HELP, mon serveur relais du spam

bonjour,
j’ai un serveur sous postfix qui semble relayé du spam, je ne vois pas comment cela se produit car il ne fait pas relais. En telnet lorsque je tente d’envoyer des mails a des domaine non géré j’ai bien l’erreur relay access denied.
Mon serveur fait serveur smtp mais en authentifié (d’ailleur dans les logs je n’ai pas d’envoi via une connection sasl)
Il recoit des mails de l’exterieur qui ne sont pas a destination de mon domaine géré et il les relais quand même !!! je ne comprend absolument pas.

voici un exemple des logs :

May 16 13:18:00 dom postfix/qmgr[19248]: 283AA307D0: from=<changkwon4@hotmail.sg>, size=602, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: B367915165: from=<webmaster@ns.namosoft.co.kr>, size=1189, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: E829B41EF2: from=<changkwon6@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: BE62F3703D: from=<changkwon5@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: DD0AD3CCA3: from=<changkwon6@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 57D50325E4: from=<changkwon4@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: C2D271DA78: from=<changkwon5@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: C4B13301CD: from=<changkwon4@hotmail.sg>, size=602, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 1DCBC343CE: from=<changkwon4@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 5FA5F33B95: from=<changkwon4@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 0BFC92F341: from=<changkwon4@hotmail.sg>, size=602, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 499A21CC0F: from=<changkwon4@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 4CBC8617B6: removed
May 16 13:18:00 dom postfix/qmgr[19248]: B9A591B237: from=<fbi@office.net>, size=1005, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 37B3B19F3C: from=<info@compensation.org>, size=2753, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 9AC2F1799E: from=<info@compensation.org>, size=2753, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 800391BC36: from=<info@compensation.org>, size=2753, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: DA280193B2: from=<info@compensation.org>, size=2753, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 8DC7F29ECD: from=<webmaster@ns.namosoft.co.kr>, size=1189, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 873E818F5F: from=<info@compensation.org>, size=2753, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: BB6685B8E: from=<info@compensation.org>, size=2752, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 119622AEAE: from=<info@compensation.org>, size=2753, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: CD16B91428: from=<>, size=6796, nrcpt=1 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 20E682F9C7: from=<changkwon4@hotmail.sg>, size=602, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 459292F4F3: from=<changkwon4@hotmail.sg>, size=602, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 4692630484: from=<info@compensation.org>, size=2753, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 459752F4F4: from=<changkwon4@hotmail.sg>, size=602, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 0C1CB8D03B: from=<changkwon5@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 54FC833B4D: from=<changkwon4@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 00D703CA63: from=<changkwon6@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: D5A7730747: from=<info@compensation.org>, size=2753, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 56BF128F37: from=<fbi@office.net>, size=1005, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 52AA61063D: from=<info@compensation.org>, size=2753, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 5EDCF17AF0: from=<changkwon5@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: A8D792D0BF: from=<changkwon1@hotmail.sg>, size=602, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: F346C1BAE2: from=<info@compensation.org>, size=2753, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 49D331738E: from=<changkwon5@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 1B8672E0C0: from=<changkwon3@hotmail.sg>, size=602, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 0CE3E3DD72: from=<changkwon6@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 6836942141: from=<changkwon6@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 7211337AF4: from=<changkwon6@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 576B33B161: from=<changkwon6@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 81F476541: from=<fbi@office.net>, size=3409, nrcpt=1 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 3FCD13D579: from=<changkwon6@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 8CEAE1CC08: from=<changkwon4@hotmail.sg>, size=602, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 31E9233C98: from=<changkwon4@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: C1CADB78A: from=<info@compensation.org>, size=2752, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 9E8171C4F8: from=<fbi@office.net>, size=1005, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: CB415EA05: from=<changkwon3@hotmail.sg>, size=601, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: C24F568F2E: from=<>, size=5133, nrcpt=1 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 4FDE518CDC: from=<changkwon5@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 1974B1F600: from=<changkwon6@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 1F28F1FEF1: from=<changkwon6@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 2C53B338B5: from=<changkwon4@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 7B48F14724: from=<info@compensation.org>, size=2753, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: E6F6529FC3: from=<info@compensation.org>, size=2753, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: B086F3580E: from=<changkwon6@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 7462E27F8E: from=<fbi@office.net>, size=1005, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 800DE419A8: from=<changkwon6@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/qmgr[19248]: 9BD1D39950: from=<changkwon6@hotmail.sg>, size=582, nrcpt=50 (queue active)
May 16 13:18:00 dom postfix/smtp[19331]: AEAC53FAF9: host mx1.bt.mail.yahoo.com[195.50.106.142] refused to talk to me: 421 4.7.0 [TS01] Messages from XXX.165.XXX.XXX temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html
May 16 13:18:00 dom postfix/smtp[19331]: AEAC53FAF9: host mx1.bt.mail.yahoo.com[212.82.111.207] refused to talk to me: 421 4.7.0 [TS01] Messages from XXX.165.XXX.XXX temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html
May 16 13:18:00 dom postfix/smtp[19331]: AEAC53FAF9: host mx2.bt.mail.yahoo.com[195.50.106.142] refused to talk to me: 421 4.7.0 [TS01] Messages from XXX.165.XXX.XXX temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html
May 16 13:18:01 dom postfix/smtp[19306]: 9F96CA4EC: to=<bigbrosbigsis@bellsouth.net>, relay=gateway-f1.isp.att.net[204.127.217.16]:25, delay=6719, delays=6717/1.2/0.6/0, dsn=4.0.0, status=deferred (host gateway-f1.isp.att.net[204.127.217.16] refused to talk to me: 521-XXX.165.XXX.XXX is blocked domain (*) 521 Blocked for abuse. See http://att.net/blocks)
May 16 13:18:01 dom postfix/pickup[19247]: 28A0869A89: uid=5001 from=<changkwon4@hotmail.sg>
May 16 13:18:01 dom postfix/smtp[19309]: F3E504F760: to=<test@catr.com.cn>, relay=smtp.catr.cn[219.239.97.40]:25, delay=12277, delays=12275/1.3/0.71/0, dsn=4.4.2, status=deferred (lost connection with smtp.catr.cn[219.239.97.40] while receiving the initial server greeting)
May 16 13:18:01 dom postfix/cleanup[19249]: 28A0869A89: message-id=<20110516111801.28A0869A89@dom.com>
May 16 13:18:01 dom postfix/smtp[19301]: 934EE618FE: to=<test@catr.com.cn>, relay=smtp.catr.cn[219.239.97.40]:25, delay=49, delays=47/1.2/0.71/0, dsn=4.4.2, status=deferred (lost connection with smtp.catr.cn[219.239.97.40] while receiving the initial server greeting)
May 16 13:18:01 dom postfix/smtp[19269]: certificate verification failed for mxmas.kent.ac.uk[129.12.21.31]:25: untrusted issuer /C=US/O=GTE Corporation/OU=GTE CyberTrust Solutions, Inc./CN=GTE CyberTrust Global Root
May 16 13:18:01 dom postfix/smtp[19278]: 94462948E0: to=<tkonno01_@hotmail.com>, relay=mx2.hotmail.com[65.55.92.152]:25, delay=2474, delays=2471/1.3/0.34/1.8, dsn=5.0.0, status=bounced (host mx2.hotmail.com[65.55.92.152] said: 550 Requested action not taken: mailbox unavailable (in reply to RCPT TO command))

Certain sont envoyés, d’autre en deferred car je suis maintenant considéré comme spammeur…
Certain mail from sont vide, en telnet mon serveur ne controle pas le mail from (je peu mettre un a et ca passe), pouvez vous me dire qu’elle paramètre mettre en place pour qu’il fasse un controle car apparement ma config ne suffit pas.

J’ai mis a jour postfix (version 2.7.1)

J’ai tenté de bloquer ces domaines mais ca ne fonctionne pas, j’ai rajouté le check sender access :
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination,reject_non_fqdn_sender,reject_non_fqdn_recipient,check_sender_access hash:/etc/postfix/sender_access

Le fichier (j’ai bien fait le postmap) mais j’ai tjrs des from ce des domaine…

root@niji:/etc/postfix# more sender_access test@catr.com.cn REJECT compensation.org REJECT changkwon6@hotmail.sg REJECT changkwon3@hotmail.sg REJECT changkwon4@hotmail.sg REJECT changkwon1@hotmail.sg REJECT

Pouvez vous me dire si un problème est présent dans la config

root@dom:/var/log# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
home_mailbox = mailbox/
ignore_mx_lookup_error = yes
inet_interfaces = all
mailbox_command = procmail -a "EXTENSION"
mailbox_size_limit = 2048000000
maximal_queue_lifetime = 1d
mydestination = dom.com, localhost
myhostname = host.dom.com
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_banner = imap.dom.com ESMTP $mail_name (dom)
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination,reject_non_fqdn_sender,reject_non_fqdn_recipient
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
unknown_local_recipient_reject_code = 550

Merci d’avance de votre aide car c’est très urgent

Salut,
Tu peux déjà vérifier avec ce site:
abuse.net/relay.html

Il faut s’inscrire, mais c’est sans soucis, ils ne m’ont jamais spammés…

Moi j’obtient ceci:

Relay test result All tests performed, no relays accepted.

Tu peux donner ton main.cf histoire de voir…

[quote=“lol”]Salut,
Tu peux déjà vérifier avec ce site:
abuse.net/relay.html

Il faut s’inscrire, mais c’est sans soucis, ils ne m’ont jamais spammés…

Moi j’obtient ceci:

Relay test result All tests performed, no relays accepted.

Tu peux donner ton main.cf histoire de voir…[/quote]

salut, pareil pour moi (par contre pas besoin de s’inscrire, j’ai juste marqué mon domaine):
Relay test result
All tests performed, no relays accepted.

Je comprend pas ce qui se passe, dans les logs le mail from et le mail to sont des domaines complétement différent du mien et mon serveur les relais quand même

j’ai posté plus haut le resultat du postconf -n, merci.

Re,
Pardon je n’avais pas vu le main… j’ai lu en diagonale pensant qu’il s’agissait de la suite des logs…

Je suis étonné par ceci:

Pour ma part j’ai ça:

[quote]smtpd_recipient_restrictions =
permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unauth_destination, reject_unauth_pipelining, reject_invalid_hostname, reject[/quote]

Je pense qu’il faut tout rejeter en fin de ligne.
Sans le reject en fin de ligne, abuse.net passe en réussi à se servir de mon serveur comme relay…

J’ai rajouté le reject a la fin mais ca ne change rien, tjrs en train de relayé…
Je tente de bloquer les domaines principaux qui spam mais ca ne fonctionne pas, je les vois tjrs en mail from ou rcpt to…
Pourtant les regles sont bien présentes dans le main.cf :

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
home_mailbox = mailbox/
ignore_mx_lookup_error = yes
inet_interfaces = all
mailbox_command = procmail -a "EXTENSION"
mailbox_size_limit = 2048000000
maximal_queue_lifetime = 1d
mydestination = dom.com, localhost
myhostname = host.dom.com
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_banner = host.dom.com ESMTP $mail_name (host)
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_non_fqdn_sender,reject_non_fqdn_recipient, check_recipient_access hash:/etc/postfix/recipient_access, reject
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender,check_sender_access hash:/etc/postfix/sender_access, reject
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
unknown_local_recipient_reject_code = 550

Mes mails passe via spamassassin, fautil une autre config pour filtrer les domaines source et distant ?

RE,
Une question, dans ton réseau [mynetworks] il y a des machines Windows ?

[quote=“lol”]RE,
Une question, dans ton réseau [mynetworks] il y a des machines Windows ? [/quote]

mon serveur est hébergé chez ovh

Re,

[quote]mydestination = dom.com, localhost
myhostname = host.dom.com[/quote]

Ce sont les vrais valeurs ?

[quote=“lol”]Re,

[quote]mydestination = dom.com, localhost
myhostname = host.dom.com[/quote]

Ce sont les vrais valeurs ?[/quote]

non non j’ai remplacé les dom mais c’est dans même esprit, il n’a rien d’autre que les noms de domaine géré + localhost

merci de ton aide.

Par hasard tu n’aurai pas un bout de code permettant de filtrer les mails saint dans deferred pour ne supprimer que les spam (par rapport à un mot clés)

Non, désolé, je n’ai jamais été confronté à un souci comme celui-ci (je n’ai jamais relayé…).

Non, désolé, je n’ai jamais été confronté à un souci comme celui-ci (je n’ai jamais relayé…).[/quote]

Je sais pas comment le mien relais mais il le fait… via un telnet je suis bien rejouté si je tente de joindre un domaine non géré…

Il se peut que ma machine soit infecté par quelques chose ?

Je ne connais pas postfix mais par principe sur un serveur mail, interdis tout et autorises uniquement ce dont tu as besoin.

j’ai fais un backup de /var/spool/postfix pour vider la file d’attente derrière (plusieurs giga de mail…)

Je vais tenté de récupérer les mails saint, savez vous si je peux les réinjecter directement dans deferred par la suite pour qu’il soit pris en compte par postfix ou y a t’il une commande pour cela ?

merci

Salut,
Tu n’a pas eu mon MP ?

[quote=“lol”]Salut,
Tu n’a pas eu mon MP ?[/quote]

salut, oui je t’ai répondu merci