[Sequanux-ml] Question sur les logs de Postfix

Thomas Preud'homme robotux at celest.fr
Lun 7 Mai 12:05:31 CEST 2012 

Le samedi 5 mai 2012 18:49:58, Adrien Caillot a écrit :
> Bonjour,

Bonjour à tous,

je ne suis pas un membre de cette association mais un des membres (Matteo 
Cypriani) m'a fait suivre ce mail ayant moi-même joué un peu avec postfix.

> 
> Est-ce que quelqu'un sur cette liste aurait les compétences techniques
> pour répondre à une interrogation que je me pose ?
> 
> Si je fais un tail /var/log/syslog sur mon serveur, je vois passer ce
> genre de ligne :
> 
> May  5 18:35:13 velosophie postfix/qmgr[2977]: 3BFFC35ACB: from=<>,
> size=3530, nrcpt=1 (queue active)
> May  5 18:35:13 velosophie postfix/smtp[6088]: connect to
> advertise-bz.cn[111.224.250.131]:25: Connection refused
> May  5 18:35:13 velosophie postfix/smtp[6088]: 3BFFC35ACB:
> to=<admin at advertise-bz.cn>, relay=none, delay=202213,
> delays=202213/0.1/0.37/0, dsn=4.4.1, status=deferred (connect to
> advertise-bz.cn[111.224.250.131]:25: Connection refused)
> 
> Je ne sais pas interpréter cette information.
> 
> « Connection refused », « relay=none » ? Par qui ? C'est mon serveur qui
> refuse la connexion et le relais à advertise-bz.cn, ou l'inverse ?

C'est velosophie qui essaie de se connecter à advertise-bz.cn et qui reçoit un 
REJECT de la part de ce dernier. Par REJECT j'entends le REJECT de iptables, 
par opposition à un DROP : ie velosophie a reçu un refus de connexion au lieu 
d'une absence de réponse. Si ça avait été l'inverse, ton serveur refusant une 
connexion à advertise-bz.cn, tu aurais vu "connect from".
> 
> Dans le premier cas, cela signifie-t-il que ce domaine a tenté
> d'utiliser mon serveur comme relais à spam, et que ce dernier a
> vaillamment résisté ?

Ce n'est pas le cas malheureusement et il n'y aurait rien de vaillant là-
dedans. C'est juste une question de configuration. Il est possible d'utiliser 
les mêmes mesures que pour les mails reçus : être strict sur ce qui est 
accepté (respect du SMTP), greylisting, blacklist, anti-spam (spamassassin ou 
dspam). Cependant la plupart du temps pour le relai c'est plutôt un contrôle 
de qui peut envoyer. Soit on limite à un réseau interne (par exemple un 
serveur mail d'entreprise n'autorise que les mails venant du réseau de 
l'entreprise), soit on met de l'authentification, soit un peu des deux. Chaque 
solution a ses avantages et ses inconvénients.

> Si c'est ça, tant mieux. Mais est-ce que ces tentatives de connexions ne
> peuvent pas, à la longue, consommer des ressources inutiles ? Je trouve
> que le temps d'accès aux sites hébergés sur mon serveur (par exemple
> http://asso.velobesancon.info/) est long. Est-ce qu'il peut y avoir un
> lien ?

Il est de toute manière impossible d'éviter qu'un serveur ait des connexions. 
Par contre certaines mesures techniques sont plus gourmande que d'autre. Le 
moins gourmand est probablement d'interdire les connexions au niveau du pare-
feu, c'est ce qui requiert le moins d'analyse. Si le serveur est dédié à 
envoyer des mails d'un sous-réseau, il suffit d'interdire tout ce qui ne 
provient pas de ce sous-réseau en analysant les paquets IP. Ceci marche 
également pour éviter le relai.

> 
> Dans le second cas, cela veut-il dire que, au contraire, mon serveur a
> été utilisé comme relais à spam et, pour ce faire, a tenté de se
> connecter à advertise-bz.cn qui a refusé ?

Oui une règle est peut-être trop ouverte sur le serveur velosophie. Puis-je 
voir le main.cf et master.cf ? En plus de la mesure au niveau parefeu, il est 
possible de n'accepter que les mails du domaine couvert par le serveur SMTP en 
question. Par exemple mon serveur SMTP gère le domaine celest.fr et il 
n'autorise que les mails à destination d'un utilisateur de ce domaine (un mail 
finissant en @celest.fr). Il est même possible de restreindre aux comptes 
existants. Par exemple les mails vers tartempion at celest.fr sont interdits sur 
mon serveur.

Il faut vraiment faire attention à ce qu'un serveur mail ne soit pas ouvert 
sinon il va se retrouver dans tout un tas de blacklist et les mails qu'ils 
envoie risquent à terme d'être refusés.

> 
> Si c'est ça, c'est encore bien plus grave. Mais je ne pense pas, car si
> moi j'essaie d'envoyer un mail depuis chez moi en utilisant mon serveur
> comme SMTP sortant (après avoir fait le nécessaire sur la Freebox pour
> débloquer le port 25 sortant), Icedove m'affiche un message d'erreur, et
> j'ai ceci dans les logs :
> 
> May  5 18:31:51 velosophie postfix/smtpd[6075]: connect from
> cha25-1-82-226-XXX-XXX.fbx.proxad.net[82.226.XXX.XXX]
> May  5 18:31:51 velosophie postfix/smtpd[6075]: NOQUEUE: reject: RCPT
> from cha25-1-82-226-XXX-XXX.fbx.proxad.net[82.226.XXX.XXX]: 554 5.7.1
> <adrien.caillot at free.fr>: Relay access denied; from=<yoka486 at yahoo.fr>
> to=<adrien.caillot at free.fr> proto=ESMTP helo=<[192.168.1.2]>
> May  5 18:33:15 velosophie postfix/smtpd[6075]: disconnect from
> cha25-1-82-226-XXX-XXX.fbx.proxad.net[82.226.XXX.XXX]

Le message ne dit pas pourquoi l'access est denied donc difficile de dire si les 
mesures sont efficaces ou non.

> 
> Est-ce que ce test est suffisant ?

Pas forcément.

> 
> Merci de vos lumières,

Thomas Preud'homme
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 836 octets
Desc: This is a digitally signed message part.
URL: <http://sequanux.org/pipermail/sequanux-ml/attachments/20120507/a83a5612/attachment.pgp>

Plus d'informations sur la liste de diffusion Sequanux-ml