[ posté une première fois par erreur sur fciw.serveurs ]

Bonjour,

J'ai un serveur Postfix chez moi (adsl Free) et il semble que cette
nuit un spammeur l'ait utilisé pour envoyer ses saletés.

J'ai des trucs du style :

Mar 26 20:55:39 leon postfix/smtpd[5763]: AE72616B70: client=cable-111-89.zeelandnet.nl[82.176.111.89]
Mar 26 20:55:40 leon postfix/cleanup[5765]: AE72616B70: message-id=<003a01c65172$cbae6f44$d1ae0b31@uisem>
Mar 26 20:55:40 leon postfix/nqmgr[2595]: AE72616B70: from=<xxxxx@eudoramail.com>, size=707, nrcpt=1 (queue active)
Mar 26 20:55:47 leon postfix/smtp[5767]: AE72616B70: to=<xxxxxxxxx@voliacable.com>, relay=mail.voliacable.com[82.144.192.38], delay=8, status=sent (250 OK id=1FNaOw-00045O-Nq)

leon$ grep -c 'client=cable-111-89.zeelandnet.nl' maillog
6396

Après, ma partition /var s'est remplie.

Je croyais pourtant avoir une config propre. J'ai d'ailleurs refait
tourner ce matin quelques tests en ligne, je ne suis pas relais
ouvert.

Mais alors, comment ce salopard est passé ?

Postfix 2.0.18 package RedHat. Version trop ancienne peut-être ?

--
Mog

Le Mon, 27 Mar 2006 14:07:59 +0200, Didier Couderc écrivit:
> Je croyais pourtant avoir une config propre. J'ai d'ailleurs
> refait tourner ce matin quelques tests en ligne, je ne suis
> pas relais ouvert.
> Mais alors, comment ce salopard est passé ?

A mon avis, à cause d'une config pas propre, mais il faudrait
nous montrer les fichiers de confs pour ça. Au moins les morceaux
type mynetworks, smtpd_client...

> Postfix 2.0.18 package RedHat. Version trop ancienne peut-être ?

Non, rien de particulier là-dessus.



Arnaud.
--
Perso: http://launay.org/dotclear/
Hébergement: http://www.nocworld.com/

Arnaud Launay <asl@launay.org> writes:

> A mon avis, à cause d'une config pas propre, mais il faudrait
> nous montrer les fichiers de confs pour ça. Au moins les morceaux
> type mynetworks, smtpd_client...

Ouch ! Bingo. J'avais pas positionné mynetworks et :

leon$ /usr/sbin/postconf | egrep mynetworks
authorized_verp_clients = $mynetworks
mynetworks = 127.0.0.0/8 192.168.2.0/24 82.0.0.0/8 10.8.0.6/32
mynetworks_style = subnet

Merci beaucoup pour le coup de main.

--
Mog

Le Lundi 27 mars 2006 à 12:57 UTC, Didier Couderc écrivait sur
fr.comp.mail.serveurs :

> mynetworks = 127.0.0.0/8 192.168.2.0/24 82.0.0.0/8 10.8.0.6/32
^^^^^^^^^^
Ce doit être ça le problème.

@+
--
Gérald Niel
<news:lj0d12dt9nii0bu96j5qo06q3a2sb82sbu@neottia.n et>

Dans le message :slrne2g8q9.bk.gniel@pomme.gegeweb.org,
Gérald Niel a écrit:
> Le Lundi 27 mars 2006 à 12:57 UTC, Didier Couderc écrivait sur
> fr.comp.mail.serveurs :
>
>> mynetworks = 127.0.0.0/8 192.168.2.0/24 *82.0.0.0/8* 10.8.0.6/32
> ^^^^^^^^^^
> Ce doit être ça le problème.

Je dirais même plus, C'EST ça ;-))

Coller un réseau public de classe A en relais autorisé, c'est carément du
suicide. Je ne sais même pas si un seul FAI possède une classe entière ... ?
Je conseille à Didier de virer ça de suite et à être dans l'avenir beaucoup
beaucoup plus restrictif !!

S'il compte utiliser un 82.67.212.0/24 (les IP sur la même passerelle que
lui) je déconseille également.
J'en suis dans les mois écoulés à au moins deux tentatives de relay de la
part de tels "voisins" !!! Même si ça n'est pas beaucoup, c'est suffisant
pour aller dans le mur en cas de soucis.

Si le but est d'autoriser un ou deux "voisins" à utiliser ton serveur de
mail alors profite du fait que les IP de freebox sont fixes pour les rentrer
explicitement ! (Et même s'il faut en rentrer une douzaine à la main ça sera
toujours mieux ;-D )

--
Eric
Reply-to valide, laissez tel quel !
Texte brut vivement conseillé !!

Dans le message :slrne2g8q9.bk.gniel@pomme.gegeweb.org,
Gérald Niel a écrit:
> Le Lundi 27 mars 2006 à 12:57 UTC, Didier Couderc écrivait sur
> fr.comp.mail.serveurs :
>
>> mynetworks = 127.0.0.0/8 192.168.2.0/24 *82.0.0.0/8* 10.8.0.6/32
> ^^^^^^^^^^
> Ce doit être ça le problème.

Je dirais même plus, C'EST ça ;-))

Coller un réseau public de classe A en relais autorisé, c'est carément du
suicide. Je ne sais même pas si un seul FAI possède une classe entière ... ?
Je conseille à Didier de virer ça de suite et à être dans l'avenir beaucoup
beaucoup plus restrictif !!

S'il compte utiliser un 82.67.212.0/24 (les IP sur la même passerelle que
lui) je déconseille également.
J'en suis dans les mois écoulés à au moins deux tentatives de relay de la
part de tels "voisins" !!! Même si ça n'est pas beaucoup, c'est suffisant
pour aller dans le mur en cas de soucis.

Si le but est d'autoriser un ou deux "voisins" à utiliser ton serveur de
mail alors profite du fait que les IP de freebox sont fixes pour les rentrer
explicitement ! (Et même s'il faut en rentrer une douzaine à la main ça sera
toujours mieux ;-D )

--
Eric
Reply-to valide, laissez tel quel !
Texte brut vivement conseillé !!

Le Tue, 28 Mar 2006 09:54:37 +0200, Eric PETIT a écrit:

> Dans le message :slrne2g8q9.bk.gniel@pomme.gegeweb.org,
> Gérald Niel a écrit:
>> Le Lundi 27 mars 2006 à 12:57 UTC, Didier Couderc écrivait sur
>> fr.comp.mail.serveurs :
>>
>>> mynetworks = 127.0.0.0/8 192.168.2.0/24 *82.0.0.0/8* 10.8.0.6/32
>> ^^^^^^^^^^
>> Ce doit être ça le problème.
>
> Je dirais même plus, C'EST ça ;-))

[...]

Pour information, on peut regarder :

<http://en.wikipedia.org/wiki/Subnet_address>


Jacques

"Eric PETIT" <bidon-news@petit-ecran.net.invalid> writes:

> Dans le message :slrne2g8q9.bk.gniel@pomme.gegeweb.org,
> Gérald Niel a écrit:
>> Le Lundi 27 mars 2006 à 12:57 UTC, Didier Couderc écrivait sur
>> fr.comp.mail.serveurs :
>>
>>> mynetworks = 127.0.0.0/8 192.168.2.0/24 *82.0.0.0/8* 10.8.0.6/32
>> ^^^^^^^^^^
>> Ce doit être ça le problème.
>
> Je dirais même plus, C'EST ça ;-))

Yep !

> Coller un réseau public de classe A en relais autorisé, c'est carément du
> suicide. Je ne sais même pas si un seul FAI possède une classe entière ... ?
> Je conseille à Didier de virer ça de suite et à être dans l'avenir beaucoup
> beaucoup plus restrictif !!

C'était pas volontaire, loin de là (tout ce qui concerne mynetworks
était en commentaire dans main.cf).
Ce qui me fait froid dans le dos, c'est que ça fait presque deux ans
que je tourne comme ça. Je ne pense pas avoir exploité "massivement"
(je l'aurais repéré dans les rapports de LogWatch) mais un petit malin
modeste aurait pu me faire relayer une douzaine de mails par jour,
j'aurais sans doute pas vu.

> S'il compte utiliser un 82.67.212.0/24 (les IP sur la même passerelle que
> lui) je déconseille également.
> J'en suis dans les mois écoulés à au moins deux tentatives de relay de la
> part de tels "voisins" !!! Même si ça n'est pas beaucoup, c'est suffisant
> pour aller dans le mur en cas de soucis.

Je m'en étais naïvement remis à des tests en ligne, qui travaillent
depuis des IP autres que 82.x et donc me répondaient que j'étais
clean.

> Si le but est d'autoriser un ou deux "voisins" à utiliser ton serveur de
> mail alors profite du fait que les IP de freebox sont fixes pour les rentrer
> explicitement ! (Et même s'il faut en rentrer une douzaine à la main ça sera
> toujours mieux ;-D )

Non, non, même pas. J'ai juste deux PC sur mon réseau et je ne relaie
pour personne d'autre.

--
Mog

"Eric PETIT" <bidon-news@petit-ecran.net.invalid> writes:

> Dans le message :slrne2g8q9.bk.gniel@pomme.gegeweb.org,
> Gérald Niel a écrit:
>> Le Lundi 27 mars 2006 à 12:57 UTC, Didier Couderc écrivait sur
>> fr.comp.mail.serveurs :
>>
>>> mynetworks = 127.0.0.0/8 192.168.2.0/24 *82.0.0.0/8* 10.8.0.6/32
>> ^^^^^^^^^^
>> Ce doit être ça le problème.
>
> Je dirais même plus, C'EST ça ;-))

Yep !

> Coller un réseau public de classe A en relais autorisé, c'est carément du
> suicide. Je ne sais même pas si un seul FAI possède une classe entière ... ?
> Je conseille à Didier de virer ça de suite et à être dans l'avenir beaucoup
> beaucoup plus restrictif !!

C'était pas volontaire, loin de là (tout ce qui concerne mynetworks
était en commentaire dans main.cf).
Ce qui me fait froid dans le dos, c'est que ça fait presque deux ans
que je tourne comme ça. Je ne pense pas avoir exploité "massivement"
(je l'aurais repéré dans les rapports de LogWatch) mais un petit malin
modeste aurait pu me faire relayer une douzaine de mails par jour,
j'aurais sans doute pas vu.

> S'il compte utiliser un 82.67.212.0/24 (les IP sur la même passerelle que
> lui) je déconseille également.
> J'en suis dans les mois écoulés à au moins deux tentatives de relay de la
> part de tels "voisins" !!! Même si ça n'est pas beaucoup, c'est suffisant
> pour aller dans le mur en cas de soucis.

Je m'en étais naïvement remis à des tests en ligne, qui travaillent
depuis des IP autres que 82.x et donc me répondaient que j'étais
clean.

> Si le but est d'autoriser un ou deux "voisins" à utiliser ton serveur de
> mail alors profite du fait que les IP de freebox sont fixes pour les rentrer
> explicitement ! (Et même s'il faut en rentrer une douzaine à la main ça sera
> toujours mieux ;-D )

Non, non, même pas. J'ai juste deux PC sur mon réseau et je ne relaie
pour personne d'autre.

--
Mog

"Eric PETIT" <bidon-news@petit-ecran.net.invalid> écrivait:

> Si le but est d'autoriser un ou deux "voisins" à utiliser ton serveur de
> mail alors profite du fait que les IP de freebox sont fixes pour les rentrer
> explicitement ! (Et même s'il faut en rentrer une douzaine à la main ça sera
> toujours mieux ;-D )

Ou alors carrément mettre en place smtp-auth.

--
Si vous embauchez, voici mon CV
http://www.rail.eu.org/cv/cv.pdf

"Eric PETIT" <bidon-news@petit-ecran.net.invalid> écrivait:

> Si le but est d'autoriser un ou deux "voisins" à utiliser ton serveur de
> mail alors profite du fait que les IP de freebox sont fixes pour les rentrer
> explicitement ! (Et même s'il faut en rentrer une douzaine à la main ça sera
> toujours mieux ;-D )

Ou alors carrément mettre en place smtp-auth.

--
Si vous embauchez, voici mon CV
http://www.rail.eu.org/cv/cv.pdf