Forum Linux.général Postfix : forcer l'authentification des expéditeurs

Posté par gepolabo le 04 avril 2018 à 23:31. Licence CC By‑SA.

Étiquettes :

avr.

2018

Bonjour,

jusqu'à très récemment, mon serveur postfix ne me causait pas trop de soucis : il n'était pas en relai ouvert (j'utilisais dovecot et sasl pour envoyer des courriers sur d'autres domaines)

Mais une de mes adresses s'est retrouvée dans la nature. Et depuis quelques temps, je me retrouve avec des spams avec mon adresse (toto@example.com) comme expéditeur ET comme destinataire.

C'est très génant…

J'avais blindé le relai vers l'extérieur, mais pas vers moi…

Auriez-vous une idée qui pourrait résoudre ce problème ? Une meilleure configuration ? (je pensais conditionner l'envoi de courrier à une authentification obligatoire, mais j'ai bloqué roundcube)

Merci de vos pistes,
Bonne journée

# Etrange

Posté par seb le 05 avril 2018 à 08:50. Évalué à 1.

salut,

J'ai le même problème depuis quelques jours seulement.
J'utilise Spamassassin et il considère bien le mail comme du spam.
Dans les mails que je reçois, j'ai un signature DKIM qui n'est pas la bonne donc je pense que ça bloque avec la source.

Mais j'ai pas encore de solution.
- [^] # Re: Etrange
  
  Posté par gepolabo le 05 avril 2018 à 08:57. Évalué à 1.
  
  Merci de ton témoignage, je me sens moins seul.
  
  J'ai déjà bloqué les IP, mais le message est tellement court (avec juste un prénom de femme comme Objet), répétitif que cela me semble une très grosse vague de spam.
  
  J'avais également pensé à Spamassassin ; je crois que je ne vais plus pouvoir repousser son installation.
# Clarification

Posté par 🚲 Tanguy Ortolo (site web personnel) le 05 avril 2018 à 11:56. Évalué à 3.

Je ne suis pas sûr de bien comprendre. Le problème est que quelqu'un usurpe ton adresse, et envoie des messages en l'utilisant comme MAIL FROM ou comme From, dans des messages qu'il envoie, n'est-ce pas ?

La solution, dans ce genre de cas, va être de publier une politique SPF (pour signaler aux destinataires qu'ils doivent refuser le courrier avec un MAIL FROM de chez toi, s'il provient d'une autre adresse IP que celle de ton serveur), de mettre en place une vérification SPF (pour toi-même refuser un tel courrier). Ça, c'est pour éviter les usurpations de MAIL FROM.

Ensuite, tu peux mettre en place une signature et une vérification DKIM, et publier une politique DMARC, de façon à éviter les usurpations de From.
- [^] # Re: Clarification
  
  Posté par gepolabo le 05 avril 2018 à 12:30. Évalué à 1. Dernière modification le 05 avril 2018 à 12:35.
  Voici le genre de message que je reçois
```
Return-Path: <compte@domaine.fr>
X-Original-To: compte@domaine.fr
Delivered-To: compte@domaine.fr
Received: from [203.177.131.3] (unknown [203.177.131.3])
    by machine.domaine.fr (Postfix) with ESMTP id 9BB19340074
    for <compte@domaine.fr>; Wed,  4 Apr 2018 22:53:56 +0200 (CEST)
From: <compte@domaine.fr>
To: <compte@domaine.fr>
Subject: Anna
Date: 5 Apr 2018 11:35:51 +0700
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_002D_01D3CC9A.052096D3"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: Acpyap79mji1v3fnpyap79mji1v3fn==
Content-Language: en-us
```
  Donc je pense que mon serveur
  - reçoit un FROM qu'il connait (puisque de son domaine)
  - et l'envoie
  Mais comme j'ai configuré pour ne pas avoir un relai ouvert, les envois vers les domaines extérieurs échouent en raison d'un échec d'authentification.
  
  Or je n'avais rien mis pour protéger mon domaine ; je pensai que le système de relai (SASL avec dovecot et postfix) mis en place suffisait.
  
  Et là, je ne réussis pas à mettre la bonne configuration pour également forcer une authentification pour les envois à mon propre domaine (la fois où j'ai réussi, j'ai bloqué roundcube).
# Forcer l'authentification

Posté par chimrod (site web personnel) le 05 avril 2018 à 11:59. Évalué à 2.
Il est assez facile de mettre en place un système d'authentification, tu peux regarder la page dédiée pour te faire une idée des solutions disponibles (authentification conjointe avec dovecot, etc)

Auriez-vous une idée qui pourrait résoudre ce problème ? Une meilleure configuration ? (je pensais conditionner l'envoi de courrier à une authentification obligatoire, mais j'ai bloqué roundcube)

Avec ces options, cela devrait passer (tu autorises l'envoi depuis le réseau local sans authentification) :
```
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
smtpd_relay_restrictions = … permit_mynetworks …
```
- [^] # Re: Forcer l'authentification
  
  Posté par gepolabo le 05 avril 2018 à 12:31. Évalué à 1.
  
  Je vais essayer ta proposition tout à l'heure.
- [^] # Re: Forcer l'authentification
  
  Posté par seb le 05 avril 2018 à 14:09. Évalué à 1.
  
  Merci pour l'info, je test aussi!
- [^] # Re: Forcer l'authentification
  
  Posté par gepolabo le 06 avril 2018 à 08:17. Évalué à 1.
  
  Après essais : ça marche (authentification obligatoire pour envoyer un courriel, quelle que soit l'adresse d'envoi).
  
  Je n'ai plus qu'à installer spamassassin.
  
  Merci pour la réponse
- [^] # Re: Forcer l'authentification
  
  Posté par seb le 06 avril 2018 à 15:07. Évalué à 1.
  Salut,
  
  Alors sachant que j'utilise déjà l'authentification pour envoyer, un simple ajout de
```
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
```
  fonctionne à merveille !
  
  Merci beaucoup !
# si aucun mail de ton domaine ne vient de l'extérieur...

Posté par vecounix le 05 avril 2018 à 21:30. Évalué à 1.

un smtp_sender_restriction devrait faire l'affaire :

1) permit my networks

2) reject my domain

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.