Directory Harvesting et check_helo_access
Par Yannick le mardi, 14 juin 2005, 23:34 - Spam/Virus - Lien permanent
Même si le destinataire n'existe pas, le message est bloqué au moment du RCPT TO par le paramêtre postfix "check_helo_access" qui contient mes noms de domaines et mes Ips publiques...
Ceci permet de rejeter les machines qui envoient notre domaine ou notre IP en paramêtre HELO.
La RFC indique d'utiliser en paramêtre le nom FQDN de la machine émettrice (ou son IP entre crochet). Qui d'autre que mon serveur peut avoir ma propre IP ?
(mes serveurs internes sont autorisé avant le check_helo_access par le paramêtre mynetworks...
Merci a tous les spammeurs et codeurs de virus qui utilisent des moteurs SMTP qui ne respectent pas les Rfcs..
Avec ce bloquage HELO, pas de risque de false positive...
On peut noter:
- les destinataires dans l'ordre alphabétique (on est en plein dans les b)
- le MAIL FROM change en cours..
- Ip koréenne
A noter que Postfix rajoute par défaut un délai de 1 seconde pour chaque nouvelle erreur au bout de 10 erreurs, puis au bout de 20 erreurs, il coupe la session SMTP...
Jun 9 15:21:26 NomMachine postfix/smtpd-27461-: connect from unknown-211.105.250.100-
Jun 9 15:21:28 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<braun@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:28 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<brewer@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:29 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<brewster@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:29 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<bried@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:30 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<britton@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:30 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<broussard@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:31 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<gecgxv7sxezj@halifax.com> to=<bruno@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:32 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<sjtmww27jn@servint.com> to=<bryson@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:33 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<sjtmww27jn@servint.com> to=<bullard@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:33 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<sjtmww27jn@servint.com> to=<bunch@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:34 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<sjtmww27jn@servint.com> to=<burger@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:35 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<sjtmww27jn@servint.com> to=<burgess@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:37 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=<sjtmww27jn@servint.com> to=<burgos@MonDomaine.tld> proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:39 NomMachine postfix/smtpd-27461-: disconnect from unknown-211.105.250.100-
Commentaires
bravo pour ton blog et tes astuces...
dis moi,tu sembles bien connaitre postfix, j ai une question sans doute bateau qui me turlupine.
dans un envoi de messages, je divulgue trop d infos selon moi, ie les noms duser de mes utilisateurs unix,as tu un remède( l ideal etant pour moi de n authoriser que des alias d utilisateurs à envoyer du courrier pour pas retrouver le nom d user dasn les entetes)
en outre, comment configurer postfix pour empecher qu un spammeur a defaut d utiliser mon serveur comme relais m innonde de courriers( voire de virus en pieces jointes) en s identifiant dans "mail from" comme de mon domaine....
merci pour tes eventuels conseils
Merci pour tes encouragements.. :)
-Pour la 1ère question, je t'avoue ne pas avoir tout compris.. peux tu préciser en donnant un exemple concret ?
-Pour la 2ème question:
Dans le main.cf, sous le paramètre
smtpd_recipient_restrictions =
[...]
[espace] permit_mynetworks
[espace] check_sender_access hash:/etc/postfix/access_sender_check
[...]
Attention à bien mettre check_sender_access *après* permit_mynetworks pour ne pas rejeter les serveurs internes
le fichier /etc/postfix/access_sender_check ressemble à:
mondomaine.tld [espace] REJECT Spoof Texte que tu veux
(Ne pas oublier de "postmapper" le fichier puis de "reloader" Postfix)
Attention si tu testes en telnet, le rejet s'effectue après le RCPT TO..
Cela donne depuis une IP non présente dans mynetworks:
554 <sdfsdf@mondomaine.tld>: Sender address rejected: Spoof