#1 Le 30/05/2024, à 14:08
- N3m3siS
[RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Bonjour à tous,
J'écris ici car je n'ai pas trouvé de section plus appropriée. Voici mon sujet.
Ce matin, en regardant les alertes de Pi Hole, j'ai remarqué une demande massive de résolution.
Ces demandes de résolution viennent d'une machine locale et le syslog m'a permis de mettre le doigt sur des connexions massives au serveur postfix provenant d'une IP externe.
Tout d'abord, j'ai ajouté une règle iptables n'acceptant que les connexions provenant de 127.0.0.1 sur le port 25.
Cependant, les "attaques" adressent le port 25 de la machine et ce port n'est pas exposé à internet (Pas de règle de routage dans mon routeur).
Ce constat me laisse imaginer que j'ai une machine exposé à internet qui ferait passerelle vers ce port 25.
Ma question est donc basique : Que feriez-vous pour trouver l'origine de l'infection s'il vous plaît ?
Je vous remercie par avance !
Dernière modification par N3m3siS (Le 31/05/2024, à 12:11)
Neuro : Ubuntu 10.10 4x64bits@2.53Ghz / RAM 4Go
Kenpachi : Kubuntu 10.10 64bits@2Ghz / RAM 2Go
Hors ligne
#2 Le 30/05/2024, à 15:54
- bruno
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Bonjour,
On ne peut pas répondre avec des informations aussi vagues.
Il faudrait nous montrer les logs, la configuration du réseau (au moins succinctement), la configuration de postfix, etc.
#3 Le 30/05/2024, à 20:13
- N3m3siS
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Bonsoir Bruno,
Voici les logs /var/log/mail.log
2024-05-29T01:30:03.356503+02:00 localhost postfix/qmgr[2279]: 52CEB1C1162: from=<www-data@localhost.ryuuku.home>, size=785, nrcpt=1 (queue active)
2024-05-29T01:30:03.371069+02:00 localhost postfix/local[4458]: 52CEB1C1162: to=<root@localhost.ryuuku.home>, orig_to=<root>, relay=local, delay=0.05, delays=0.04/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox)
2024-05-29T01:30:03.371595+02:00 localhost postfix/qmgr[2279]: 52CEB1C1162: removed
2024-05-29T01:30:58.981369+02:00 localhost postfix/anvil[4424]: statistics: max connection rate 1/60s for (smtp:80.244.11.240) at May 29 01:27:38
2024-05-29T01:30:58.981681+02:00 localhost postfix/anvil[4424]: statistics: max connection count 1 for (smtp:80.244.11.240) at May 29 01:27:38
2024-05-29T01:30:58.981785+02:00 localhost postfix/anvil[4424]: statistics: max cache size 1 at May 29 01:27:38
2024-05-29T01:30:59.009065+02:00 localhost postfix/smtpd[4465]: connect from unknown[80.244.11.240]
2024-05-29T01:30:59.147812+02:00 localhost postfix/smtpd[4465]: disconnect from unknown[80.244.11.240] ehlo=1 auth=0/1 quit=1 commands=2/3
2024-05-29T01:34:19.009905+02:00 localhost postfix/smtpd[4482]: connect from unknown[80.244.11.240]
2024-05-29T01:34:19.011005+02:00 localhost postfix/anvil[4467]: statistics: max connection rate 1/60s for (smtp:80.244.11.240) at May 29 01:30:59
2024-05-29T01:34:19.011236+02:00 localhost postfix/anvil[4467]: statistics: max connection count 1 for (smtp:80.244.11.240) at May 29 01:30:59
2024-05-29T01:34:19.011410+02:00 localhost postfix/anvil[4467]: statistics: max cache size 1 at May 29 01:30:59
2024-05-29T01:34:19.157923+02:00 localhost postfix/smtpd[4482]: disconnect from unknown[80.244.11.240] ehlo=1 auth=0/1 quit=1 commands=2/3
La configuration postfix
# See /usr/share/postfix/main.cf.dist for a commented, more complete version
# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h
readme_directory = no
# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 3.6 on
# fresh installs.
compatibility_level = 3.6
# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_security_level=may
smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level=may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = localhost.ryuuku.home
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = $myhostname, localhost, localhost.localdomain, , localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
En ce qui concerne le réseau, classique derière un routeur (192.168.1.0/32)
IP interne exposée : 192.168.1.102
Machine 'postfix' : 192.168.1.100
D'autres informations peuvent-elle vous être utile ?
Merci.
Neuro : Ubuntu 10.10 4x64bits@2.53Ghz / RAM 4Go
Kenpachi : Kubuntu 10.10 64bits@2Ghz / RAM 2Go
Hors ligne
#4 Le 31/05/2024, à 06:35
- bruno
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
C'est très parcellaire comme log mais si on en croit les deux première lignes :
2024-05-29T01:30:03.356503+02:00 localhost postfix/qmgr[2279]: 52CEB1C1162: from=<www-data@localhost.ryuuku.home>, size=785, nrcpt=1 (queue active)
2024-05-29T01:30:03.371069+02:00 localhost postfix/local[4458]: 52CEB1C1162: to=<root@localhost.ryuuku.home>, orig_to=<root>, relay=local, delay=0.05, delays=0.04/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox)
Il s'agit d'un formulaire web hébergé sur la m^me machine que le Potfix qui est utilisé pour envoyer le courriel à root@localhost.ryuuku.home
S'il est massivement utilisé pour tenter d'envoyer des courriels il faut vérifier sa sécurité : on ne doit pas pouvoir modifier le ou les destinataires, il doit y avoir un anti-spam basique de type Capctha (une simple question du genre quel mois sommes-nous, suffit généralement), etc.
#5 Le 31/05/2024, à 08:22
- N3m3siS
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Bonjour Bruno et merci pour ton aide.
En ce qui concerne les logs, je n'ai pas trouvé plus enrichi. Peut-être que je peux trouver quelque chose de plus complet quelque part ?
Par ailleurs, via iptables, j'ai normalement limité l'accès au port 25 à l'adresse locale (127.0.0.1).
Cependant, le log a l'air d'indiquer que l'IP 80.244.11.240 atteint postfix (donc part le port 25), or celui-ci n'est pas exposé à internet.
Aurais-tu idée de comment cela peut être possible, s'il te plaît ?
Je te remercie à nouveau pour ton aide.
Neuro : Ubuntu 10.10 4x64bits@2.53Ghz / RAM 4Go
Kenpachi : Kubuntu 10.10 64bits@2Ghz / RAM 2Go
Hors ligne
#6 Le 31/05/2024, à 08:24
- awk
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
C'est très parcellaire comme log mais si on en croit les deux première lignes :
2024-05-29T01:30:03.356503+02:00 localhost postfix/qmgr[2279]: 52CEB1C1162: from=<www-data@localhost.ryuuku.home>, size=785, nrcpt=1 (queue active) 2024-05-29T01:30:03.371069+02:00 localhost postfix/local[4458]: 52CEB1C1162: to=<root@localhost.ryuuku.home>, orig_to=<root>, relay=local, delay=0.05, delays=0.04/0.01/0/0, dsn=2.0.0, status=sent (delivered to mailbox)
Il s'agit d'un formulaire web hébergé sur la m^me machine que le Potfix qui est utilisé pour envoyer le courriel à root@localhost.ryuuku.home
S'il est massivement utilisé pour tenter d'envoyer des courriels il faut vérifier sa sécurité : on ne doit pas pouvoir modifier le ou les destinataires, il doit y avoir un anti-spam basique de type Capctha (une simple question du genre quel mois sommes-nous, suffit généralement), etc.
Salut,
Qu'est-ce qui fait penser que ça provient d'un formulaire Web ?
Dernière modification par awk (Le 31/05/2024, à 08:25)
Hors ligne
#7 Le 31/05/2024, à 08:27
- awk
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Bonjour Bruno et merci pour ton aide.
En ce qui concerne les logs, je n'ai pas trouvé plus enrichi. Peut-être que je peux trouver quelque chose de plus complet quelque part ?
Par ailleurs, via iptables, j'ai normalement limité l'accès au port 25 à l'adresse locale (127.0.0.1).Cependant, le log a l'air d'indiquer que l'IP 80.244.11.240 atteint postfix (donc part le port 25), or celui-ci n'est pas exposé à internet.
Aurais-tu idée de comment cela peut être possible, s'il te plaît ?Je te remercie à nouveau pour ton aide.
Que dit netstat ?
Hors ligne
#8 Le 31/05/2024, à 08:42
- bruno
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Tu parles de connexions massives. tes extraits de logs ne montrent qu'une seule tentative de connexions depuis une IP publique externe.
Par ailleurs, via iptables, j'ai normalement limité l'accès au port 25 à l'adresse locale (127.0.0.1).
Le pare-feu c'est en dernier recours. Il faut d'abord sécuriser le service. Si seule la machine locale peut utiliser SMTP il suffit d'ajouter cette directive :
inet_interfaces = loopback-only
au fichier main.cf de Postfix et relancer le service.
Le serveur smtpd de postfix peut aussi écouter sur les ports 587 (submission) ou 465 (submissions aka smtps), voir le fichier master.cf et il peut y avoir une redirection (PAT) sur ton routeur.
#9 Le 31/05/2024, à 08:43
- N3m3siS
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Bonjour awk,
Voici quelques résultats.
# netstat -ltnp | grep 25
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 2277/master
tcp6 0 0 :::25 :::* LISTEN 2277/master
# sudo lsof -nP -iTCP -sTCP:LISTEN | grep master
master 2277 root 13u IPv4 16662 0t0 TCP *:25 (LISTEN)
master 2277 root 14u IPv6 16663 0t0 TCP *:25 (LISTEN)
# ps -ef | grep master
root 2277 1 0 mai29 ? 00:00:04 /usr/lib/postfix/sbin/master -w
root 30017 1 0 mai29 ? 00:00:11 php-fpm: master process (/etc/php/8.3/fpm/php-fpm.conf)
root 86702 86295 0 09:41 pts/1 00:00:00 grep -a --color=auto master
D'une autre machine :
# nmap -Pn 192.168.1.100
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-05-31 09:36 CEST
Nmap scan report for NEURO (192.168.1.100)
Host is up (0.00024s latency).
Not shown: 995 closed tcp ports (reset)
PORT STATE SERVICE
22/tcp open ssh
25/tcp filtered smtp
80/tcp open http
443/tcp open https
5900/tcp filtered vnc
MAC Address: BC:AE:C5:2E:D6:94 (ASUSTek Computer)
Nmap done: 1 IP address (1 host up) scanned in 1.34 seconds
Merci pour ton aide.
Neuro : Ubuntu 10.10 4x64bits@2.53Ghz / RAM 4Go
Kenpachi : Kubuntu 10.10 64bits@2Ghz / RAM 2Go
Hors ligne
#10 Le 31/05/2024, à 08:57
- bruno
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Peut importe le port 25 dans ton cas… et netstat est une commande obsolète.
Montre-nous (en root) :
ss -tnlp | grep master
Voire la sortie complète de tous les services en écoute :
ss -tunlp
--
#6 : from=<www-data@localhost.ryuuku.home> ⇒ typique d'un formulaire web
Dernière modification par bruno (Le 31/05/2024, à 08:59)
#11 Le 31/05/2024, à 08:59
- N3m3siS
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Tu parles de connexions massives. tes extraits de logs ne montrent qu'une seule tentative de connexions depuis une IP publique externe.
N3m3siS a écrit :Par ailleurs, via iptables, j'ai normalement limité l'accès au port 25 à l'adresse locale (127.0.0.1).
Le pare-feu c'est en dernier recours. Il faut d'abord sécuriser le service. Si seule la machine locale peut utiliser SMTP il suffit d'ajouter cette directive :
inet_interfaces = loopback-only
au fichier main.cf de Postfix et relancer le service.
Le serveur smtpd de postfix peut aussi écouter sur les ports 587 (submission) ou 465 (submissions aka smtps), voir le fichier master.cf et il peut y avoir une redirection (PAT) sur ton routeur.
Alors, tu as raison, le terme 'massif' est sans doute exagéré.
# cat syslog* | grep 2024-05-2.*postfix.*disconnect.*80\.244\.11\.240 | wc -l
530
Cependant, le serveur DNS indique qu'il a eu quelques milliers de demande de résolutions en un court terme. Je suppose que cela vient du nombre de destinataires adressés...
J'ai pris en compte ton conseil sur la configuration de postfix :
# netstat -ltnp | grep 25
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 87511/master
Enfin, sur la redirection PAT, je vais creuser...
Merci encore pour ton aide !
Neuro : Ubuntu 10.10 4x64bits@2.53Ghz / RAM 4Go
Kenpachi : Kubuntu 10.10 64bits@2Ghz / RAM 2Go
Hors ligne
#12 Le 31/05/2024, à 09:03
- N3m3siS
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Peut importe le port 25 dans ton cas… et netstat est une commande obsolète.
Montre-nous (en root) :
ss -tnlp | grep master
Voire la sortie complète de tous les services en écoute :
ss -tunlp
--
#6 : from=<www-data@localhost.ryuuku.home> ⇒ typique d'un formulaire web
Tu as raison, j'ai apache2 qui tourne sur cette machine avec deux "applications" : Nextcloud et Cacti.
Voici le résultat des commandes.
# ss -tnlp | grep master
LISTEN 0 100 127.0.0.1:25 0.0.0.0:* users:(("master",pid=87511,fd=13))
# ss -tunlp
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port Process
udp UNCONN 0 0 0.0.0.0:32412 0.0.0.0:* users:(("Plex Media Serv",pid=66374,fd=74))
udp UNCONN 0 0 0.0.0.0:32413 0.0.0.0:* users:(("Plex Media Serv",pid=66374,fd=75))
udp UNCONN 0 0 0.0.0.0:32414 0.0.0.0:* users:(("Plex Media Serv",pid=66374,fd=73))
udp UNCONN 0 0 0.0.0.0:1901 0.0.0.0:* users:(("Plex Media Serv",pid=66374,fd=80))
udp UNCONN 0 0 127.0.0.1:47380 0.0.0.0:* users:(("Plex Media Serv",pid=66374,fd=76))
udp UNCONN 0 0 0.0.0.0:631 0.0.0.0:* users:(("cups-browsed",pid=73454,fd=7))
udp UNCONN 0 0 0.0.0.0:58538 0.0.0.0:* users:(("avahi-daemon",pid=982,fd=14))
udp UNCONN 0 0 0.0.0.0:5353 0.0.0.0:* users:(("avahi-daemon",pid=982,fd=12))
udp UNCONN 0 0 192.168.1.100:50411 0.0.0.0:* users:(("Plex Media Serv",pid=66374,fd=77))
udp UNCONN 0 0 127.0.0.1:42418 0.0.0.0:* users:(("Plex Media Serv",pid=66374,fd=78))
udp UNCONN 0 0 192.168.1.100:58889 0.0.0.0:* users:(("Plex Media Serv",pid=66374,fd=81))
udp UNCONN 0 0 192.168.1.100:42628 0.0.0.0:* users:(("Plex Media Serv",pid=66374,fd=79))
udp UNCONN 0 0 0.0.0.0:32410 0.0.0.0:* users:(("Plex Media Serv",pid=66374,fd=69))
udp UNCONN 0 0 [::]:35996 [::]:* users:(("avahi-daemon",pid=982,fd=15))
udp UNCONN 0 0 [::]:5353 [::]:* users:(("avahi-daemon",pid=982,fd=13))
tcp LISTEN 0 4096 127.0.0.1:631 0.0.0.0:* users:(("cupsd",pid=73450,fd=7))
tcp LISTEN 0 100 127.0.0.1:25 0.0.0.0:* users:(("master",pid=87511,fd=13))
tcp LISTEN 0 511 127.0.0.1:6379 0.0.0.0:* users:(("redis-server",pid=1521,fd=6))
tcp LISTEN 0 70 127.0.0.1:33060 0.0.0.0:* users:(("mysqld",pid=80420,fd=21))
tcp LISTEN 0 1024 127.0.0.1:32401 0.0.0.0:* users:(("Plex Media Serv",pid=66374,fd=11))
tcp LISTEN 0 100 127.0.0.1:1883 0.0.0.0:* users:(("mosquitto",pid=1577,fd=5))
tcp LISTEN 0 128 127.0.0.1:32600 0.0.0.0:* users:(("Plex Tuner Serv",pid=66454,fd=10))
tcp LISTEN 0 128 127.0.0.1:40709 0.0.0.0:* users:(("Plex Script Hos",pid=66404,fd=4))
tcp LISTEN 0 5 0.0.0.0:5900 0.0.0.0:* users:(("vino-server",pid=3456,fd=12))
tcp LISTEN 0 151 127.0.0.1:3306 0.0.0.0:* users:(("mysqld",pid=80420,fd=26))
tcp LISTEN 0 1024 0.0.0.0:32400 0.0.0.0:* users:(("Plex Media Serv",pid=66374,fd=10))
tcp LISTEN 0 4096 [::1]:631 [::]:* users:(("cupsd",pid=73450,fd=6))
tcp LISTEN 0 511 *:443 *:* users:(("apache2",pid=86108,fd=6),("apache2",pid=84999,fd=6),("apache2",pid=84994,fd=6),("apache2",pid=84842,fd=6),("apache2",pid=78798,fd=6),("apache2",pid=78681,fd=6),("apache2",pid=78680,fd=6),("apache2",pid=78678,fd=6),("apache2",pid=73539,fd=6),("apache2",pid=73443,fd=6),("apache2",pid=29585,fd=6))
tcp LISTEN 0 4096 *:22 *:* users:(("sshd",pid=3640,fd=3),("systemd",pid=1,fd=154))
tcp LISTEN 0 511 *:80 *:* users:(("apache2",pid=86108,fd=4),("apache2",pid=84999,fd=4),("apache2",pid=84994,fd=4),("apache2",pid=84842,fd=4),("apache2",pid=78798,fd=4),("apache2",pid=78681,fd=4),("apache2",pid=78680,fd=4),("apache2",pid=78678,fd=4),("apache2",pid=73539,fd=4),("apache2",pid=73443,fd=4),("apache2",pid=29585,fd=4))
tcp LISTEN 0 511 [::1]:6379 [::]:* users:(("redis-server",pid=1521,fd=7))
tcp LISTEN 0 100 [::1]:1883 [::]:* users:(("mosquitto",pid=1577,fd=6))
tcp LISTEN 0 5 [::]:5900 [::]:* users:(("vino-server",pid=3456,fd=11))
Neuro : Ubuntu 10.10 4x64bits@2.53Ghz / RAM 4Go
Kenpachi : Kubuntu 10.10 64bits@2Ghz / RAM 2Go
Hors ligne
#13 Le 31/05/2024, à 09:12
- N3m3siS
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Bruno,
Pour répondre à la redirection NAT/PAT, je viens de vérifier dans la configuration du routeur.
Sur cette machine, j'ai trois ports exposés : 80, 443 et 32400 (Plex)
Neuro : Ubuntu 10.10 4x64bits@2.53Ghz / RAM 4Go
Kenpachi : Kubuntu 10.10 64bits@2Ghz / RAM 2Go
Hors ligne
#14 Le 31/05/2024, à 09:12
- bruno
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Bizarre je ne vois pas de services sur les ports 465 et 587 et pas d'autres ports utilisés par « master ». Dans ces conditions l'extrait de log avec une IP externe qui tente une connexion sur le serveur smtpd est incompréhensible, pour ne pas dire impossible.
Il faudrait et être sûr que rien n'a été modifié entre les logs en #3 et le retour de ss en #12
Il faut aussi vérifier les redirections de ports sur le routeur pour voir sil n'y a aurait un port 25, 465 ou 587 redirigé par erreur sur un autre service de la machine 192.168.1.100.
#15 Le 31/05/2024, à 09:54
- N3m3siS
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
La seule modification que j'ai porté personnellement, c'est la restriction d'écoute à l'IP 127.0.0.1
Pour le reste, je ne sais pas garantir si je n'ai pas un genre de back-door qui serait active de temps à autre...
En ce qui concerne les règles de routage, elles sont conformes à ce que j'avais paramétré, c'est-à-dire ports 80, 443 et 32400 uniquement.
Enfin, avec les bribes de connaissances que je peux avoir et en admettant qu'une machine ait été compromise, peut-être qu'il réside un tunel quelque part (ssh tunelling ?)
Qu'en penses-tu ?
Neuro : Ubuntu 10.10 4x64bits@2.53Ghz / RAM 4Go
Kenpachi : Kubuntu 10.10 64bits@2Ghz / RAM 2Go
Hors ligne
#16 Le 31/05/2024, à 10:41
- bruno
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Avant de chercher des explications complexes, il faut procéder de manière logique.
Ces lignes de log :
2024-05-29T01:30:59.009065+02:00 localhost postfix/smtpd[4465]: connect from unknown[80.244.11.240]
2024-05-29T01:30:59.147812+02:00 localhost postfix/smtpd[4465]: disconnect from unknown[80.244.11.240] ehlo=1 auth=0/1 quit=1 commands=2/3
montrent une tentative de connexion provenant de 80.244.11.240 au démon smtpd de Postfix. (Comme le montre mon lien c'est une machine vérolée, connue pour faire des attaques par force brute sur les service smtp.)
Ce n'est possible que si l'un des ports 25, 465, ou 587 est publiquement accessible.
Or d'après les retours précédents seul le port 25 est en écoute sur la machine hébergeant Postfix.
La seule explication possible est que le port 25 ait été accessible publiquement via une redirection sur le routeur. À cet égard je t'invite à tester ton IP publique dans shodan.io
#17 Le 31/05/2024, à 12:10
- N3m3siS
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Bruno,
Super pour tes explications, et tu as bien fait d'insisté car j'ai fini par trouver.
Sur une machine distante, via nmap
25/tcp filtered smtp
Or, le port 25 ne figure pas parmi les ports sujets à NAT/PAT.
Alors, je suis allé un peu plus loin et j'ai trouvé les paramètres DMZ... Et la machine 192.168.1.100 était bien indiquée.
En supprimant ce paramètre, je n'ai plus de retour sur le port 25 via nmap.
Un sincère et grand merci pour ton aide préciseuse et ta patience !
Neuro : Ubuntu 10.10 4x64bits@2.53Ghz / RAM 4Go
Kenpachi : Kubuntu 10.10 64bits@2Ghz / RAM 2Go
Hors ligne
#18 Le 31/05/2024, à 13:11
- bruno
Re : [RESOLU] Demande d'orientation : Serveurs compromis (postfix)
Avec plaisir, c'est toujours intéressant d'essayer de résoudre ce genre de problème