question postfix+amavis+clamav+spamassassin

question postfix+amavis+clamav+spamassassin - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 05-09-2007 à 12:22:45    

Bonjour, j'aurais aimé savoir si il était possible de donner une directive quelque part pour que  amavis et spamassassin n'analysent pas les mails provenant d'adresse en @mondomaine.com
 
Merci d'avance

Reply

Marsh Posté le 05-09-2007 à 12:22:45   

Reply

Marsh Posté le 05-09-2007 à 12:29:01    

oui mais c'est un peu compliqué.  
mais surtout c'est totalement a deconseiller car forger son mailfrom est a la porté de n'importe qui. (c'est d'ailleurs pour cela que tu ne trouve pas cete option dans la conf d'amavisd)
 
mieux vaut reflechir a des connections differentes avec authentification sur le serveur par lesquelles le filtrage serait limité voire desactivé.
 


---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Reply

Marsh Posté le 05-09-2007 à 12:36:33    

Oui je sais bien que c'est très facile de se faire passer pour n'importe qui.
 
Mais on m'impose ça.
Donc si tu pouvait un peu me guider ça serait très sympa de ta part

Reply

Marsh Posté le 05-09-2007 à 12:51:22    

mais quels sont les imperatifs ?  
qu'est ce qui justifie de faire ceci ?
 
bon apres ca les regarde mais bon...
 
donc on est bien d'accord qu'il s'agit de ton domaine, celui qui est géré par le serveur de mail en question c'est ca ?
 
suivant la config il y a plus simple et secure pour faire ceci
 
decris un peu la configuration:
postconf -n
master.Cf
 
 


---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Reply

Marsh Posté le 05-09-2007 à 14:12:54    

En fait ils veulent pas savoir le pourquoi du comment  
Un mail en interne est passer en spam et ça fait toute une histoire.
 
Enfin bref...
 
postconf -n  
 

Code :
  1. postconf -n
  2. alias_database = hash:/etc/aliases
  3. alias_maps = hash:/etc/aliases
  4. append_dot_mydomain = yes
  5. biff = no
  6. config_directory = /etc/postfix
  7. content_filter = smtp-amavis:[127.0.0.1]:10024
  8. delay_warning_time = 4h
  9. home_mailbox = Maildir/
  10. inet_interfaces = all
  11. mailbox_command =
  12. mailbox_size_limit = 0
  13. message_size_limit = 20480000
  14. mydestination = monserveur.mondomaine.fr, localhost
  15. mydomain = mondomaine.fr
  16. myhostname = monserveur.mondomaine.fr
  17. mynetworks = 83.144.147.145/28, 127.0.0.0/8
  18. myorigin = /etc/mailname
  19. receive_override_options = no_address_mappings
  20. recipient_delimiter = +
  21. relayhost =
  22. smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
  23. transport_maps = hash:/etc/postfix/transport_maps
  24. virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
  25. virtual_gid_maps = static:1001
  26. virtual_mailbox_base = /var/mail/vhosts
  27. virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
  28. virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
  29. virtual_minimum_uid = 1001
  30. virtual_transport = virtual
  31. virtual_uid_maps = static:1001


 
Master.cf
 

Code :
  1. smtp      inet  n       -       n       -       -       smtpd
  2. #submission inet n      -       -       -       -       smtpd
  3. #       -o smtpd_etrn_restrictions=reject
  4. #628      inet  n       -       -       -       -       qmqpd
  5. pickup    fifo  n       -       -       60      1       pickup
  6. cleanup   unix  n       -       n       -       0       cleanup
  7. qmgr      fifo  n       -       -       300     1       qmgr
  8. #qmgr     fifo  n       -       -       300     1       oqmgr
  9. rewrite   unix  -       -       n       -       -       trivial-rewrite
  10. bounce    unix  -       -       -       -       0       bounce
  11. defer     unix  -       -       -       -       0       bounce
  12. trace     unix  -       -       -       -       0       bounce
  13. verify    unix  -       -       -       -       1       verify
  14. flush     unix  n       -       -       1000?   0       flush
  15. proxymap  unix  -       -       n       -       -       proxymap
  16. smtp      unix  -       -       -       -       -       smtp
  17. relay     unix  -       -       -       -       -       smtp
  18. #       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
  19. showq     unix  n       -       -       -       -       showq
  20. error     unix  -       -       -       -       -       error
  21. local     unix  -       n       n       -       -       local
  22. virtual   unix  -       n       n       -       -       virtual
  23. lmtp      unix  -       -       n       -       -       lmtp
  24. anvil     unix  -       -       n       -       1       anvil
  25. #
  26. # Interfaces to non-Postfix software. Be sure to examine the manual
  27. # pages of the non-Postfix software to find out what options it wants.
  28. #
  29. # maildrop. See the Postfix MAILDROP_README file for details.
  30. #
  31. maildrop  unix  -       n       n       -       -       pipe
  32.   flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
  33. uucp      unix  -       n       n       -       -       pipe
  34.   flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
  35. ifmail    unix  -       n       n       -       -       pipe
  36.   flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
  37. bsmtp     unix  -       n       n       -       -       pipe
  38.   flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -d -t$nexthop -f$sender $recipient
  39. scalemail-backend unix  -       n       n       -       2       pipe
  40.   flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
  41. # only used by postfix-tls
  42. #tlsmgr   fifo  -       -       n       300     1       tlsmgr
  43. #smtps    inet  n       -       n       -       -       smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
  44. #587      inet  n       -       n       -       -       smtpd -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
  45. #BL 6.9.2005 :
  46. smtp-amavis unix -      -       n     -       2  smtp
  47.         -o smtp_data_done_timeout=1200
  48.         -o smtp_send_xforward_command=yes
  49.         -o disable_dns_lookups=yes
  50. 127.0.0.1:10025 inet  n       -       n       -       -       smtpd
  51.         -o content_filter=
  52.         -o local_recipient_maps=
  53.         -o relay_recipient_maps=
  54.         -o smtpd_restriction_classes=
  55.         -o smtpd_client_restrictions=
  56.         -o smtpd_helo_restrictions=
  57.         -o smtpd_sender_restrictions=
  58.         -o smtpd_recipient_restrictions=permit_mynetworks,reject
  59.         -o mynetworks=127.0.0.0/8
  60.         -o strict_rfc821_envelopes=yes
  61.         -o smtpd_error_sleep_time=0
  62.         -o smtpd_soft_error_limit=1001
  63.         -o smtpd_hard_error_limit=1000
  64.         -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks

Reply

Marsh Posté le 05-09-2007 à 14:23:10    

l'authentification des clients ne se fait que par 83.144.147.145/28 ?
 
si tu avais une Auth SASL tu pourrais faire un truc qui tienne bien la route.
 
tu pourrais aussi faire une instance smtp sur un autre port innacessible depuis l'exterieur du lan (le 587 par ex) et desactiver le filtrage sur celui ci.  
 
mais cela demanderait de reparametrer les clients sur le nouveau port.
 
 
 
sinon la solution quick and dirty sur le mailfrom:
 
dans le main.cf:
 
tu enleves l'appel a amavisd (content_filter = smtp-amavis:[127.0.0.1]:10024) puis tu ajoutes:
 

Code :
  1. smtpd_sender_restrictions =
  2.     check_sender_access hash:/etc/postfix/amavis-bypass


 
/etc/postfix/amavis-bypass

Code :
  1. toto@tondomaine.com FILTER smtp-amavis:[127.0.0.1]:10026


 
 
/etc/amavisd.conf:
 

Code :
  1. $inet_socket_port = [10024,10026];
  2. $interface_policy{'10026'} = 'BYPASS-SENDER';
  3. $policy_bank{'BYPASS-SENDER'} = {
  4.    bypass_spam_checks_maps   => [1],  # don't spam-check this mail
  5.    bypass_banned_checks_maps => [1],  # don't banned-check this mail
  6.    bypass_header_checks_maps => [1],  # don't header-check this mail 
  7. };


 
 
mais c'est a mon avis un veritable sabotage de la securité.


Message édité par toniotonio le 05-09-2007 à 14:27:52

---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Reply

Marsh Posté le 05-09-2007 à 14:30:51    

si c'est juste des mails internes qui sont classés a tort comme spam, il vaut mieux revoir ta conf car il existe de multiples parametres dans amavsid/SA pour eviter cela.
 
encore une fois utiliser le truc du dessus c'est un scandale a mon avis.
 
 


---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Reply

Marsh Posté le 05-09-2007 à 14:44:43    

Oui c'est clair que c'est du sabotage!
Surtout que c'est un peu mon truc la sécurité.
 
Le SASL ça fait 6 mois que j'en parle
 
Merci beaucoup en tout cas

Reply

Marsh Posté le 05-09-2007 à 14:48:43    

c'est pour ca que cela meriterait plutot de revoir la conf d'amavisd/sa .  
par exemple le trusted et internal networks sont til bien parametrés ?
 
c'eest ce genre de chose qui fait baisser le score sur les mails interne, d'une maniere "normale" et securisée.


---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Reply

Marsh Posté le 14-09-2007 à 09:49:56    

n'aurait il pas été plus simple dans un cas comme celui-ci de mettre dans spamassassin le domaine de la société en whitelist (liste blanche)?

Reply

Marsh Posté le 14-09-2007 à 09:49:56   

Reply

Marsh Posté le 14-09-2007 à 09:53:32    

comme on peut forger un mailfrom (l'adresse expeditrice) et que c'est d'ailleurs tres souvent employés par les spammeurs, cela reviendrait à rendre inutile le systeme de filtrage

Message cité 1 fois
Message édité par toniotonio le 14-09-2007 à 09:53:46

---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Reply

Marsh Posté le 14-09-2007 à 09:59:57    

c'est vrai! bon pour ma part c'est ce que j'ai fait sur mon serveur et je n'ai eu en plusieurs années que 2 ou 3 spam qui se sont fait passer comme provenant de mon domaine!
Je sais pas si en entreprise ça arrive plus souvent. j'imagine que oui!
Mais comme on demande à tchouvince de le faire je me suis dis que ce serait plus simple et rapide que de modifier amavisd.conf

Reply

Marsh Posté le 14-09-2007 à 10:02:58    

cela dit cela revient au meme que le truc que j'ai ecrit plus haut, et que je deconseille fortement, meme si a la limite celui d'en haut permet de cibler le sender qui aura droit a ce whitelistage.
 
il existe d'autres maniere de faire cela correctment dans amavisd, sans prendre de risques sur la securité.
 
l'ideal etant bien sur de coupler cela a une authentification SASL et une verification du mailfrom associé.


---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Reply

Marsh Posté le 14-09-2007 à 10:56:52    

toniotonio a écrit :


l'ideal etant bien sur de coupler cela a une authentification SASL et une verification du mailfrom associé.


 
A ce propos je suis en train de refaire complètement ma config de mon serveur mail et j'ai justement utilisé l'authentification SASL
Donc quand j'envoie un mail j'ai une ligne dans mon header qui correspond à ça:

Citation :

(Authenticated sender: moi@mon.domaine)


 
comment je devrais faire pour créer une règle dans spamassassin pour vérifier qu'un mail provenant de mon domaine provient d'une personne authentifiée? Et attribuer un score en fonction de cette vérification?
Parce que si un mail prétend provenir de mon domaine mais que l'emetteur est pas authentifié c'est que c'est nécessairement un spam et inversement! Enfin si j'ai bien compris le principe

Reply

Marsh Posté le 14-09-2007 à 11:01:51    

toniotonio a écrit :

comme on peut forger un mailfrom (l'adresse expeditrice) et que c'est d'ailleurs tres souvent employés par les spammeurs, cela reviendrait à rendre inutile le systeme de filtrage


 
En même temps un relais SMTP se doit de refuser un mail arrivant de *@mondomaine.com depuis l'exterieur.
(enfin si c'est possible avec l'architecture)


---------------
Life is like a box of chocolate you never know what you gonna get.
Reply

Marsh Posté le 14-09-2007 à 11:07:38    

nasr_eddin a écrit :


 
A ce propos je suis en train de refaire complètement ma config de mon serveur mail et j'ai justement utilisé l'authentification SASL
Donc quand j'envoie un mail j'ai une ligne dans mon header qui correspond à ça:

Citation :

(Authenticated sender: moi@mon.domaine)


 
comment je devrais faire pour créer une règle dans spamassassin pour vérifier qu'un mail provenant de mon domaine provient d'une personne authentifiée? Et attribuer un score en fonction de cette vérification?
Parce que si un mail prétend provenir de mon domaine mais que l'emetteur est pas authentifié c'est que c'est nécessairement un spam et inversement! Enfin si j'ai bien compris le principe


 
le moyen le plus simple, la plus fiable et qui permet en plus d'economiser des ressources, est de bypasser le filtrage pour les users authentifiés SASL
 
mais tu peux bien sur ajouter une regle dans SA pour juste baisser  le score en fonction du header.
j'en ai pas sous la main et j'avoue que les expressions regulieres c'est pas mon truc !
 
je prefere largement traiter cela en bypass par les policy bank

Message cité 1 fois
Message édité par toniotonio le 14-09-2007 à 11:10:09

---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Reply

Marsh Posté le 14-09-2007 à 11:08:23    

Pims a écrit :


 
En même temps un relais SMTP se doit de refuser un mail arrivant de *@mondomaine.com depuis l'exterieur.
(enfin si c'est possible avec l'architecture)


 
 
oui mais en pratique c'est rare.
car il existe des relais qui sont de veritables relais pour de multiples domaines, les uilisateurs etant validés par l'auth SASL. (cas de certain FAI, des hebergeurs, etc, etc)
maintenir une liste de domaines autorisés pour eux seraient un enfer


Message édité par toniotonio le 14-09-2007 à 11:09:44

---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Reply

Marsh Posté le 14-09-2007 à 11:24:29    

Oui suivant l'architecture, j'imagine que ça peut devenir compliqué.
Mais peut être qu'avec la sienne il peut le faire?
 
Par contre j'ai pas compris, tes mails internes sont passés à l'antispam également?

Reply

Marsh Posté le 14-09-2007 à 14:39:20    

toniotonio a écrit :


 
le moyen le plus simple, la plus fiable et qui permet en plus d'economiser des ressources, est de bypasser le filtrage pour les users authentifiés SASL
 
je prefere largement traiter cela en bypass par les policy bank


 
je connaissais pas cette méthode! je vais me documenter ça à l'air pas mal!
merci pour ces infos  :jap:

Reply

Marsh Posté le 14-09-2007 à 17:32:58    

bon alors j'ai rajouté ça au master.cf de postfix

Citation :


submission inet n       -       -       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o content_filter=smtp-amavis:[127.0.0.1]:10026
smtps     inet  n       -       n       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o content_filter=smtp-amavis:[127.0.0.1]:10026


 
et ça dans amavisd.conf

Citation :


$inet_socket_port = [10024, 10026];   # default listenting socket
$interface_policy{'10026'} = 'SASLBYPASS';
 
$policy_bank{'SASLBYPASS'} = {  # mail from submission and smtps ports
   bypass_spam_checks_maps   => [1],  # don't spam-check this mail
   bypass_banned_checks_maps => [1],  # don't banned-check this mail
   bypass_header_checks_maps => [1],  # don't header-check this mail  
};


 
ça ne lance plus d'analyse antispam sur les mails de mon domaine, le contrôle antivirus fonctionne tout de même et les mails provenant de domaines externes sont toujours analysé! Donc à priori c'est bon!
 
C'est bien de ça dont tu parlais toniotonio concernant les bypass via policy bank?


Message édité par nasr_eddin le 14-09-2007 à 17:33:57
Reply

Marsh Posté le 17-09-2007 à 11:09:07    

oui c'est exactement ca
 
juste 2 precisions:
 
sur les version recentes de postfix les noms de certains parametres ont changé meme si les anciens sont toujours valides (pour l'instant) mais il serait prudent de commencer des maintenant a utiliser ces nouvelles appellations:
 

Code :
  1. submission          inet        n        -        -        -        -        smtpd
  2.    -o smtpd_tls_security_level=encrypt
  3.    -o smtpd_sasl_auth_enable=yes
  4.    -o smtpd_etrn_restrictions=reject
  5.    -o content_filter=smtp-amavis:[127.0.0.1]:10026
  6.    -o smtpd_client_restrictions=permit_sasl_authenticated,reject


 
 
 
de plus le port smtps est considéré desormais comme obsolete, il vaut mieux ne plus l'utiliser (c'est le port 587 submission qui le remplace officiellement)
 
 


---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
Reply

Marsh Posté le 17-09-2007 à 13:16:19    

merci beaucoup pour ces précisions!

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed