[postfix]Réception de courriel indésirable avec mon domaine

NuX_o · Août 23, 2016, 3:49pm

Bonjour,

J’ai un serveur Postfix avec un SPF configuré.

Depuis quelques jours je remarque que je reçois, de temps à autres, des messages indésirables provenant de mon serveur Postfix d’adresse en @mondomaine.tld

Cela n’est pas très drôle je vous l’accorde. L’honneur est sauf car il n’envoie qu’à moi :

 Aug 23 16:10:53 debian postfix/pickup[12779]: 16307675C: uid=114 from=<voicemail@mondomaine.tld>
Aug 23 16:10:53 debian postfix/cleanup[13380]: 16307675C: message-id=<20160823141053.16307675C@debian.mondomaine.tld>
Aug 23 16:10:53 debian postfix/qmgr[22975]: 16307675C: from=<voicemail@mondomaine.tld>, size=13954, nrcpt=1 (queue active)
Aug 23 16:10:53 debian postfix/lmtp[13397]: 16307675C: to=<moi@mondomaine.tld>, relay=pc.domaine.tld[private/dovecot-lmtp], delay=0.14, delays=0.08/0/0/0.06, dsn=2.0.0, status=sent (250 2.0.0 <moi@mondomaine.tld> zKALCWtZvFdWNAAAs480NA Saved)
Aug 23 16:10:53 debian postfix/qmgr[22975]: 16307675C: removed

J’ai reçu deux autres mails de deux autres comptes inexistants chez moi…
cet utilisateur est inconnu du système.

Rkhunter n’a rien décelé.

une idée ?

Merci à vous

vincentsan · Août 24, 2016, 11:11am

Bonjour,

Je ne pense pas pouvoir beaucoup aider mais juste une question : Quel système d’authentification est utilisé sur le serveur pam ==> sasl ==> mysql/ldap ?

PascalHambourg · Août 24, 2016, 11:32am

Quel utilisateur système a l’UID 114 ?

NuX_o · Août 24, 2016, 3:49pm

Bonjour,

Merci pour vos réponses.

@PascalHambourg :
debian-spamd:x:114:122::/var/lib/spamassassin:/bin/sh
d’ailleurs tous les messages que je reçois sont envoyé avec cet UID O_o

@vincentsan :
Jai le PAM à yes
pour Postfix le sasl …
en fait je ne sais pas si je réponds correctement à la question car ne sais pas vraiment où chercher cette information…

Merci à vous,

vincentsan · Août 24, 2016, 4:06pm

En fait, je voulais savoir si ton serveur était correctement sécurisé et s’il n’était pas configuré en “open relay”.
J’imagine que dans ton main.cf il n’y a pas de 0.0.0.0 en face de mynetworks.
Et comment est gérée l’authentification des utilisateurs ? Unix, MySQL, postgres, ldap ?
Et que disent les logs : auth.log et mail.info ?

En tout cas, si tu identifie la faille de sécurité, je suis intéressé par la solution. Je préférerais que ton pb ne m’arrive pas.

@PascalHambourg est au top, si tu lui donne les bonnes infos je suis sûr qu’il dépatouillera ton soucis.

PascalHambourg · Août 24, 2016, 4:18pm

Postfix et spamassassin, je ne connais presque pas.

L’UID dans les logs semble une fausse piste : ce sont juste des mails réinjectés par spamassassin.

vincentsan · Août 24, 2016, 4:58pm

Petite question de plus, as-tu testé ton serveur avec mxtoolbox ? Tu verras si le SPF est bien configuré, idem pour le dkim.

NuX_o · Août 24, 2016, 5:14pm

Merci à vous !

voici d’autres infos qui pourraient (?) pt-être aider ?

cat /var/log/mail.info |grep 94E744E39
Aug 24 15:07:35 debian postfix/smtpd[19962]: 94E744E39: client=unknown[14.195.235.245]
Aug 24 15:07:35 debian postfix/cleanup[19968]: 94E744E39: message-id=D64DD4F3AE2A8E4A5658DF2B47E80425@mondomaine.tld
Aug 24 15:07:36 debian postfix/qmgr[22975]: 94E744E39: from=Melanie789@mondomaine.tld, size=8126, nrcpt=1 (queue active)
Aug 24 15:07:36 debian postfix/pipe[19970]: 94E744E39: to=moi@mondomaine.tld, relay=spamassassin, delay=0.68, delays=0.42/0.01/0/0.25, dsn=2.0.0, status=sent (delivered via spamassassin service)
Aug 24 15:07:36 debian postfix/qmgr[22975]: 94E744E39: removed
cat /var/log/mail.log |grep "14.195.235.245"
Aug 24 15:07:35 debian postfix/smtpd[19962]: warning: hostname static-245.235.195.14-tataidc.co.in does not resolve to address 14.195.235.245: Name or service not known
Aug 24 15:07:35 debian postfix/smtpd[19962]: connect from unknown[14.195.235.245]
Aug 24 15:07:35 debian postfix/smtpd[19962]: 94E744E39: client=unknown[14.195.235.245]
Aug 24 15:12:36 debian postfix/smtpd[19962]: timeout after END-OF-MESSAGE from unknown[14.195.235.245]
Aug 24 15:12:36 debian postfix/smtpd[19962]: disconnect from unknown[14.195.235.245]
Aug 24 15:16:30 debian postfix/anvil[19964]: statistics: max connection rate 1/60s for (smtp:14.195.235.245) at Aug 24 15:07:35
Aug 24 15:16:30 debian postfix/anvil[19964]: statistics: max connection count 1 for (smtp:14.195.235.245) at Aug 24 15:07:35

rien dans auth.log

un bout de mon main.cf :
smtpd_helo_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
# reject_unknown_helo_hostname

smtpd_sender_restrictions =
     reject_non_fqdn_sender,      
     reject_unknown_sender_domain,
     reject_sender_login_mismatch

virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps    = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps      = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

smtpd_sender_login_maps  = mysql:/etc/postfix/mysql-sender-login-maps.cf

myhostname    = debian.mondomaine.tld
myorigin      = debian.mondomaine.tld
mydestination = localhost localhost.$mydomain
mynetworks    = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
relayhost     =

J’ai fais un test pour voir si l’utilisateur indésirable était dans la base : non :

mysql> SELECT username FROM mailbox WHERE username='Melanie789' AND active = 1;
Empty set (0.00 sec)

SELECT username FROM mailbox WHERE username='Melanie789@mondomaine.tld' AND active = 1;
Empty set (0.00 sec)

 sudo cat /var/log/dovecot.log |grep "Melanie789@mondomaine.tld"
sudo cat /var/log/dovecot.log |grep "14.195.235.245"

Rien

Il me manque certains éléments que je ne comprend pas

merci à vous

ps : je n’ai pas de DKIM… penses-tu que ça viendrait de là ? j’ai cru un moment… mais en lisant la definition d’un DKIM… je me suis dis que non
je vais tester ce que tu me dis

voici le résultat :

dmarc Record Missing --> oui je sais

dns  SOA Refresh Value is outside of the recommended range
dns SOA Expire Value out of recommended range

Le reste est OK.

Merci

PascalHambourg · Août 24, 2016, 5:23pm

Ce dernier mail ne provient pas de ton serveur mais d’une adresse IP située en Inde. N’importe quel spammeur peut envoyer un mail en usurpant ton domaine. SPF est censé éviter cela, mais encore faut-il qu’il soit bien configuré pour ton domaine et que le serveur destinataire en tienne compte.

Qu’entends-tu exactement par “avec un SPF configuré” ?

NuX_o · Août 24, 2016, 5:45pm

Je crois m’être mal exprimé , voici mon SPF (de la zone mondomaine.tld) :
"v=spf1 a mx include:debian.mondomaine.tld -all"

J’ai ma zone chez OVH, je viens de rajouter cette entrée, via leur “générateur de DNS” :

debian.mondomaine.tld.	600	SPF	"v=spf1 a mx -all"

J’avais pourtant testé mon SPF il semblait correcte

Donc là, selon les logs, je ne reçois pas le mail pour le transférer ? je ne fais pas relais ? (je croyais que vu mon SPF tous courriels devaient transiter par mon serveur pour être distribué…
Donc cela voudrait dire que le SPF n’a pas été pris en compte ?

Merci pour tes lumières

PascalHambourg · Août 24, 2016, 5:55pm

Est-ce que ton propre serveur en tient compte quand il reçoit un mail ?

Non, c’est un mail reçu à destination de ton domaine, donc il a vocation à être délivré localement.

NuX_o · Août 24, 2016, 5:59pm

Très bonne question… je ne sais pas, comment voir ça, le fait qu’il tienne compte de mon SPF ?

si je comprends bien… la réponse est non
Comment faire qu’il interroge les DNS ? ou mon SPF ?

PascalHambourg · Août 24, 2016, 6:01pm

Pas la moindre idée.

vincentsan · Août 24, 2016, 6:36pm

Je ne saurais pas te dire non plus pour le SPF mais mxtoolbox a une idée.

As-tu ce genre de directives dans ton main.cf ?

smtpd_tls_cert_file=/etc/courier/imapd.pem
smtpd_tls_key_file=/etc/courier/imapd.pem
smtpd_use_tls=yes
smtp_use_tls=yes
smtpd_tls_session_cache_database = btree:/var/spool/postfix/var/lib/postfix/smtp                                d_scache
smtp_tls_session_cache_database = btree:/var/spool/postfix/var/lib/postfix/smtp_                                scache
smtpd_tls_auth_only = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $mydomain
smtpd_sasl_path = smtpd
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes

append_dot_mydomain = no
smtpd_helo_required = yes

smtpd_sender_restrictions =
        permit_mynetworks,
        warn_if_reject,
        permit_sasl_authenticated,
        reject_unknown_sender_domain

smtpd_recipient_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated

smtpd_client_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated
content_filter = amavis:[127.0.0.1]:10024
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK,                                 aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA

Il semblerait que cette directive ne soit pas prise en compte par postfix :

Je mettrais plutôt ça :

smtpd_sender_restrictions =
        permit_mynetworks,
        warn_if_reject,
        permit_sasl_authenticated,
        reject_unknown_sender_domain

Aussi, que renvoie :

mailq

Tiens-nous au courant de tes avancées, bon courage.

NuX_o · Août 24, 2016, 8:06pm

Merci

J’ai fais les modifications au niveau du smtpd_sender, j’ai mis tes directives. Pour le reste j’avais les mêmes directives.
J’ai reloadé Postfix.

Mail queue is empty

Je me renseigne sur le fait que Postfix n’arrive pas à résoudre le DNS, semble t-il (?).

Merci

PS : suite à ma modification de mon SPF, je le vois apparaître dans un nslookup. À ma grande surprise je ne vois pas apparaître ma 1ere entrée, mais ma seconde…
La 1ere entrée SPF avait été rentrée “manuellement” en TXT, la seconde en faisant un entrée automatique pour SPF.

À voir s’il y a ds améliorations

vincentsan · Août 25, 2016, 11:09am

Alors, es-tu toujours spammé ?

NuX_o · Août 25, 2016, 3:56pm

Oui malheureusement,
SPAM devant les messages, je vais essayer quelque chose et je reviens vers vous si c’est concluant

2 ----- > c’est la fête au village !

j’ai fait des modifications (voir en 3 le site explicatif )
voici le résultat :
Aug 25 17:47:04 debian postfix/smtpd[24632]: connect from norIPautreServeur-leFAI.fr[IP_publique_non_authorisé_dans_SPF]
Aug 25 17:48:31 debian postfix/policy-spf[24639]: Policy action=550 Please see http://www.openspf.net/Why?s=helo;id=mondomaine.tld;ip=IP_publique_non_authorisé_dans_SPF;r=debian.mondomaine.tld
Aug 25 17:48:31 debian postfix/smtpd[24632]: NOQUEUE: reject: RCPT from norIPautreServeur-leFAI.fr[IP_publique_non_authorisé_dans_SPF]: 550 5.7.1 boxe@mondomaine.tld: Recipient address rejected: Please see http://www.openspf.net/Why?s=helo;id=mondomaine.tld;ip=IP_publique_non_authorisé_dans_SPF;r=debian.mondomaine.tld; from=MayaDO@mondomaine.tld to=boxe@mondomaine.tld proto=SMTP helo=<mondomaine.tld>
Aug 25 17:48:58 debian postfix/smtpd[24632]: disconnect from norIPautreServeur-leFAI.fr[IP_publique_non_authorisé_dans_SPF]

OUAIIIIIIII !!! le mail de test fake fait sur un autre serveur que le mien a été rejeté

voici le lien explicatif permettant à Postfix de prendre en compte la règle SPF :
https://www.system-linux.eu/index.php?post/2010/03/08/Installation-de-SPF-pour-Posfix

Merci à vous tous pour votre participation