guest:guest@fadrienn.irlnc.org/......#m0">https://guest:guest@fadrienn.irlnc.org". This vulnerability was found in the request with id 72.

#14 Le 27/03/2013, à 13:46

tiramiseb

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Ceci dit, je maintiens que je préférerais restreindre les envois à quelques comptes utilisateurs seulement.

Je pense que c'est au niveau de SASL qu'il faut configurer ça...

Hors ligne

#15 Le 27/03/2013, à 13:51

Elzen

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Titouan a écrit :

tu as mis guest:guest comme user:mot de passe ...

C'est l'accès HTTP authentifié, ça : ce mot de passe-là n'est pas géré au même endroit ; et celui-ci est volontairement public (ç't'un problème de conf web, pas de conf mail)

(D'ailleurs, tu peux remarquer que le login guest:guest par https marche toujours, alors que guest n'a plus de mot de passe système depuis mon dernier post)

tiramiseb a écrit :

Je pense que c'est au niveau de SASL qu'il faut configurer ça...

Bah, moi pas : ce que je voudrais, c'est que Postfix refuse les mails venant des utilisateurs non-autorisés, y compris s'ils passent par la ligne de commande plutôt que par une authentification directe.

En gros, je voudrais que, si je crée un compte système pour toto, je puisse dire « SSh, tu laisses passer le compte toto ; postfix, non. » (ou réciproquement).

Dernière modification par Elzen (Le 27/03/2013, à 13:56)

Hors ligne

#16 Le 27/03/2013, à 14:00

tiramiseb

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Bah, moi pas : ce que je voudrais, c'est que Postfix refuse les mails venant des utilisateurs non-autorisés, y compris s'ils passent par la ligne de commande plutôt que par une authentification directe.

En gros, je voudrais que, si je crée un compte système pour toto, je puisse dire « SSh, tu laisses passer le compte toto ; postfix, non. » (ou réciproquement).

Je pense que c'est impossible.

Postfix n'a pas de moyen de savoir qui est physiquement l'expéditeur d'un e-mail.
Tout ce qu'il a comme info, c'est l'adresse e-mail de l'expéditeur et celle du destinataire, ainsi que la manière dont le mail est injecté dans la file.

Mais il ne connaît pas le username qui a exécuté la commande "mail" (ou autre).

Hors ligne

#17 Le 27/03/2013, à 14:04

Elzen

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Hmm. Dommage.

Et y aurait-il moyen de le restreindre sur ces points-là ? (Refuser les mails arrivés autrement que par SASL, y compris en ligne de commande locale, et refuser les adresses mails d'expéditeurs autres que celles précisées quelque part ?)

(Sinon, peut-il savoir si le mail est signé ou pas, et réagir en fonction de la signature, en connaissant une liste de clefs publiques autorisées ?)

Dernière modification par Elzen (Le 27/03/2013, à 14:05)

Hors ligne

#18 Le 27/03/2013, à 14:09

tiramiseb

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Là tu arrives à un niveau de détails qui me demanderait de plonger dedans lgtps, je ne peux donc pas te répondre...
Boulot, tout ça... big_smile

Il y a certainement moyen de restreindre sur l'adresse de l'expéditeur, oui...

Pour la signature, je ne sais pas...

Hors ligne

#19 Le 27/03/2013, à 17:05

src

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Ton Postfix écoute sur 127.0.0.1 tout programme local sur le serveur peut envoyer des mails et c'est normal.
Le seul moyen de filtrer par process ce serait avec AppArmor ou SELinux, mais je connais juste le principe je ne les utilise pas.
Mais je pense que c'est une mauvaise solution, le mieux est de trouver la cause et l'éliminer.

Dernière modification par src (Le 27/03/2013, à 17:06)


Actuellement sur Manjaro Xfce (amd64)

Hors ligne

#20 Le 27/03/2013, à 17:06

tiramiseb

Re : [Postfix] Verrouiller au maximum l'envoi de mails

Ton serveur écoute sur 127.0.0.1 tout programme local sur le serveur peut envoyer des mails et c'est normal.

S'il restreint en interdisant mynetworks, alors non, il faut s'authentifier pour envoyer un mail...

Hors ligne

#21 Le 27/03/2013, à 19:04

Haleth

Re : [Postfix] Verrouiller au maximum l'envoi de mails

(tiens, ça me fait penser une discussion récente avec un énorme troll à propos des firewalls et du filtrage en sortie)

lol
Tu m'as tué


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#22 Le 31/03/2013, à 20:25

Pseudo supprimé

Re : [Postfix] Verrouiller au maximum l'envoi de mails

voir la partie x509 client & smtp connexion forte
=> exemple "5678" ; le smtp est accessible uniquement par x509 client. Toute connexion qui ne présente pas ledit x509, matché dans permit_tls_clientcerts, est refusé.

si tu veux rajouter la partie sasl,

   -o smtpd_sasl_auth_enable=yes
   -o smtp_sasl_auth_enable=yes