Un simple

telnet relay-test.mail-abuse.org

initie une demande de tests anti-relais SMTP sur votre IP..

Il n’y a peut etre pas toutes les combinaisons de tests possibles mais c’est quand même bien pratique pour se rassurer ou rassurer le client prudent chez qui vous venez d’installer un serveur SMTP…
On peut voir en temps réel les tests effectués ainsi que les réponses de notre serveur..
Logiquement le test doit se conclure par:

System appeared to reject relay attempts

La même en HTTP: http://www.abuse.net/relay.html

Grep permet de coloriser sa sortie avec le paramètre suivant

grep --color=always

Pour ne pas taper --color=always à chaque fois, on peut rajouter un alias dans le fichier .bashrc

alias grep='grep --color=always'

grepcolor23072005

Pour rendre plus lisible la sortie de la commande man en y ajoutant de la couleur, on peut effectuer la manip suivante qui consiste a utiliser la commande most au lieu de less lors d’un man:

sudo apt-get install most  
export PAGER=`which most`

Pour fixer la valeur PAGER définitivement

sudo vi /etc/security/pam_env.conf

puis modifier pour avoir les lignes

#PAGER DEFAULT=less  
PAGER DEFAULT=most

Voilà le résultat:

mancolor23072005

Même si le destinataire n’existe pas, le message est bloqué au moment du RCPT TO par le paramêtre postfix check_helo_access qui contient mes noms de domaines et mes Ips publiques…

Ceci permet de rejeter les machines qui envoient notre domaine ou notre IP en paramêtre HELO.

La RFC indique d’utiliser en paramêtre le nom FQDN de la machine émettrice (ou son IP entre crochet). Qui d’autre que mon serveur peut avoir ma propre IP ? (mes serveurs internes sont autorisés avant le check\_helo\_access par le paramêtre mynetworks

Merci à tous les spammeurs et codeurs de virus qui utilisent des moteurs SMTP qui ne respectent pas les RFCs..
Avec ce bloquage HELO, pas de risque de false positive…

On peut noter dans le log ci-dessous:

  • les destinataires dans l’ordre alphabétique (on est en plein dans les b)

  • le MAIL FROM change en cours..

  • Ip koréenne

A noter que Postfix rajoute par défaut un délai de 1 seconde pour chaque nouvelle erreur au bout de 10 erreurs, puis au bout de 20 erreurs, il coupe la session SMTP…

Jun 9 15:21:26 NomMachine postfix/smtpd-27461-: connect from unknown-211.105.250.100-  
Jun 9 15:21:28 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=braun@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:28 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=brewer@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:29 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=brewster@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:29 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=bried@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:30 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=britton@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:30 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=broussard@MonDomaine.tld proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:31 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=bruno@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:32 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=sjtmww27jn@servint.com to=bryson@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:33 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=sjtmww27jn@servint.com to=bullard@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:33 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=sjtmww27jn@servint.com to=bunch@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:34 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=sjtmww27jn@servint.com to=burger@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:35 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=sjtmww27jn@servint.com to=burgess@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:37 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=sjtmww27jn@servint.com to=burgos@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:39 NomMachine postfix/smtpd-27461-: disconnect from unknown-211.105.250.100-  

Les domaines example en .com .net et .org sont réservés par l’IANA.

$ whois example.com
Whois Server Version 1.3

Domain names in the .com and .net domains can now be registered  
with many different competing registrars. Go to http://www.internic.net  
for detailed information.  
-snip-  
Domain Name: EXAMPLE.COM  
Registrar: RESERVED-INTERNET ASSIGNED NUMBERS AUTHORITY  
Whois Server: whois.iana.org  
Referral URL: http://res-dom.iana.org  
Name Server: A.IANA-SERVERS.NET  
Name Server: B.IANA-SERVERS.NET  
Status: REGISTRAR-LOCK  
Updated Date: 26-mar-2004  
Creation Date: 14-aug-1995  
Expiration Date: 13-aug-2011  
-snip-  
Registrant:  
Name: Internet Assigned Numbers Authority (IANA)  
Organization: Internet Assigned Numbers Authority (IANA)  
Address1: 4676 Admiralty Way, Suite 330  
Address2:  
Address3:  
City: Marina del Rey  
State/Province: CA  
Country: US  
Postal Code: 92092  
Phone: 310-823-9358  
Fax: 310-823-8649  
Email: res-dom@iana.org  
Registration Date: 11/01/2001  
Last Updated Date: 11/01/2001  
-snip-  

Ceci est décris dans la RFC 2606

[…] To safely satisfy these needs, four domain names are reserved as listed and described below.

.test
.example
.invalid
.localhost

“.example” is recommended for use in documentation or as examples.

Les sites web en question renvoient justement vers la RFC.