Postfix - alerte rbl

techpi · Le 28/10/2013, à 11:00

Bonjour à tous,

j'ai sur mes serveurs postfix, installé des connexions vers des RBLs, afin que soient filtrés quelques pourriels.

Par défaut, postfix ne renvoie pas d'email à l'expéditeur lui indiquant qu'il a été bloqué par les RBLs.

smtpd_recipient_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        check_sender_access hash:/etc/postfix/sender_ok,
        reject_unknown_client,
        reject_non_fqdn_recipient,
       reject_unauth_destination,
        reject_invalid_hostname,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_rbl_client zen.spamhaus.org,
        check_policy_service inet:127.0.0.1:60000,
        permit

Ma question est : peut-on activer ces retour d'erreur? J'ai déjà vu ce type de message mais ne sais comment les activer.

Merci pour vos lumières.

bruno · Le 28/10/2013, à 15:20

Normalement cela est actif par défaut. Voir le résultat de la commande :

postconf -d | grep default_rbl_reply

Maintenant je trouve très curieux que tu utilises une RBL pour les destinataires (smtpd_recipient_restrictions) et non pour les hôtes qui se connectent à ton serveur (smtpd_client_restrictions).

techpi · Le 30/10/2013, à 17:55

Merci pour ta réponse, voici le résultat de la commande :

default_rbl_reply = $rbl_code Service unavailable; $rbl_class [$rbl_what] blocked using $rbl_domain${rbl_reason?; $rbl_reason}

techpi · Le 30/10/2013, à 18:01

le reject_rbl_client dans smtpd_recipient_restrictions va vérifier l'hôte de l'expéditeur aussi. Dans mes logs en tout cas, cela est clairement le cas ;-)

bruno · Le 30/10/2013, à 18:32

Est-ce que tu as essayé de modifier ta configuration comme je l'ai suggéré ? Qu'est-ce que cela donne ?

techpi · Le 31/10/2013, à 10:42

Je ne vois pas de suggestion de ta part, désolé :-)

je n'ai pas de smtpd_client_restrictions dans mon main.cf car je n'utilise que smtpd_recipient_restrictions, je n'ai pas vu l'utilité de l'utiliser pour le moment.

Que me suggères-tu?

merci à toi

bruno · Le 31/10/2013, à 12:01

Désolé si je n,'ai pas été assez clair. je te suggère d'utiliser smptd_client_restrictions :

smtpd_client_restrictions = permit_mynetworks,  reject_rbl_client zen.spamhaus.org

techpi · Le 31/10/2013, à 14:21

j'ai donc rajouté ce bloc à mon main.cf :

smtpd_client_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_rbl_client zen.spamhaus.org,
        permit

Ceci dit, les alertes, lorsqu'un email est bloqué à cause d'une rbl, ne fonctionne toujours pas. As-tu une idée?

merci

Pseudo supprimé · Le 31/10/2013, à 19:59

Ma question est : peut-on activer ces retours d'erreur?

pour le postmaster,

notify_classes = bounce, 2bounce, delay, policy, protocol, resource, software

pour les autres, tu as par défaut,

soft_bounce = no

smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
check_sender_access hash:/etc/postfix/sender_ok,
reject_unauth_destination,

Par ailleurs, tu as un joli openrelay dans ta directive smtpd_recipient_restrictions.
Tu as mis check_sender_access avant reject_unauth_destination ou (permit_auth_destination, reject) alors qu'il empêche le openrelay.
Permit_sender_access_OK matche avant la protection openrelay.

Tu le constates par telnet,

/etc/postfix/sender_OK
openrelay@mydomain.tld	OK

telnet smtp.mydomain.tld 25

MAIL FROM:<openrelay@mydomain.tld>
250 2.1.0 Ok
RCPT TO:<pigeon@orange.fr>
250 2.1.5 Ok
DATA 
354 End data with <CR><LF>.<CR><LF>
From: <credit-agricole@credit-agrciole.z.fr>
To: <pigeon@gmail.com>
Reply-To:<service.commercial@credit-agrciole.z.fr>
Subject: test Openrelay 
test
.
250 2.0.0 Ok: queued as 3092780E2C
quit
221 2.0.0 Bye

Extrait du log en mode verbose

... postfix/smtpd[20164]: generic_checks: name=check_sender_access
... postfix/smtpd[20164]: check_mail_access: openrelay@mydomain.tld
... postfix/smtpd[20164]: ctable_locate: leave existing entry key openrelay@mydomain.tld
... postfix/smtpd[20164]: check_access: openrelay@mydomain.tld
... postfix/smtpd[20164]: check_table_result: hash:/etc/postfix/sender_OK OK openrelay@mydomain.tld
... postfix/smtpd[20164]: generic_checks: name=check_sender_access status=1

status=1 permit_sender_access_OK est validé et le mail est envoyé.

>> Cela va dire que tu t'exposes à des attaques.

Dans le contexte général, il faut mettre les check_* après reject_unauth_destination

Dans un contexte particulier et bien cadré, si tu assures tes arrières, check_* peut se mettre avant reject_unauth_destination. Il faut l'écrire dans le master.cf.
ex:

port_exotique      inet  n       -       n       -       -       smtpd 
...
   -o smtpd_recipient_restrictions=$contexte_recipient_restrictions,reject
....

contexte_recipient_restrictions = 
        permit_mynetworks,
        permit_sasl_authenticated,
        check_sender_access hash:/etc/postfix/sender_ok,
        reject_unauth_destination

utiliser par ailleurs scanlogd + fail2ban, pour protéger ton port exotique.
et réfléchir à la manière de peupler le fichier /etc/postfix/sender_ok, pour des adresses par exemple volatiles/temporaires.

techpi · Le 02/01/2014, à 12:42

Par ailleurs, tu as un joli openrelay dans ta directive smtpd_recipient_restrictions.
Tu as mis check_sender_access avant reject_unauth_destination ou (permit_auth_destination, reject)  alors qu'il empêche le openrelay. 
Permit_sender_access_OK matche avant la protection openrelay.

J'ai d'autre règle dans mon main.cf qui n'autorise pas le openrelay, heureusement lol

soft_bounce = no

Si je passe le soft bounce à yes, cela fonctionnera?

Merci pour ton aide.

hep · Le 04/03/2014, à 22:54

Hello,

je ne suis pas sur de bien comprendre la différence entre:
smtpd_sender_restrictions
smtpd_recipient_restrictions
smtpd_client_restrictions

Titouan, pourrais-tu me préciser la chose stp ?

bruno · Le 05/03/2014, à 10:00

http://postfix.traduc.org/index.php/pos … strictions
http://postfix.traduc.org/index.php/pos … strictions
http://postfix.traduc.org/index.php/pos … strictions

C'est si dur que cela à trouver ?

hep · Le 07/03/2014, à 12:49

Trouver, lire et bien comprendre sont parfois pas la même chose.

Mais c'est pas grave, ça restera un petit flou

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 28/10/2013, à 11:00

Postfix - alerte rbl

#2 Le 28/10/2013, à 15:20

Re : Postfix - alerte rbl

#3 Le 30/10/2013, à 17:55

Re : Postfix - alerte rbl

#4 Le 30/10/2013, à 18:01

Re : Postfix - alerte rbl

#5 Le 30/10/2013, à 18:32

Re : Postfix - alerte rbl

#6 Le 31/10/2013, à 10:42

Re : Postfix - alerte rbl

#7 Le 31/10/2013, à 12:01

Re : Postfix - alerte rbl

#8 Le 31/10/2013, à 14:21

Re : Postfix - alerte rbl

#9 Le 31/10/2013, à 19:59

Re : Postfix - alerte rbl

#10 Le 02/01/2014, à 12:42

Re : Postfix - alerte rbl

#11 Le 04/03/2014, à 22:54

Re : Postfix - alerte rbl

#12 Le 05/03/2014, à 10:00

Re : Postfix - alerte rbl

#13 Le 07/03/2014, à 12:49

Re : Postfix - alerte rbl

Pied de page des forums