Bonsoir,
Pour le compte de mon entreprise, j'ai mis en place un serveur de messagerie sous Debian avec Postfix+Dovecot+rainloop.
J'ai suivi un tuto en ligne. Actuellement il fonctionne (il me manque encore le TLS, SPF, DKIM, je continue de chercher de bons tuto) au cours du tuto, pour tester postfix, l'auteur nous demande de faire un "mailq", ce qui affichait "pas de message" ou un truc du genre. Mais maintenant, je vois ceci:
73CB61DCB 2795 Tue Jun 12 09:12:23 MAILER-DAEMON
(host mailstore1.secureserver.net[68.178.213.243] refused to talk to me: 421 p3plibsmtp02-15.prod.phx3.secureserver.net bizsmtp Temporarily rejected. Reverse DNS for 213.179.181.19 failed. IB108 http://x.co/srbounce)
zlbphbfu@mjvy.com91CA51E8A 3327 Wed Jun 13 17:01:33 MAILER-DAEMON
(connect to nzdb.com[202.208.222.48]:25: Connection timed out)
lxssgtfnx@nzdb.com9141F1E76 3305 Tue Jun 12 21:56:03 MAILER-DAEMON
(lost connection with jdmo.net[68.178.213.61] while receiving the initial server greeting)
gtmqbfrfq@jdmo.net811DF8F9 3596 Mon Jun 11 21:20:50 MAILER-DAEMON
(host mx00.1and1.com[74.208.5.3] refused to talk to me: 421-perfora.net (mxeueus004) Nemesis ESMTP Service not available 421 Requested action aborted: local error in processing)
bsgfg@sahv.com
La liste est plus longue. Je ne comprends pas, "mailq" => mail queue => courrier en attente d'être envoyé, mais là ça a raté, comme ci quelqu'un ou quelque chose essayait d'envoyer des emails depuis mon serveur.
Je me fais des films?? Merci.
# Open Relay Test
Posté par paulez (site web personnel) . Évalué à 1.
J'utilise https://mxtoolbox.com/diagnostic.aspx pour vérifier que mon serveur SMTP n'est pas un open relay.
# les logs
Posté par seb . Évalué à 1.
Salut,
en root journalctl -f tu verras l'activités en direct (très verbeux) mais tu auras plus d'infos qu'avec mailq.
# Je pense pas ... mais pas assez d'infos !
Posté par LaBienPensanceMaTuer . Évalué à 3.
Alors, voyons les messages au cas par cas:
Ca c'est le serveur en face qui t'envoie bouler parce que, vraisemblablement, tu n'as pas de reverse DNS associé à ton IP.
Cette vérification est souvent mise en place pour lutter contre le spam.
Pour être "bien", il faut qu'un dig -x <ton ip> donne un nom DNS valide et surtout renseigné comme étant MX sur le domaine.
De mon point de vue ces mails sont générés parce que, à un moment, tu as accepté des emails pour un user qui n'existait pas sur ton domaine.
Ton postfix a donc généré des MAILER-DAEMON pour l'expéditeur … qui était vraisemblablement un expéditeur bidonné, sur un domaine ou les serveurs de mails sont soit inexistants (le connection timeout du premier) soit fatigué (les autres).
Après, sur l'unique base de ces logs, c'est compliqué de dire ce qui c'est réellement passé.
Pour bien faire, il faudrait que tu recherches toutes les occurences des domaines incriminés (jdmo.net, nzdb.com) dans tes logs pour déterminer ce qui a provoquer la génération des MAILER-DAEMON….
# réponse
Posté par parazitenew . Évalué à 0.
Bonjour,
d'après l'outil, tout est OK, sauf le reverse DNS. Donc je devrais être tranquille. Mais en affichant le journal; avec la commande envoyée par @srayneau, je vois des trucs bizarre comme:
Il est clair que c'est gens qui essayent de se connecter en ssh non?
pour le SMTP, c'est toujours les même lignes avec les adresses générées.
@Gérald, j'ai trouvé dans la boite Maildir/new de l'utilisateur linux, des e-mails automatisés, en plus de ceux que j'envoyais lors de mes testes. Des e-mail envoyés à root par root(cron daemon), le contenu est:
c'est désactivable?
[^] # Re: réponse
Posté par Jack DeNoumea (site web personnel) . Évalué à 2.
Bonjour,
Cron envoie par mail tout ce qui sortirai à l'affichage dans un terminal. Si tu ne le veux pas, il faut rediriger ces flux dans un fichier ou dans /dev/null
[^] # Re: réponse
Posté par kna . Évalué à 3.
Oui. C'est commun sur un serveur SSH accessible publiquement, généralement des bots.
Assures-toi simplement d'utiliser des bons mots de passe, ou mieux, d'autoriser uniquement l'accès SSH avec une clé.
Pour éviter de pourrir tes logs, tu peux :
- firewaller le port SSH pour autoriser certaines adresses ;
- bloquer les adresses qui font trop d'auth fail avec par exemple fail2ban ;
- changer le port d'écoute de SSH - je conseille quand même de rester sur un port privilégié (<1024) ;
- faire du port knocking.
[^] # Re: réponse
Posté par Kerro . Évalué à 3.
Pour quelle raison ?
[^] # Re: réponse
Posté par kna . Évalué à 4.
Pour éviter qu'un utilisateur puisse mettre un faux service en écoute sur le port et capturer mots de passe et autres joyeusetés.
Je concède qu'en pratique, ça s'avère assez difficile :
* il y a normalement déjà le vrai service en écoute, donc le port sera occupé (à moins de trouver un moyen de le stopper, ou d'attraper une fenêtre ou il redémarre) ;
* il n'a pas accès aux clés du serveur, donc le client renverra une alerte si ce n'est pas sa première connexion.
# proposition de tuto
Posté par Ericounet . Évalué à 1.
Bonjour,
j'ai un tuto en cours d"écriture sur l'installation d'un serveur sécurisé, avec partie serveur mail quasi terminée. Ce n'est pas un tuto à suivre , mais un tuto avec explications et tests à chaque étape; il n'est pas finalisé, mais la partie écrite marche parfaitement (testée sur 2 serveurs). Je peux vous l'envoyer en l'état. Mon adresse émail est dispo sur ma page web Le Yojik, page contact. (site complètement sans pub ni traceurs ou autres joyeusetés )
Eric
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.