Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 14/04/2008, à 11:05

Philippe.proux

Question/problême accès Postfix

Bonjour, j'ai recemment ajouté SASL/TLS sur un serveur Postfix/Amavisd/Spamassassin afin de pouvoir envoyer des mails de l'exterieur de façon sécurisé.

Ainsi maintenant, il faut etre authentifié pour envoyer des mail en dehors du domain de postfix et le serveur recois sans probleme les mails à destination de son domaine.

Le probleme est qu'il n'y a pas besoin d'être authentifié pour envoyer des mails, via le serveur, vers le domaine de postfix. Du coup, n'importe qui peut envoyer des mails directement à des gens de l'entreprise en ce fesant passer pour qui ils veulent.

Le problême, selon moi, viendrait d'ici : 'smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination', le reject_unauth_destination laissant passer tout les mails à destination du domaine (ce qui est bien, sauf dans le cas ou c'est un 'envoi' et non une 'reception').

Seulement, je ne trouve pas la solution !

#2 Le 14/04/2008, à 11:26

Uggy

Re : Question/problême accès Postfix

Philippe.proux a écrit :

Le probleme est qu'il n'y a pas besoin d'être authentifié pour envoyer des mails, via le serveur, vers le domaine de postfix.

Oui c'est le principe... pour pouvoir recevoir des mails...

Philippe.proux a écrit :

Du coup, n'importe qui peut envoyer des mails directement à des gens de l'entreprise en ce fesant passer pour qui ils veulent.

Oui c'est propre au protocole SMTP qui n'implémente pas de base, de protection antiSpoofing.


Philippe.proux a écrit :

Le problême, selon moi, viendrait d'ici : 'smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination', le reject_unauth_destination laissant passer tout les mails à destination du domaine (ce qui est bien, sauf dans le cas ou c'est un 'envoi' et non une 'reception').
Seulement, je ne trouve pas la solution !

Je te déconseille de toucher a smtpd_recipient_restrictions.

Qu'est ce que tu souhaites faire ?
Rejeter les mails spoofés ? -> Implémente du SPF.

Hors ligne

#3 Le 14/04/2008, à 12:04

Philippe.proux

Re : Question/problême accès Postfix

Merci, je vais me renseigner sur le SPF.

Mais n'est t'il pas possible pour postfix de n'envoyer les mails que des personnes qui s'authentifient ? (que ce soit des mail envoyé vers le domaine de postfix ou un autre domaine).

#4 Le 14/04/2008, à 12:52

tekpi

Re : Question/problême accès Postfix

Salut,

la variable mynetworks est censé jouer ce role normalement, par contre, je ne sais pas si elle est bypassée en cas de requête au domaine de ton main.cf...

S'il n'y a pas "d'anti-spoofing" dans le protocole SMTP, ça risque d'être compliqué alors.

Je tenterai à ta place un check_sender_access dans le smtpd_recipient_restrictions

Je ne vois pas comment plus t'orienter et je ne suis pas sur que cela fonctionne, encore une fois par rapport au protocole Smtp...

La théorie, c'est quand on sait tout et que rien ne fonctionne. La pratique, c'est quand tout fonctionne et que personne ne sait pourquoi. Ici, nous avons réuni théorie et pratique : Rien ne fonctionne... et personne ne sait pourquoi

Hors ligne

#5 Le 14/04/2008, à 14:10

Philippe.proux

Re : Question/problême accès Postfix

check_sender_access type:table
Search the specified access(5) database for the MAIL FROM address, domain, parent domains, or localpart@, and execute the corresponding action.

En faisant ca, du coup les gens ne pourront envoyer des mails que s'ils sont dans le fichier spécifié dans check_sender_access (ce qui est bien mais n'empeche toujours pas de 'prendre' ces addresses illégalement) mais cela ne signifie t'il pas aussi que le serveur n'accepterais plus les mails de yahoo, gmail etc... ?

#6 Le 14/04/2008, à 14:47

toniotonio

Re : Question/problême accès Postfix

quand tu dis qu'ils peuvent se faire passer pour n'importe qui, tu veux dire qu'ils peuvent se faire passer pour qqun  de ton domaine ou bien d'un autre domaine.
car dans le premier cas c'est controlable
dans le 2eme comme le dit uggy le spf peut t'aider, mais ce n'est pas une assurance.

Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com

Hors ligne

#7 Le 14/04/2008, à 15:26

Philippe.proux

Re : Question/problême accès Postfix

Avec ma config actuelle, n'importe qui peut envoyer des mails, en se faisant passer pour n'importe qui, à quelqu'un de mon domaine. (Alors que l'auth(SASL/TLS) marche bien pour les autre cas de figures)

Dans un premiers temps, ce qui m'interresserai c'est que personne ne puisse usurper l'identité (le mail quoi tongue) d'une personne de mon domaine.

#8 Le 14/04/2008, à 15:45

toniotonio

Re : Question/problême accès Postfix

ci dessous un debut d'antispoofing pour le mailfrom qui empeche un client externe de specifier ton domaine en mailfrom


smtpd_recipient_restrictions =
	    reject_non_fqdn_recipient,
	    reject_unknown_sender_domain,
	    reject_non_fqdn_sender,
	    reject_unknown_recipient_domain,
	    reject_invalid_helo_hostname,
	    reject_unlisted_recipient,
 	    reject_unlisted_sender,
	    permit_mynetworks,
	    permit_sasl_authenticated,
	    reject_non_fqdn_helo_hostname,
	    reject_unauth_destination,
	    check_sender_access hash:/etc/postfix/not_our_domain_as_sender,
	    permit

/etc/postfix/not_our_domain_as_sender

ton.domaine.com      554 You are not in our domain

les clients autorisés à relayer sont ceux dans mynetworks et ceux authentifiés en SASL
==> ils peuvent envoyer vers tous les domaines. (meme le tien bien sur)

Pour les clients externes au lan et/ou NON authentifiés SASL, ils passent à l'acl suivante
c'est a dire : reject_unauth_destination, qui les empechera de specifier un domaine autre que le tien en recipient (si ils le font ils obtiendront relay access denied)

si ils specifient bien ton domaine en recipient alors ils passent a un check sender (on verifie le mailfrom)
on regarde si ils presentent un mailfrom avec ton domaine.

si oui on rejette car on part du principe que les gens autorisés à envoyer un mail avec ton domaine l'ont deja fait plus haut.
si non on passe à l'acl suivante donc permit, le message est livré dans ton domaine.

C'est hyper basique, et surtout cela ne concerne que les clients en dehors de ton lan et non authentifiés.
avec cette simple regle tu empeches un inconnu d'indiquer ton domaine en mailfrom.

Mais il est aussi utile de faire de meme pour les users internes (ceux du lan et/ou authentifiés SASL), mais ce n'est pas ton besoin d'apres ce que tu dis.

Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com

Hors ligne

#9 Le 14/04/2008, à 16:05

Philippe.proux

Re : Question/problême accès Postfix

Okay super, c'est ce que je cherchais.
Merci bien, je vais tester ca.

Pages : 1