Pages : 1
#1 Le 09/03/2026, à 14:30
- ujiko
Je veux durcir les conditions de postfix
Bonjour, j'ai été la cible d'une attaque sur mon serveur de mail et ils continuent à utiliser mon nom d'hôte. Pouvez-vous me dire ce que je pourrais faire pour renforcer la sécurité de mon serveur?
master.cf ;
#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master" or
# on-line: http://www.postfix.org/master.5.html).
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (no) (never) (100)
# ==========================================================================
smtp inet n - y - - smtpd
#smtp inet n - y - 1 postscreen
#smtpd pass - - y - - smtpd
#dnsblog unix - - y - 0 dnsblog
#tlsproxy unix - - y - 0 tlsproxy
# Choose one: enable submission for loopback clients only, or for any client.
#127.0.0.1:submission inet n - y - - smtpd
#submission inet n - y - - smtpd
# -o syslog_name=postfix/submission
# -o smtpd_tls_security_level=encrypt
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_tls_auth_only=yes
# -o smtpd_reject_unlisted_recipient=no
# -o smtpd_client_restrictions=$mua_client_restrictions
# -o smtpd_helo_restrictions=$mua_helo_restrictions
# -o smtpd_sender_restrictions=$mua_sender_restrictions
# -o smtpd_recipient_restrictions=
# -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
# Choose one: enable smtps for loopback clients only, or for any client.
#127.0.0.1:smtps inet n - y - - smtpd
smtps inet n - y - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_reject_unlisted_recipient=no
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=private/auth
-o smtpd_client_restrictions=$mua_client_restrictions
-o smtpd_helo_restrictions=$mua_helo_restrictions
-o smtpd_sender_restrictions=$mua_sender_restrictions
-o smtpd_recipient_restrictions=
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=opendkim
#628 inet n - y - - qmqpd
pickup unix n - y 60 1 pickup
cleanup unix n - y - 0 cleanup
qmgr unix n - n 300 1 qmgr
#qmgr unix n - n 300 1 oqmgr
tlsmgr unix - - y 1000? 1 tlsmgr
rewrite unix - - y - - trivial-rewrite
bounce unix - - y - 0 bounce
defer unix - - y - 0 bounce
trace unix - - y - 0 bounce
verify unix - - y - 1 verify
flush unix n - y 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - y - - smtp
relay unix - - y - - smtp
-o syslog_name=postfix/$service_name
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - y - - showq
error unix - - y - - error
retry unix - - y - - error
discard unix - - y - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - y - - lmtp
anvil unix - - y - 1 anvil
scache unix - - y - 1 scache
postlog unix-dgram n - n - 1 postlogd
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRXhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
# lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
# mailbox_transport = lmtp:inet:localhost
# virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus unix - n n - - pipe
# flags=DRX user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix - n n - - pipe
# flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
#uucp unix - n n - - pipe
# flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
#ifmail unix - n n - - pipe
# flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
#bsmtp unix - n n - - pipe
# flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
#scalemail-backend unix - n n - 2 pipe
# flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
#mailman unix - n n - - pipe
# flags=FRX user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user}
dovecot unix - n n - - pipe
flags=DRhu user=vmail:vmail argv=/usr/local/libexec/dovecot/deliver -d ${recipient}
main.cf ;
# See /usr/share/postfix/main.cf.dist for a commented, more complete version
# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h
readme_directory = no
# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 3.6 on
# fresh installs.
compatibility_level = 3.6
# TLS parameters
smtpd_tls_cert_file=/etc/ssl/localcerts/mailserv.pem
smtpd_tls_key_file=/etc/ssl/localcerts/mailserv.key
smtpd_tls_security_level=may
smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level=may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_sasl_type = dovecot
smtp_sasl_path = private/auth
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = <FQDN.tld>
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = $myhostname, mail.<FQDN.tld>, <FQDN.tld>, localhost.fr, localhost
relayhost =
#relay domains = *
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
header_checks = regexp:/etc/postfix/list_unsub_header
#DKIM
milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891D'avance merci pour votre soutien.
modération: discussion déplacée dans la section Serveurs
Dernière modification par xubu1957 (Le 12/03/2026, à 15:50)
Hors ligne
#2 Le 12/03/2026, à 14:43
- Dude
Re : Je veux durcir les conditions de postfix
Mauvaise section et c'est sans doute pour cela que tu n'obtiens pas de réponse :
https://forum.ubuntu-fr.org/viewforum.php?id=28
Hors ligne
#3 Le 12/03/2026, à 16:09
- ujiko
Re : Je veux durcir les conditions de postfix
merci
Hors ligne
#4 Le 06/04/2026, à 14:18
- ujiko
Re : Je veux durcir les conditions de postfix
ajouter ;
smtpd_recipient_restrictions = reject_invalid_hostname,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_rbl_client sbl.spamhaus.org,
permit
smtpd_helo_restrictions = reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
reject_unknown_helo_hostname
smtpd_client_restrictions = reject_rbl_client dnsbl.sorbs.netHors ligne
#5 Le 06/04/2026, à 15:37
- krodelabestiole
Re : Je veux durcir les conditions de postfix
ils continuent à utiliser mon nom d'hôte.
c'est à dire ?
une adresse email peut être forgée : il n'y a pas besoin d'avoir accès à ton serveur pour envoyer un mail "depuis" ton adresse, ce n'est pas ce qui fait foi pour savoir si ton serveur est compromis.
il faudrait que tu vérifies cette info dans les entêtes (complètes) des spams ou les logs de ton serveur.
nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site
Hors ligne
#6 Le 06/04/2026, à 16:04
- ujiko
Re : Je veux durcir les conditions de postfix
ujiko a écrit :ils continuent à utiliser mon nom d'hôte.
c'est à dire ?
une adresse email peut être forgée : il n'y a pas besoin d'avoir accès à ton serveur pour envoyer un mail "depuis" ton adresse, ce n'est pas ce qui fait foi pour savoir si ton serveur est compromis.
il faudrait que tu vérifies cette info dans les entêtes (complètes) des spams ou les logs de ton serveur.
avec SPF+DKIM+DMARC je surveille cela de près.
Hors ligne
#7 Le 06/04/2026, à 16:46
- krodelabestiole
Re : Je veux durcir les conditions de postfix
ça ne change rien ni à la sécurité de ton serveur, ni à la possibilité d'envoyer des messages qui "semblent" venir de ton domaine.
ça facilite juste le traitement comme spam par les destinataires qui prennent en compte ces fonctionnalités.
nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site
Hors ligne
#8 Le 06/04/2026, à 16:51
- ujiko
Re : Je veux durcir les conditions de postfix
ça ne change rien ni à la sécurité de ton serveur, ni à la possibilité d'envoyer des messages qui "semblent" venir de ton domaine.
ça facilite juste le traitement comme spam par les destinataires qui prennent en compte ces fonctionnalités.
Et bien justement je fais confiance à ceux qui utilisent ces fonctionnalités, même si je risque d'être bloqué, c'est le bannissement d'orange qui m'a poussé à faire davantage de recherches, j'ai incorporé spamassassin en plus du reste.
Hors ligne
#9 Le 06/04/2026, à 17:01
- krodelabestiole
Re : Je veux durcir les conditions de postfix
tu as analysé des spams et tu es certain qu'ils ont été expédiés depuis ton serveur ?
nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site
Hors ligne
#10 Le 06/04/2026, à 17:07
- ujiko
Re : Je veux durcir les conditions de postfix
Lors de l'attaque par DoS que j'ai subis sur wordpress certains ont réussis à pénétrer sur mon serveur et ont saturé mes logs (mail.log=1Go) impossible à analyser. D'après le DMARC j'ai noté qu'ils avaient un échec sur DKIM + SPF. Ils ont saturé mon spool avec des replies du type ccvscd@kohaku.fr, user unknown.
Hors ligne
#11 Le 06/04/2026, à 17:14
- krodelabestiole
Re : Je veux durcir les conditions de postfix
une attaque DDoS ne permet pas d'infiltrer un système ni d'exploiter un serveur mail.
ça peut être le cas si une faille de ton WordPress a été exploitée, mais si le contrôle DMARC échoue, ça indique justement que les messages ne viennent pas de ton serveur !
nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site
Hors ligne
#12 Le 06/04/2026, à 17:16
- ujiko
Re : Je veux durcir les conditions de postfix
une attaque DDoS ne permet pas d'infiltrer un système ni d'exploiter un serveur mail.
ça peut être le cas si une faille de ton WordPress a été exploitée, mais si le contrôle DMARC échoue, ça indique justement que les messages ne viennent pas de ton serveur !
Exact.
Suite à cette attaque j'ai purgé postfix, le spool, j'ai changé toutes les clés (certificat SSL fait maison), DKIM neuf, et le reverse DNS. Prano jusqu'au bout.
Dernière modification par ujiko (Le 06/04/2026, à 17:29)
Hors ligne
Pages : 1