Demande d'aide pour analyse log postfix

inaden · Le 22/08/2016, à 16:39

Bonjour à tous

Voilà, je ne comprends pas mais quand je regarde les logs (/var/log/mail.log) je vois des choses comme ça :

Aug 21 14:17:25 den02 postfix/smtp[967]: 7DB024D874: to=<lucad63@tiscalinet.it>, relay=etb-4.mail.tiscali.it[213.205.33.61]:25, delay=236935, delays=236811/0.07/123/0, dsn=4.0.0, status=deferred (host etb-4.mail.tiscali.it[213.205.33.61] refused to talk to me: 554 cmgw-2.mail.tiscali.it  ZoHe1t0231D2zH201 IP: 46.226.109.56, You are not allowed to send mail. Please see http://csi.cloudmark.com/reset-request/?ip=46.226.109.56 if you feel this is in error.)
Aug 21 14:17:27 den02 postfix/smtp[1069]: A3B8653282: to=<marko.pt@tiscalinet.it>, relay=etb-1.mail.tiscali.it[213.205.33.64]:25, delay=74208, delays=74084/0.49/124/0, dsn=4.0.0, status=deferred (host etb-1.mail.tiscali.it[213.205.33.64] refused to talk to me: 554 cmgw-3.mail.tiscali.it  ZoHg1t01K1D2zH201 IP: 46.226.109.56, You are not allowed to send mail. Please see http://csi.cloudmark.com/reset-request/?ip=46.226.109.56 if you feel this is in error.)
Aug 21 14:17:27 den02 postfix/smtp[1061]: 77B9F54302: to=<blackwhite84@tiscali.it>, relay=etb-3.mail.tiscali.it[213.205.33.61]:25, delay=418099, delays=417974/0.48/125/0, dsn=4.0.0, status=deferred (host etb-3.mail.tiscali.it[213.205.33.61] refused to talk to me: 554 cmgw-1.mail.tiscali.it  ZoHg1t01V1D2zH201 IP: 46.226.109.56, You are not allowed to send mail. Please see http://csi.cloudmark.com/reset-request/?ip=46.226.109.56 if you feel this is in error.)
Aug 21 14:17:27 den02 postfix/smtp[1057]: 71CF853977: to=<fiocco.an@tiscali.it>, relay=etb-3.mail.tiscali.it[213.205.33.62]:25, delay=59130, delays=59005/0.35/125/0, dsn=4.0.0, status=deferred (host etb-3.mail.tiscali.it[213.205.33.62] refused to talk to me: 554 cmgw-1.mail.tiscali.it  ZoHh1t00x1D2zH201 IP: 46.226.109.56, You are not allowed to send mail. Please see http://csi.cloudmark.com/reset-request/?ip=46.226.109.56 if you feel this is in error.)
Aug 21 14:17:31 den02 postfix/smtp[1093]: 10E814C651: to=<mkafterblu@tiscalinet.it>, relay=etb-4.mail.tiscali.it[213.205.33.63]:25, delay=43674, delays=43546/0.1/128/0, dsn=4.0.0, status=deferred (host etb-4.mail.tiscali.it[213.205.33.63] refused to talk to me: 554 cmgw-1.mail.tiscali.it  ZoHl1t00N1D2zH201 IP: 46.226.109.56, You are not allowed to send mail. Please see http://csi.cloudmark.com/reset-request/?ip=46.226.109.56 if you feel this is in error.)
Aug 21 14:18:02 den02 postfix/smtpd[1516]: warning: hostname static196-113-236-206-196.adsl196-8.iam.net.ma does not resolve to address 196.206.236.113: Name or service not known

Ou ce qui me semble pire des choses comme ça :

Aug 22 16:27:38 den02 postfix/qmgr[17471]: 4CD2C21210: from=<stacy_ramos@3atp.org>, size=1206, nrcpt=1 (queue active)
Aug 22 16:27:38 den02 postfix/qmgr[17471]: 4932021240: from=<nadine_glover@inaden.org>, size=1206, nrcpt=1 (queue active)
Aug 22 16:27:38 den02 postfix/qmgr[17471]: 437472126D: from=<guadalupe_reid@inaden.org>, size=1224, nrcpt=1 (queue active)

Avec des adresses mail sur les noms de domaine qui sont sur le serveur.

Du coup, j'ai désinstallé postfix et l'ai réinstallé... mais le premier type de log est vite réapparu. Aussi je l'ai arrêté et si quelqu'un peut me dire ce qu'il se passe ce serait super. Merci d'avance pour votre aide.
Denis

bruno · Le 22/08/2016, à 17:25

Bonjour,

Il faudrait que tu nous donnes la configuration de Postfix, au moins le contenu de /etc/postfix/main.cf.
Là on voit juste que certains courriels sont bloqués, probablement parce que ton IP est sur une liste noire.

En attendant tu peux faire divers tests sur http://mxtoolbox.com

inaden · Le 22/08/2016, à 20:03

Bonjour

Et merci Bruno pour ton aide.

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = den02
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = den02, localhost.localdomain, , localhost
relayhost = 
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all

Je ferais les tests demain.
Je m'était fais piraté mon précédent serveur et j'ai été blacklisté. Par contre, ce que je comprends pas c'est d'où viennent tous ces envois de mail.
Encore merci pour ton aide.

inaden · Le 22/08/2016, à 20:07

Mon Ip est black listé sur SORBS SPAM
Je regarde plus en détail demain.

inaden · Le 23/08/2016, à 09:25

Bonjour à tous.
J'ai aussi posé la question sur http://www.developpez.net/forums/d1599495/systemes/linux/securite/aide-analyse-logs-postfix et avec leur aide je me suis aperçu que j'ai bien quelques part une appli php (c'est le plus logique) qui envoi des spam.

La connexion root de ce serveur n'est que par clé ssh et la connexion de l'administrateur a un mot de passe bétonné. De plus, si le serveur était piraté au sens strict et global, j'imagine que quand je stoppe postfix pour arrêter l'envoi de mail, il redémarrerait.

Aussi je cherche le moyen d'identifier les fichiers coupables.
J'ai essayer dans le fichier php.ini de mettre mail.log = /var/log/mail.php.log pour avoir les log des fichier envoyer par php, mais lors de mes deux essais de réactiver postfix, je vois les mails défiler (tail -f /var/log/mail.log) mais rien dans le fichier mail.php.log.

Donc, si quelqu'un a une idée pour identifier les fichiers qui envoient des mail, je suis preneur.
Merci d'avance pour votre aide.

bruno · Le 23/08/2016, à 10:25

Effectivement, avec ta configuration seul le serveur lui-même est autorisé à envoyer des courriels vers l'extérieur. Il s'agit donc d'une application installée dessus qui l'utilise. Si tu penses qu'il s'agit d'un script PHP, il faut examiner les scripts des sites que tu gères…

Pour supprimer tous les courriels de la file d'attente de postfix :

sudo postsuper -d ALL

inaden · Le 23/08/2016, à 10:28

Merci... c'est déjà une bonne chose.
En fait ce que je vais tenter c'est télécharger la dernière version de l'instal de spip et toutes les dernières versions des plugins et tout réinstaller sur un autre serveur. Mais c'est super laborieux !
En tout cas, merci pour ton aide, je vais commencer par effacer tout ce qu'il y a en attente.

donut · Le 23/08/2016, à 11:35

Salut,
Comme dit bruno, postfix ne semble pas en cause, ta conf indique qu'il n'est pas un openrelay (ce que mxtoolbox a du te confirmer).
Donc c'est probablement un plugin spip foireux par lequel des attaquants génèrent des envois de spam.
C'est très courant, on installe wordpress + une chiée de plugins, on y touche plus jamais, et au bout de 6 mois le serveur devient une passoire / relai pour spam ou attaques ddos.

inaden · Le 23/08/2016, à 11:38

Merci pour la confirmation Donut.
C'est pour ça que je me prépare à tout réinstaller ailleurs depuis les dernières versions de chaque choses. Laborieux mais pas le choix.
Si quelqu'un a un bon tuto sur la sécurisation des serveurs, je suis preneur.
En tout cas, merci à tous pour votre aide.

donut · Le 23/08/2016, à 11:46

Ubuntu et Debian sont plutôt bien sécurisés. Si tu installe apache+mysql+php (lamp) la conf par défaut ne sera pas permissive.
Il est intéressant de configurer le pare-feu + fail2ban aussi mais ça ne protège pas des failles spip/wordpress.
On évite évidemment les mots de passe simple, car ton serveur se fait en permanence scanner et les attaquants essaient des logins/passwords courant. C'est sans danger sauf si tu as laissé trainer un root/root ou admin/admin quelque part

La sécurisation se fait en contrôlant ce que tu installe et en suivant de près les mises à jour.
Par exemple avant d'installer un plugin spip, on regarde si c'est un truc sérieux et s'il est toujours maintenu.
Et on met spip + ses plugins à jour à chaque nouvelle version, car souvent elles corrigent des failles.

Voilà

Dernière modification par donut (Le 23/08/2016, à 11:47)

inaden · Le 23/08/2016, à 12:12

OK, je prends note. Merci
Je serais plus vigilant sur les plugins. A priori, je n'utilises que des plugins que l'on trouve sur les sites officiels.
Globalement, je ne touche pas à la configuration lamp. Je désactive la connexion root par login et ne l'active que par clé. (Je vais donc changer aussi ma clé).
Pour la connexion ssh, j'avais restreint la connexion à mon IP (fixe) en m'assurant auprès de mon fournisseur d'accès qu'il ne la change pas.
1000 merci à tous les deux pour votre aide et votre soutien.
Denis

jlmas · Le 23/08/2016, à 13:44

Pour Spip comme pour beaucoup d'autres CMS, les paquets existent directement dans la distribution (http://packages.ubuntu.com/xenial/spip). C'est une bonne pratique que de l'installer à l'aide du gestionnaire de paquets, car les mises à jour de sécurité ou les changements de versions sont directement gérés par le système d'exploitation.

Pour certains autres CMS comme Wordpress ou Drupal, certains plugins sont aussi empaquetés par la distribution et suivent aussi les mises à jour de celle ci, ce qui permet une maintenance minimale avec une très bonne sécurité de base , comme le fait remarquer Donut.

inaden · Le 23/08/2016, à 13:51

Super tuyau. Merci.
je vais essayer comme ça.
Merci !

jlmas · Le 23/08/2016, à 14:45

Une remarque en passant qui amène vers une autre discussion, donc si un modérateur veut déplacer ce message vers un endroit plus approprié, pas de soucis.

Debian Unstable suit au plus près et autant que faire se peut les paquets des développeurs amonts, ici ceux de http://www.spip.net/
Debian Testing assure un petit déboggage supplémentaire des paquets
Debian Stable lui garde les paquets tel que lors de sa sortie, mais rétroporte les correctifs de sécurité, dans le paquet

Pour illustrer ça le lien vers le Package Tracker Debian pour le paquet Spip https://tracker.debian.org/pkg/spip

Debian Unstable et Debian Testing proposent le paquet Spip 3.0.22-1
Debian Stable lui le 3.0.17-2+deb8u2 (Debian 8 Update 2) dont les correctifs de sécurité ont été rétroportés, comme on peut le voir ici (http://metadata.ftp-master.debian.org/c … _changelog)

spip (3.0.17-2+deb8u2) jessie-security; urgency=high
* Backport security fixes from 3.0.22
- PHP code injection
- Objects injection via unserialize
* Update security screen to 1.2.4
-- David Prévot <taffit@debian.org> Thu, 10 Mar 2016 19:18:09 -0400

Là ou je veux en venir à propos d'Ubuntu, c'est que les versions annoncés par le gestionnaire de paquet Ubuntu pour les LTS, ne sont pas des versions ou les correctifs de sécurité ont été rétroportés, comme dans Debian Stable et ne sont pas les dernières versions des développeurs amont comme dans Unstable.

De fait contrairement à Debian et à ce que je pensais, la sécurité du paquet Spip Ubuntu est médiocre, car les failles ne sont pas corrigés.
Est ce seulement une exception du paquet Spip ou c'est général ?

Pour donner un début de réponse, pour wordpress sur une Ubuntu 14.04 LTS, il semble y avoir des correctifs de sécurité rétroportés

aptitude versions wordpress

Paquet wordpress :
p   3.8.2+dfsg-1                 trusty                                          500 
p   3.8.2+dfsg-1ubuntu0.1 trusty-security,trusty-updates     500

Edit : C'est la communauté qui s'occupe des branches universe et multiverse. Spip et Wordpress sont tout deux dans la branche universe, donc les mises à jour sont du ressort de la communauté qui est plus active sur Wordpress que Spip à première vue

Dernière modification par jlmas (Le 23/08/2016, à 15:15)

inaden · Le 23/08/2016, à 15:13

Merci jlmas pour cette précision.
Je me passerais donc de cela.
J'ai téléchargé chaque plugin et la dernière install. Je dois juste trouver le temps de tout réinstaller en local pour voir si tout fonctionne.
Tant que j'avais pas d'emmerde, les choses étaient simple... mais voilà, ça revenais moins cher d'avoir un petit serveur pour trois site que trois serveur mutualisés... Sauf que j'ai manqué de vigilance.
Encore merci pour tes remarques.

bruno · Le 23/08/2016, à 17:09

jlmas a écrit :

Pour Spip comme pour beaucoup d'autres CMS, les paquets existent directement dans la distribution (http://packages.ubuntu.com/xenial/spip). C'est une bonne pratique que de l'installer à l'aide du gestionnaire de paquets, car les mises à jour de sécurité ou les changements de versions sont directement gérés par le système d'exploitation.
Pour certains autres CMS comme Wordpress ou Drupal, certains plugins sont aussi empaquetés par la distribution et suivent aussi les mises à jour de celle ci, ce qui permet une maintenance minimale avec une très bonne sécurité de base , comme le fait remarquer Donut.

C'est marrant, je pense exactement le contraire

Pour toutes les applications web, qui sont généralement le maillon faible au niveau sécurité, je conseillerai plutôt de fuir les paquets de la distribution qui ne sont jamais à jour et de toujours installer depuis les sources.

Ex:
spip 3.0.21 sur Ubuntu 16.04, 3.0.17 sur Debian stable, 3.1.1 pour les sources
wordpress 4.4.2 pour Ubuntu 16.04, 4.1 sur Debian stable, 4.6 pour les sources (avec de grosses failles corrigées entre ces versions)

et je pourrais en citer des tas d'autres pour les quelles il y a parfois plus d'un en an d'écart entre la version empaquetée par la distribution et la dernière version disponible.
Certes il y a (parfois) des mises à jour de sécurité avec des correctifs, mais je ne trouve pas que cela facilite l’administration, au contraire.

inaden · Le 23/08/2016, à 20:35

Bonjour Bruno
Donc, en gros il faut surveiller les deux. Par exemple sur http://packages.ubuntu.com/trusty/web/spip/ spip est en version 3.0 alors que la dernière version est en 3.1 et je ne trouve pas les plugins... mais je n'ai pas encore tout explorer. Mais effectivement, sur debian on est sur 3.1.
En tout cas, merci pour ta précision, cela m'a amené à mieux regarder de ce côté que je ne connaissais pas... il faut dire que je suis bien plus jeune que mon âge quant à linux.
Merci à tous pour ce débat fort intéressant pour un béotien comme moi.

LeoMajor · Le 29/08/2016, à 14:06

bonjour,
Un site web n'a rien à voir avec un domaine de courrier.
Rien ne dit non plus que les tentatives smtp qui échouent sont formulées dans tes web applications, puisque tu as inet_interfaces = all
Il manque d'ailleurs le début des connexions dans le log post#1
Le log du post#1 est conforme à ce qu'on peut attendre, par rapport à ta config, et à celle par défaut, pour les paramètres omis.
Dans une session telnet smtp, à chaque requête cliente, le mta en fait l'évaluation, par ce qu'il appelle un paramètre de type restriction.

postconf -d | grep restrictions
postconf -n | grep restrictions

Si la restriction est dans le main.cf, elle s'applique au contexte général. Sil elle est dans le master.cf, elle s'applique dans le contexte décrit.
Lorsqu'on fait la synthèse des restrictions, globalement, ce qui fait jurisprudence,
-permit_mynetworks, permit_sasl_authenticated, valident plutôt à l'envoi
-permit_auth_destination valide plutôt à la réception (ou autre cas; le message est envoyé comme si il s'agissait s'une réception)
-reject, defer, .. valident les autres cas perçus comme un échec. ton italien est dans ce cas là.

smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination
ou
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, permit_auth_destination, defer

anciennement, dans les versions précédentes de postfix, l'anti-open relay était conditionné, mais toujours valable, par

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
ou
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated,  permit_auth_destination, reject

il y a aussi, par défaut

relay_domains = $mydestination

Bref, il y a rien de méchant dans ton log.

Si il y a trop de tentatives, il y a des méthodes de type
1/check_*_access avec discard
2/transport avec transport_maps=hash:/etc/postfix/transport.cf + postmap
target.tld discard:
tiscali.it discard:
...
spam.com noexist:

3/fail2ban, iptables ...

-> capturer le message pour détecter un motif de récurrence, et créer une règle check_access postfix, transport postfix, sieve, fail2ban, iptables ...

pflogsumm est aussi très utile. (à mettre dans un cron)

inaden · Le 29/08/2016, à 14:14

Bonjour LeoMajor

Et merci pour ces explications. Je n'ai plus qu'à les décrypter.
Cela n'empêche pas quelque chose quelque part d'envoyer des mail à caractère pornographique ou commercial dès que je relance postfix.

En faisant quelques recherches sur ce que tu explique, je devrais finir par comprendre les méthodes dont tu parles.
Merci pour la piste, j'ai le sentiment qu'elle précieuse.

LeoMajor · Le 29/08/2016, à 15:45

Cela n'empêche pas quelque chose quelque part d'envoyer des mail à caractère pornographique ou commercial dès que je relance postfix.

eh bien donne le log correspondant
à adapter

awk '/connect from/,/sent|deferred|reject/' /var/log/mail.log
awk '/connect from mail.spam.com/,/sent|deferred|reject/' /var/log/mail.log
grep porn /var/log/mail.log

dans le master.cf, le log sera plus bavard avec

smtp       inet  n       -       n       -       -       smtpd -v

+ stop start service

inaden · Le 29/08/2016, à 16:09

OK. Dès que j'ai un peu de temps... là il faut que je finisse un boulot.
Merci pour le tuyau.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 22/08/2016, à 16:39

Demande d'aide pour analyse log postfix

#2 Le 22/08/2016, à 17:25

Re : Demande d'aide pour analyse log postfix

#3 Le 22/08/2016, à 20:03

Re : Demande d'aide pour analyse log postfix

#4 Le 22/08/2016, à 20:07

Re : Demande d'aide pour analyse log postfix

#5 Le 23/08/2016, à 09:25

Re : Demande d'aide pour analyse log postfix

#6 Le 23/08/2016, à 10:25

Re : Demande d'aide pour analyse log postfix

#7 Le 23/08/2016, à 10:28

Re : Demande d'aide pour analyse log postfix

#8 Le 23/08/2016, à 11:35

Re : Demande d'aide pour analyse log postfix

#9 Le 23/08/2016, à 11:38

Re : Demande d'aide pour analyse log postfix

#10 Le 23/08/2016, à 11:46

Re : Demande d'aide pour analyse log postfix

#11 Le 23/08/2016, à 12:12

Re : Demande d'aide pour analyse log postfix

#12 Le 23/08/2016, à 13:44

Re : Demande d'aide pour analyse log postfix

#13 Le 23/08/2016, à 13:51

Re : Demande d'aide pour analyse log postfix

#14 Le 23/08/2016, à 14:45

Re : Demande d'aide pour analyse log postfix

#15 Le 23/08/2016, à 15:13

Re : Demande d'aide pour analyse log postfix

#16 Le 23/08/2016, à 17:09

Re : Demande d'aide pour analyse log postfix

#17 Le 23/08/2016, à 20:35

Re : Demande d'aide pour analyse log postfix

#18 Le 29/08/2016, à 14:06

Re : Demande d'aide pour analyse log postfix

#19 Le 29/08/2016, à 14:14

Re : Demande d'aide pour analyse log postfix

#20 Le 29/08/2016, à 15:45

Re : Demande d'aide pour analyse log postfix

#21 Le 29/08/2016, à 16:09

Re : Demande d'aide pour analyse log postfix

Pied de page des forums