Spams postfix VPS

Support Debian
#1

Bonjour à tous et a toutes ,
j’ai bien configuré postfix , je réussi à envoyer et recevoir les mail mais j’ai un véritable soucis de spams.
que faire ?
j’ai cette adresse (careers@kroger.com) qui émet des mails à partir de mon IP comment faire pour la bloquer complètement ?
Merci d’avance.

#2

A priori, tu as du foirer dans la configuration de smtpd_relay_restrictions
Chez moi, c’est la valeur par défaut à priori, j’ai:
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination
à lire http://www.postfix.org/postconf.5.html#smtpd_relay_restrictions
et plus largement http://www.postfix.org/SMTPD_ACCESS_README.html

Mais sans connaitre ton main.cf, c’est un peu difficile, sinon, de diagnostiquer un problème postfix.

#3

En effet pas assez d’info pour te dire ce qu’il se passe. Il nous faut les fichiers de conf + logs. Là sans nos boules de cristal on va pas pouvoir t’aider

#4

Bonjour a tous et a toute et Merci pour vos reaction.
voici mon fichier main.cf 



# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = mon-domaine.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = $myhostname, smtp.mon-domaine.com, localhost.mon-domaine.com, mon-domaine.com, localhost
relayhost = 
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4
home_mailbox = Maildir/


#mailbox_command = procmail -a "$EXTENSION"

# Activer l'identification SASL
smtpd_sasl_auth_enable = yes

# Utiliser le service d'identification de Dovecot
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

# Noter dans les en-tête des messages l'identifiant de l'utilisateur.
smtpd_sasl_authenticated_header = yes

# Règles pour accepter ou refuser une connexion :
# - on attend une seconde (pour piéger les zombies) ;
# - on interdit la parallélisation là où il n'est pas sensé y en avoir.
smtpd_client_restrictions =permit_mynetworks,permit_sasl_authenticated,
   sleep 1, reject_unauth_pipelining,reject_unknown_client,hash:/etc/postfix/deny

# Règles pour accepter ou refuser un message, dès lors qu'on connaît le nom
# de l'hôte de l'expéditeur (par sa commande HELO ou EHLO) :
# - on refuse les noms d'hôte invalides.
smtpd_helo_restrictions = reject_invalid_helo_hostname

# Règles pour accepter ou refuser un message, dès lors qu'on connaît l'adresse
# de l'expéditeur :
# - s'il vient d'un expéditeur inexistant de notre domaine, on le rejette ;
# - si le domaine de l'expéditeur n'a pas d'IP ou de MX, on le refuse ;
# - s'il vient d'un client sûr ou d'un client authentifié, on l'accepte ;
# - si l'adresse de l'expéditeur n'est pas sous forme canonique, on le refuse.
smtpd_sender_restrictions =
   reject_unlisted_sender, reject_unknown_sender_domain,
   permit_mynetworks, permit_sasl_authenticated,
   reject_non_fqdn_sender

# Règles pour accepter ou refuser un message, dès lors qu'on connaît le
# destinataire (par la commande RCPT TO) :
# - s'il est destiné à un expéditeur forgé chez nous, on le rejette ;
# - s'il est destiné à un domaine forgé, on le rejette ;
# - s'il vient d'un hôte sûr ou d'un client authentifié, on l'accepte ;
# - si l'adresse de destination n'est pas sous forme canonique, on le refuse ;
# - finalement, s'il n'est pas destiné à un domaine que l'on gère ou pour
#   lequel on relaie, on le refuse.
#smtpd_recipient_restrictions =
#    reject_unlisted_recipient, reject_unknown_recipient_domain,
#    permit_mynetworks, permit_sasl_authenticated,
#    reject_non_fqdn_recipient,
#    reject_unauth_destination

header_checks = pcre:/etc/postfix/header-filter


smtpd_recipient_restrictions = permit_mynetworks,
        permit_sasl_authenticated,
#       check_policy_service unix:private/policy-spf,
	reject_rbl_client zen.spamhaus.org, 
	reject_rbl_client smtp.dnsbl.sorbs.net, 
	reject_rbl_client bl.spamcop.net,
	reject_rbl_client combined.rbl.msrbl.net,
       reject_unauth_destination,
        permit

# Debut NDA 01 02 2018 travaux sur les  SPAMS

# Autorise les connexions depuis le réseau sûr seulement. 
  smtpd_client_restrictions = permit_mynetworks, reject

# Ne pas communiquer avec les systèmes qui ne connaissent pas leur propre nom de machine.
  smtpd_helo_restrictions = reject_unknown_hostname 

# Ne pas accepter de courrier des domaines qui n'existent pas.
  smtpd_sender_restrictions = reject_unknown_sender_domain

# Bloquer les clients qui parlent trop tôt
  smtpd_data_restrictions = reject_unauth_pipelining

# Spammeurs cette regle genere une erreur
#smtpd_sender_restrictions = check_sender_access
#  hash:/etc/postfix/sender_access

#FIN NDA```

Merci
#5

Pourrais tu éditer ton post et encadrer le contenu du fichier avec 3 ` (altgr+7) avant et aprés, pour avoir une mise en forme correcte ?
Désolé, là comme ça, c’est illisible.

#6

c’est bon Merci

#7

Alors rien qui me saute aux yeux dans ton main.cf mais plutôt dans ce que je n’y vois pas:
smtpd_sasl_security_options = noanonymous
Normalement, c’est la valeur par défaut, donc l’absence de ce paramétre ne devrait rien changer, mais vérifies que c’est bien configuré comme ça avec postconf smtpd_sasl_security_options
Parceque si ça accepte l’anonymous, partout ou tu mets permit_sasl_authenticated, tu ouvres la porte aux spammers.

#8

Bonsoir mattotop,
si je comprend bien , je dois avoir cette ligne dans mon fichier main.cf ? smtpd_sasl_security_options = noanonymous
eaasye d’etre plus explicite car je suis un debutant sur linux .
Merci

#9

C’est pas du linux, c’est de l’administration du postfix, en fait.

Quand on en est au débugage, la config postfix réelle est plus facile à vérifier/manipuler avec postconf qu’en éditant le fichier de config, je pense.

Donc, si tu tapes postconf smtpd_sasl_security_options en ligne de commande root, ça va t’indiquer la valeur actuelle du paramètre smtpd_sasl_security_options de postfix.

Chez moi, c’est ça:

root@emeraude:~# postconf smtpd_sasl_security_options
smtpd_sasl_security_options = noanonymous

Et du coup, s’il y a besoin de changer juste ce paramètre pour tester, tu le changes avec postconf smtpd_sasl_security_options=noanonymous, ça va modifier le main.cf pour toi.

Bon, mais ça, c’était pour l’exemple, tu peux vérifier ce paramètre, mais je pense que je me suis trompé, et qu’il est déjà en noanonymous

En fait, pourrais tu fournir le résultat de la commande postconf -nf, pour voir l’ensemble des paramètres réels de ton postfix (plutôt que le fichier de config).