Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1238 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  On se sert de mon Postfix pour envoyer masse mails !!

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

On se sert de mon Postfix pour envoyer masse mails !!

n°812368
goldyfruit
Je me lève et je confirme !
Posté le 23-05-2006 à 17:16:33  profilanswer
 

Yop,
 
Bon alors je sais pas trop ce que je dois faire.
Mon serveur a commencé à s'affolé sans que je sache pourquoi, je regarde alors dans mes logs et que vois-je ?!
Postfix qui envois des mails à tout va !
 
J'ai donc stoppé le serveur de mail, vider la file d'attente qui contenait plus de 2200 mails...  :fou:  
Voilà une partie des logs.

Citation :


May 23 17:08:16 www postfix/qmgr[6035]: 3283A1B968C: from=<www-data@goldzoneweb.info>, size=419, nrcpt=1 (queue active)
May 23 17:08:16 www postfix/pickup[6034]: 43FF31B96C1: uid=33 from=<www-data>
May 23 17:08:16 www postfix/cleanup[6036]: 43FF31B96C1: message-id=<20060523150816.43FF31B96C1@www.goldzoneweb.info>
May 23 17:08:16 www postfix/qmgr[6035]: 43FF31B96C1: from=<www-data@goldzoneweb.info>, size=419, nrcpt=1 (queue active)
May 23 17:08:16 www postfix/pickup[6034]: 4BC2D1B96EC: uid=33 from=<www-data>
May 23 17:08:16 www postfix/cleanup[6040]: 4BC2D1B96EC: message-id=<20060523150816.4BC2D1B96EC@www.goldzoneweb.info>
May 23 17:08:16 www postfix/qmgr[6035]: 4BC2D1B96EC: from=<www-data@goldzoneweb.info>, size=419, nrcpt=1 (queue active)
May 23 17:08:16 www postfix/pickup[6034]: 52B531B96EE: uid=33 from=<www-data>
May 23 17:08:16 www postfix/cleanup[6051]: 52B531B96EE: message-id=<20060523150816.52B531B96EE@www.goldzoneweb.info>
May 23 17:08:16 www postfix/qmgr[6035]: 52B531B96EE: from=<www-data@goldzoneweb.info>, size=419, nrcpt=1 (queue active)
May 23 17:08:16 www postfix/pickup[6034]: 5B6401B96F0: uid=33 from=<www-data>
May 23 17:08:16 www postfix/cleanup[6036]: 5B6401B96F0: message-id=<20060523150816.5B6401B96F0@www.goldzoneweb.info>
May 23 17:08:16 www postfix/qmgr[6035]: 5B6401B96F0: from=<www-data@goldzoneweb.info>, size=419, nrcpt=1 (queue active)
May 23 17:08:16 www postfix/pickup[6034]: 671521B96F1: uid=33 from=<www-data>
May 23 17:08:16 www postfix/cleanup[6040]: 671521B96F1: message-id=<20060523150816.671521B96F1@www.goldzoneweb.info>
May 23 17:08:16 www postfix/smtp[6050]: 6224B1B96CB: to=<mattlespeed-powwa@hotmail.com>, relay=mx2.hotmail.com[65.54.244.168], delay=65, status=bounced (host mx2.hotmail.com[65.54.244.168] said: 550 Requested action not taken: mailbox unavailable (in reply to RCPT TO command))
May 23 17:08:16 www postfix/qmgr[6035]: 671521B96F1: from=<www-data@goldzoneweb.info>, size=419, nrcpt=1 (queue active)
May 23 17:08:16 www postfix/pickup[6034]: 74D2A1B96C6: uid=33 from=<www-data>
May 23 17:08:16 www postfix/cleanup[6051]: 74D2A1B96C6: message-id=<20060523150816.74D2A1B96C6@www.goldzoneweb.info>
May 23 17:08:16 www postfix/qmgr[6035]: 74D2A1B96C6: from=<www-data@goldzoneweb.info>, size=419, nrcpt=1 (queue active)
May 23 17:08:16 www postfix/pickup[6034]: 7ADFB1B96F5: uid=33 from=<www-data>
May 23 17:08:16 www postfix/cleanup[6036]: 7ADFB1B96F5: message-id=<20060523150816.7ADFB1B96F5@www.goldzoneweb.info>
May 23 17:08:16 www postfix/qmgr[6035]: 7ADFB1B96F5: from=<www-data@goldzoneweb.info>, size=419, nrcpt=1 (queue active)
May 23 17:08:16 www postfix/pickup[6034]: 8B7411B96F6: uid=33 from=<www-data>
May 23 17:08:16 www postfix/cleanup[6040]: 8B7411B96F6: message-id=<20060523150816.8B7411B96F6@www.goldzoneweb.info>
May 23 17:08:16 www postfix/master[6032]: terminating on signal 15
May 23 17:08:18 www postfix/postsuper[6085]: Deleted: 46 messages


Que dois-je faire ?


---------------
http://wiki.incloudus.com/display/DOC | http://blog.incloudus.com | http://wiki.goldzoneweb.info | http://www.stendhalclub.fr
mood
Publicité
Posté le 23-05-2006 à 17:16:33  profilanswer
 

n°812384
ory
Posté le 23-05-2006 à 18:00:55  profilanswer
 

www-data ca reseemble à l'utilisateur apache, t'aura pas une appli php qui a des failles de sécurité ?

n°812385
goldyfruit
Je me lève et je confirme !
Posté le 23-05-2006 à 18:03:08  profilanswer
 

Ben j'héberge des sites.
Comment je peux interdire que mon serveur mail serve de relai ?


---------------
http://wiki.incloudus.com/display/DOC | http://blog.incloudus.com | http://wiki.goldzoneweb.info | http://www.stendhalclub.fr
n°812387
ory
Posté le 23-05-2006 à 18:04:24  profilanswer
 

en lisant la doc, par exemple...

n°812392
goldyfruit
Je me lève et je confirme !
Posté le 23-05-2006 à 18:10:41  profilanswer
 
n°812395
ory
Posté le 23-05-2006 à 18:21:55  profilanswer
 

alors il ne te reste plus qu'à regarder dans les sites hébergés

n°812397
goldyfruit
Je me lève et je confirme !
Posté le 23-05-2006 à 18:27:11  profilanswer
 
n°812404
ory
Posté le 23-05-2006 à 18:45:35  profilanswer
 

faire de l'hébergement implique des contraintes et des responsabilités [:spamafote]

n°812416
goldyfruit
Je me lève et je confirme !
Posté le 23-05-2006 à 19:06:50  profilanswer
 

Je sais, je sais mais il doit y avoir un moyen de bloquer ça. Je vais me faire la doc.


---------------
http://wiki.incloudus.com/display/DOC | http://blog.incloudus.com | http://wiki.goldzoneweb.info | http://www.stendhalclub.fr
n°812441
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 23-05-2006 à 19:59:29  profilanswer
 

goldyfruit a écrit :

500 sites...


comme quoi tu aurais du commencer par la doc [:mrbrelle]


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
mood
Publicité
Posté le 23-05-2006 à 19:59:29  profilanswer
 

n°812461
Bzzzttt
Anciennement HORNY-GRANDCORNU
Posté le 23-05-2006 à 20:33:56  profilanswer
 

Et quid des hébergeurs qui parviennent à bloquer la commande mail() de pi aich pi ? Tu pourrais po faire la même choz ? :??:

Message cité 1 fois
n°812465
goldyfruit
Je me lève et je confirme !
Posté le 23-05-2006 à 20:37:36  profilanswer
 

Ben mon serveur n'est pas pas en open relay donc la doc ne risque pas de me dire comment faire quand c'est sur la machine elle même.
Nop je veux po désactiver la fonction mail() de pi aich pi  :)

Message cité 1 fois

---------------
http://wiki.incloudus.com/display/DOC | http://blog.incloudus.com | http://wiki.goldzoneweb.info | http://www.stendhalclub.fr
n°812467
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 23-05-2006 à 20:40:54  profilanswer
 

Bzzzttt a écrit :

Et quid des hébergeurs qui parviennent à bloquer la commande mail() de pi aich pi ? Tu pourrais po faire la même choz ? :??:


 
.configure -disable-functions=mail
 
ou un truc du genre [:dawa]
 

goldyfruit a écrit :

Ben mon serveur n'est pas pas en open relay donc la doc ne risque pas de me dire comment faire quand c'est sur la machine elle même.
Nop je veux po désactiver la fonction mail() de pi aich pi  :)


 
c'est ballot parce qu'à tous les coups tu t'es fait rooter un de tes sites, voire ta bécane si tu n'es pas open-relay alors.
 
donc le plus sage c'est de couper le service mail, de dire à tes usagers que tu es en maintenance et de trouver le coupable.


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°812479
goldyfruit
Je me lève et je confirme !
Posté le 23-05-2006 à 20:49:50  profilanswer
 

Et comment je peux faire pour le trouver ? Je sais pas du tout comment m'y prendre, les logs ne sont pas très bavards. :(


---------------
http://wiki.incloudus.com/display/DOC | http://blog.incloudus.com | http://wiki.goldzoneweb.info | http://www.stendhalclub.fr
n°812533
syl94
Ni!
Posté le 23-05-2006 à 23:11:46  profilanswer
 

les mails ne sont pas envoyés depuis Apache/PHP mais via un hack qui tourne avec le user www-data (je me suis deja fait niq*er :) )
 
fais un ps -U www-data, tu devrais voir des process un peu etrange... généralement ce genre de hack se place soit dans /tmp, soit dans /var/tmp, sous la forme de répertoire cachés (.xxx)
 
Sinon, un coup de 'grep -i wget /var/log/apache{2}/*  te dira surement comment est entré le script :)

Message cité 1 fois
n°812537
goldyfruit
Je me lève et je confirme !
Posté le 23-05-2006 à 23:19:39  profilanswer
 

Ben j'ai un open_basedir d'activé donc pour le /tmp ou /var/tmp c'est mort.
Je vais te donner le résultat de mes commandes. :jap:


---------------
http://wiki.incloudus.com/display/DOC | http://blog.incloudus.com | http://wiki.goldzoneweb.info | http://www.stendhalclub.fr
n°812539
goldyfruit
Je me lève et je confirme !
Posté le 23-05-2006 à 23:24:52  profilanswer
 

Alors pour le ps -U www-data :

Code :
  1. PID TTY          TIME CMD
  2. 11424 ?        00:00:00 apache2
  3. 12167 ?        00:00:00 apache2
  4. 12218 ?        00:00:00 apache2
  5. 12547 ?        00:00:00 apache2
  6. 12574 ?        00:00:00 apache2
  7. 12585 ?        00:00:00 apache2
  8. 12586 ?        00:00:00 apache2
  9. 12619 ?        00:00:00 apache2
  10. 12651 ?        00:00:00 apache2
  11. 12653 ?        00:00:00 apache2
  12. 13488 ?        00:00:00 apache2
  13. 13492 ?        00:00:00 apache2
  14. 13499 ?        00:00:00 apache2
  15. 13500 ?        00:00:00 apache2


Dans /tmp je n'ai rien de tels.
 
Pour la commande grep :

Code :
  1. 23:25 cartman@serveur% 'grep -i wget /var/log/apache{2}/*'
  2. zsh: aucun fichier ou répertoire de ce type: grep -i wget /var/log/apache{2}/*
  3. zsh: exit 127   'grep -i wget /var/log/apache{2}/*'


Message édité par goldyfruit le 23-05-2006 à 23:26:10

---------------
http://wiki.incloudus.com/display/DOC | http://blog.incloudus.com | http://wiki.goldzoneweb.info | http://www.stendhalclub.fr
n°812543
syl94
Ni!
Posté le 23-05-2006 à 23:29:47  profilanswer
 

grep -i wget /var/log/apache2/*
 
le {2} c'etait pour le cas ou le répertoire s'appelait apache ou apache2 :) Tu as rebooté entre temps ?

n°812549
goldyfruit
Je me lève et je confirme !
Posté le 23-05-2006 à 23:54:08  profilanswer
 

Rien d'anormal.

Citation :

/var/log/apache2/access.log:80.118.241.206 - - [22/May/2006:22:26:10 +0200] "GET /mydnsconfig.tar.gz HTTP/1.0" 200 97649 "-" "Wget/1.10.2"
/var/log/apache2/access.log:212.175.22.10 - - [22/May/2006:22:49:30 +0200] "GET /fichiers/cs/hlds_l_1120_full.tgz HTTP/1.0" 404 230 "-" "Wget/1.10.2 (Red Hat modified)"
/var/log/apache2/access.log:80.118.241.206 - - [23/May/2006:00:23:34 +0200] "GET /webadmin.php HTTP/1.0" 200 734540 "-" "Wget/1.10.2"
/var/log/apache2/access.log:82.234.27.188 - - [23/May/2006:22:35:54 +0200] "GET /maintenance/images/xchat.png HTTP/1.0" 200 173807 "-" "Wget/1.10"
/var/log/apache2/access.log.1:216.32.89.114 - - [20/May/2006:06:08:05 +0200] "GET /fichiers/cs/hlds_l_1120_full.tgz HTTP/1.0" 404 230 "-" "Wget/1.10"



---------------
http://wiki.incloudus.com/display/DOC | http://blog.incloudus.com | http://wiki.goldzoneweb.info | http://www.stendhalclub.fr
n°812550
syl94
Ni!
Posté le 23-05-2006 à 23:56:26  profilanswer
 

bon bah mauvaise piste alors ...

n°812574
mikala
Souviens toi du 5 Novembre...
Posté le 24-05-2006 à 02:31:40  profilanswer
 

postconf -e authorized_submit_users = !www-data, static:all


et cela permet de faire le ménage dans un premier temps en interdisant l'utilisation de /usr/lib/sendmail a ton apache.

n°812580
goldyfruit
Je me lève et je confirme !
Posté le 24-05-2006 à 06:36:55  profilanswer
 

Euh ouai mais si je fais ça je pourrai plus utiliser la fonction mail() nan ?

Message cité 1 fois

---------------
http://wiki.incloudus.com/display/DOC | http://blog.incloudus.com | http://wiki.goldzoneweb.info | http://www.stendhalclub.fr
n°812588
ory
Posté le 24-05-2006 à 08:36:12  profilanswer
 

syl94 a écrit :

les mails ne sont pas envoyés depuis Apache/PHP mais via un hack qui tourne avec le user www-data (je me suis deja fait niq*er :) )
 
fais un ps -U www-data, tu devrais voir des process un peu etrange... généralement ce genre de hack se place soit dans /tmp, soit dans /var/tmp, sous la forme de répertoire cachés (.xxx)
 
Sinon, un coup de 'grep -i wget /var/log/apache{2}/*  te dira surement comment est entré le script :)


 
si la machine s'est fait rootkitée, il est bon pour une réinstall, plus aucune commande n'est fiable.

Message cité 1 fois
n°812647
mikala
Souviens toi du 5 Novembre...
Posté le 24-05-2006 à 10:57:15  profilanswer
 

goldyfruit a écrit :

Euh ouai mais si je fais ça je pourrai plus utiliser la fonction mail() nan ?


la  fonction mail() ne sera pas bloqué , c'est simplement qu'il y aura un simple /dev/null dessus :o
ensuite cela te permettra de découvrir qui a mis un script php a la con (tm).

Message cité 1 fois
n°812648
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 24-05-2006 à 10:59:04  profilanswer
 

ory a écrit :

si la machine s'est fait rootkitée, il est bon pour une réinstall, plus aucune commande n'est fiable.


 
+1 :o

Message cité 1 fois

---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°812650
mikala
Souviens toi du 5 Novembre...
Posté le 24-05-2006 à 11:01:10  profilanswer
 

black_lord a écrit :

+1 :o


ceci dit on ne sait pas si il s'est fait rookité :o
c'est peut etre tout simplement lié a un phpbb qui tourne dessus :D

Message cité 1 fois
n°812762
goldyfruit
Je me lève et je confirme !
Posté le 24-05-2006 à 14:57:57  profilanswer
 

mikala a écrit :

la  fonction mail() ne sera pas bloqué , c'est simplement qu'il y aura un simple /dev/null dessus :o
ensuite cela te permettra de découvrir qui a mis un script php a la con (tm).


Ben quand j'active cette option ca me bloque l'envoi de mail :/


---------------
http://wiki.incloudus.com/display/DOC | http://blog.incloudus.com | http://wiki.goldzoneweb.info | http://www.stendhalclub.fr
n°812881
syl94
Ni!
Posté le 24-05-2006 à 18:45:18  profilanswer
 

mikala a écrit :

ceci dit on ne sait pas si il s'est fait rookité :o
c'est peut etre tout simplement lié a un phpbb qui tourne dessus :D


 
+1
 
d'autant que si il s'etait fait rootkiter, les commandes comme su ou cat, grep, etc aurait pu poser probleme.
 
As tu redémarré ton serveur depuis ?

n°812886
goldyfruit
Je me lève et je confirme !
Posté le 24-05-2006 à 18:58:01  profilanswer
 
n°812973
mikala
Souviens toi du 5 Novembre...
Posté le 25-05-2006 à 00:09:51  profilanswer
 

goldyfruit a écrit :

Euh ouaip


bon là fallait pas :/

n°812976
dchost99
Posté le 25-05-2006 à 00:21:09  profilanswer
 

Je viens de faire un test avec une page php:
<?php
system("mail user@xxx.com | data.txt " )
?>
 
Donc tu cherche l'heure exacte de l'envoie :
2006-05-25 00:03:49 1Fj1SH-0001zZ-Iz <= www-data@xxx.dyndns.org U=www-data P=local S=327
 
et tu le retrouve dans apache 2 log
86.197.xxx.xxx- - [25/May/2006:00:03:49 +0200] "GET /~user HTTP/1.1" 404 379 "-" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X; fr) AppleWebKit/417.9 (KHTML, like Gecko) Safari/417.8"
 
et tu as même l'ip du gars (et la page en question).


Message édité par dchost99 le 25-05-2006 à 00:24:05
n°812977
dchost99
Posté le 25-05-2006 à 00:27:09  profilanswer
 

pour le rootkit  ...??? tu reinstallkit
ok, ok je sort...

n°1317285
myz-rix
Posté le 02-08-2012 à 10:41:44  profilanswer
 

meme soucis et impossible d'empecher ça.
 
J'ai décommenter la ligne "stmp inetd" dans le master.cf et resultat postif n'envoi plus rien mais ne reçoit plus rien....
 
J'ai besoin de postfix que pour recevoir mes mails, pas pour en envoyer :(
 
si quequ'un a une idée ???

n°1317286
o'gure
Modérateur
Multi grognon de B_L
Posté le 02-08-2012 à 11:04:02  profilanswer
 

Sans log et sans ta configuration on ne va pas pouvoir t'aider.
 
Déjà il faudrait voir d'où viennent les mails :
   - d'internet et ton serveur est utilisé en tant qu'open relay -> corriger la configuration (le site de postfix contient pas mal de documentation sur comment configurer les différents modes)
   - de ton réseau local -> blinder les règles  
   - d'un user réel (typiquement www-data) de ton serveur : tu t'es fait piraté via un service web vraisemblablement.

n°1317294
myz-rix
Posté le 02-08-2012 à 12:05:01  profilanswer
 

Je me debrouille un minimum sur linux mais c'est vrai que le coté serveur mail j'y comprend rien de rien.
 
Pour préciser c'est un serveur VKimsufi sur lequel j'ai installé ispconfig avec un script d'installation automatique trouvé sur internet
 

Code :
  1. root@vks10813:~# cat /etc/postfix/master.cf
  2. #
  3. # Postfix master process configuration file.  For details on the format
  4. # of the file, see the master(5) manual page (command: "man 5 master" ).
  5. #
  6. # Do not forget to execute "postfix reload" after editing this file.
  7. #
  8. # ==========================================================================
  9. # service type  private unpriv  chroot  wakeup  maxproc command + args
  10. #               (yes)   (yes)   (yes)   (never) (100)
  11. # ==========================================================================
  12. smtp      inet  n       -       -       -       -       smtpd
  13. #submission inet n       -       -       -       -       smtpd
  14. #  -o smtpd_tls_security_level=encrypt
  15. #  -o smtpd_sasl_auth_enable=yes
  16. #  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  17. #  -o milter_macro_daemon_name=ORIGINATING
  18. #smtps     inet  n       -       -       -       -       smtpd
  19. #  -o smtpd_tls_wrappermode=yes
  20. #  -o smtpd_sasl_auth_enable=yes
  21. #  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  22. #  -o milter_macro_daemon_name=ORIGINATING
  23. #628       inet  n       -       -       -       -       qmqpd
  24. pickup    fifo  n       -       -       60      1       pickup
  25. cleanup   unix  n       -       -       -       0       cleanup
  26. qmgr      fifo  n       -       n       300     1       qmgr
  27. #qmgr     fifo  n       -       -       300     1       oqmgr
  28. tlsmgr    unix  -       -       -       1000?   1       tlsmgr
  29. rewrite   unix  -       -       -       -       -       trivial-rewrite
  30. bounce    unix  -       -       -       -       0       bounce
  31. defer     unix  -       -       -       -       0       bounce
  32. trace     unix  -       -       -       -       0       bounce
  33. verify    unix  -       -       -       -       1       verify
  34. flush     unix  n       -       -       1000?   0       flush
  35. proxymap  unix  -       -       n       -       -       proxymap
  36. proxywrite unix -       -       n       -       1       proxymap
  37. smtp      unix  -       -       -       -       -       smtp
  38. # When relaying mail as backup MX, disable fallback_relay to avoid MX loops
  39. relay     unix  -       -       -       -       -       smtp
  40. -o smtp_fallback_relay=
  41. #       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
  42. showq     unix  n       -       -       -       -       showq
  43. error     unix  -       -       -       -       -       error
  44. retry     unix  -       -       -       -       -       error
  45. discard   unix  -       -       -       -       -       discard
  46. local     unix  -       n       n       -       -       local
  47. virtual   unix  -       n       n       -       -       virtual
  48. lmtp      unix  -       -       -       -       -       lmtp
  49. anvil     unix  -       -       -       -       1       anvil
  50. scache    unix  -       -       -       -       1       scache
  51. #
  52. # ====================================================================
  53. # Interfaces to non-Postfix software. Be sure to examine the manual
  54. # pages of the non-Postfix software to find out what options it wants.
  55. #
  56. # Many of the following services use the Postfix pipe(8) delivery
  57. # agent.  See the pipe(8) man page for information about ${recipient}
  58. # and other message envelope options.
  59. # ====================================================================
  60. #
  61. # maildrop. See the Postfix MAILDROP_README file for details.
  62. # Also specify in main.cf: maildrop_destination_recipient_limit=1
  63. #
  64. maildrop  unix  -       n       n       -       -       pipe
  65.   flags=DRhu user=vmail argv=/usr/bin/maildrop -d vmail ${extension} ${recipient} ${user} ${nexthop} ${sender}
  66. #
  67. # ====================================================================
  68. #
  69. # Recent Cyrus versions can use the existing "lmtp" master.cf entry.
  70. #
  71. # Specify in cyrus.conf:
  72. #   lmtp    cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
  73. #
  74. # Specify in main.cf one or more of the following:
  75. #  mailbox_transport = lmtp:inet:localhost
  76. #  virtual_transport = lmtp:inet:localhost
  77. #
  78. # ====================================================================
  79. #
  80. # Cyrus 2.1.5 (Amos Gouaux)
  81. # Also specify in main.cf: cyrus_destination_recipient_limit=1
  82. #
  83. #cyrus     unix  -       n       n       -       -       pipe
  84. #  user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
  85. #
  86. # ====================================================================
  87. # Old example of delivery via Cyrus.
  88. #
  89. #old-cyrus unix  -       n       n       -       -       pipe
  90. #  flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
  91. #
  92. # ====================================================================
  93. #
  94. # See the Postfix UUCP_README file for configuration details.
  95. #
  96. uucp      unix  -       n       n       -       -       pipe
  97.   flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
  98. #
  99. # Other external delivery methods.
  100. #
  101. ifmail    unix  -       n       n       -       -       pipe
  102.   flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
  103. bsmtp     unix  -       n       n       -       -       pipe
  104.   flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
  105. scalemail-backend unix - n n - 2 pipe
  106.   flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
  107. mailman   unix  -       n       n       -       -       pipe
  108.   flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  109.   ${nexthop} ${user}
  112. amavis unix - - - - 2 smtp
  113.         -o smtp_data_done_timeout=1200
  114.         -o smtp_send_xforward_command=yes
  116. 127.0.0.1:10025 inet n - - - - smtpd
  117.         -o content_filter=
  118.         -o local_recipient_maps=
  119.         -o relay_recipient_maps=
  120.         -o smtpd_restriction_classes=
  121.         -o smtpd_client_restrictions=
  122.         -o smtpd_helo_restrictions=
  123.         -o smtpd_sender_restrictions=
  124.         -o smtpd_recipient_restrictions=permit_mynetworks,reject
  125.         -o mynetworks=127.0.0.0/8
  126.         -o strict_rfc821_envelopes=yes
  127.         -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
  128.         -o smtpd_bind_address=127.0.0.1


 
un exemple de message que je reçois

Code :
  1. This is the mail system at host vks10813.ip-37-59-123.eu.
  3. I'm sorry to have to inform you that your message could not
  4. be delivered to one or more recipients. It's attached below.
  6. For further assistance, please send mail to postmaster.
  8. If you do so, please include this problem report. You can
  9. delete your own text from the attached returned message.
  11.                    The mail system
  13. <vlong@sohu.com>: host sohumx1.sohu.com[61.135.132.100] said: 550 5.1.1
  14.     <vlong@sohu.com>: Recipient address rejected: User unknown in local
  15.     recipient table (in reply to RCPT TO command)
  19. Reporting-MTA: dns; vks10813.ip-37-59-123.eu
  20. X-Postfix-Queue-ID: C44EF2DE2F35
  21. X-Postfix-Sender: rfc822; sebastien@emateo.com
  22. Arrival-Date: Thu,  2 Aug 2012 11:52:36 +0200 (CEST)
  24. Final-Recipient: rfc822; vlong@sohu.com
  25. Original-Recipient: rfc822;vlong@sohu.com
  26. Action: failed
  27. Status: 5.1.1
  28. Remote-MTA: dns; sohumx1.sohu.com
  29. Diagnostic-Code: smtp; 550 5.1.1 <vlong@sohu.com>: Recipient address rejected:
  30.     User unknown in local recipient table
  33. ForwardedMessage.eml
  34. Subject:
  35. 前'戏潮'吹利'器,波'浪颗'粒棒'体,酥'麻震'荡'刺激,直'抵花'蕊''''与你钢炮3gvld9qlt
  36. From:
  37. "aczyhjsw" <sebastien@emateo.com>
  38. Date:
  39. 08/02/2012 11:52 AM
  40. To:
  41. <wei_3487@sina.com>, <vlong@sohu.com>, <thorstam.ries@ritzcarlton.com>
  44. 复'制'这'个'网'址'到浏'览'器'中打'开'即'可 : cnrdn.com/2tx4
  47. wgkfl路阳松了一口气,“既然你是大朗国的人,那就必须接受大朗国的律法监管。请跟我们回一趟衙门。”jrjuob”肉,肉!“普通的鼠兵们艰难的嘴里冒出这个字来,咬字不清的仿佛在牙牙学语,但是眼中的光芒就明显是看见了美食一般。aqskvn0pja
  49. nut她闭着眼睛,一言不发。长时间的沉静后,她终于倒在风逍胸前,沉沉睡去。lopunqc18只见那皇家守卫举着小盾,盾牌虽然不大,但是散发出淡淡的黄色光芒来,四位皇家守卫的动作几乎完全一样,盾牌散发出来的黄色光芒连成了一片,将魔法是保护在其中。9bl8yuvnt
  51. had let fall; for even as he struck his blow his arm was numbed, and now he could only use his leftvzhl0zeapThis leads me to my other bit of advice. As I have hinted above, Dumbledores regime at Hogwarts may soon be over. Your loyalty, Ron, should be not to him, but to the school and the Ministry. I am very sorry to hear that, so far, Professor Umbridge is encountering very little co-operation from staff as she strives to make those necessary changes within Hogwarts that the Ministry so ardently desires (although she should find this easier from next week - again, see the Daily Prophet tomorrow!). I shall say only this - a student who shows himself willing to help Professor Umbridge now may be very well-placed for Head Boy ship in a couple of years!nuzcnxkd


 
ou
 

Code :
  1. 抱歉,您的邮件被退回来了……
  2. 原邮件信息:   
  3. 时 间:  2012-08-02 17:36:50
  4. 主 题:  龙. 泽. 波. 拉. 女. 记者. 体验. 被. 奸淫. . . . 心贴心ci
  5. 收件人:  wxd6067234@163.com
  6. 退信原因:
  7. 垃圾邮件让邮箱小易很烦心,现在您发送的邮件被怀疑为是垃圾邮件,拒绝接收。
  8. 英文说明:rejected by system.(rejected by system)
  9. 建议解决方案:
  11.     邮差小易温馨提示:建议您绿色地使用邮箱,请适当修改标题和内容,再尝试发送。
  12.     如果您有其他退信问题,欢迎向网易邮件中心发送退信报告
  15. ----------------
  16. This message is generated by Coremail.
  17. 您收到的是来自 Coremail 专业邮件系统的信件.
  21. Final-Recipient: rfc822; wxd6067234@163.com
  22. Action: failed
  23. Status: 5.0.0
  24. Diagnostic-Code: SMTP; rejected by system.(rejected&nbsp;by&nbsp;system)
  27. ForwardedMessage.eml
  28. Subject:
  29. 龙. 泽. 波. 拉. 女. 记者. 体验. 被. 奸淫. . . . 心贴心螡ci
  30. From:
  31. "sjxu" <sebastien@emateo.com>
  32. Date:
  33. 08/02/2012 11:36 AM
  34. To:
  35. <wxd6067234@163.com>, <www.sbui0223@163.com>, <www.ywu0204@163.com>
  38. 复. 制. 这. 个. 网. 址. 到浏. 览. 器. 中打. 开. 即. 可 : cnrdn.com/Htx4
  41. kx9t58df2一个空间可以同时没有水、火、风、雷。土,也可以同时没有生命、死亡、灵魂,但绝对不会同时没有光明与黑暗。没有光明的地方就必然有黑暗,没有黑暗的地方就必然有光明,但是一个永远不可能被打破的真理。而星星一旦开启此圣级,死亡后遇到光明或黑暗就会马上重生,也就意味着她在这一个小时之内将处于真正的不死状态,而且能力将大幅度的提升。sac1x寒歌躺下来,示意他出去,“朕累了,睡一会,酉时再进来唤朕。”cbgi8am7qf24ri45
  43. o5a8赤龙龟一死,无极门就又陷入了尴尬的境地,而且奇门遁甲这边早就得了命令,坚决不进行一对一的骑士决斗,至少要2人1组对敌,这样人数的优势就完全被发挥出来,而无极门那一边,仅仅只能依靠一些实力不凡的高手肆虐来冲散奇门遁甲的阵仗,却怎么看都显的有些小规模了,无碍大局。ty63pe还有没有神灵的位面?全都是实力低弱的人类,人类是高智慧的种族,那那精神力吸收对于梦魔来说可是大补啊,至于消息传来什么逍遥王?哼,一个得到了梦魔不完全传宗的小小人类,根本就不算是什么。sud94mes
  45. 那晚,当我拿起麦克风时,胃里还是怪怪的。我试着说了电台的台呼,就立刻顺着播音乐,两首歌曲之后,就到了九点二十八分。没电话来。在我准备平日的晚间播音员取代我时,我的心情相当沮丧的。而正当我在收拾我的东西时,他探头进来了。rbq虬髯大汉沉声道:“小丫头,你听着,我是天龙剑派北宗的二长老宣广大,本来你爷爷把白虹剑拿来,你就免了一死,现在你那个爷爷既然不把你放在心上,那就别怪我了!小东,动手!”lqqxs


 
je dois en recevoir presque 3000 par jours :(
apparement que sur mon compte et pas sur les autres messagerie du serveur.
 
Si je pouvais simplement empecher l'acces au smtp de l'exterieur je pense que ça suffirait mais je ne sais comment et je ne veux pas planter le serveur qui est en production
 
Merci pour votre aide

n°1317323
mirtouf
Light is right !
Posté le 02-08-2012 à 22:10:46  profilanswer
 

Ça se passe dans le main.cf et entre autres :
 
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_sender_restrictions = reject_unknown_sender_domain
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, reject_unknown_hostname, reject_non_fqdn_hostname
 
bien entendu, cela n'est qu'un début à ajuster selon tes besoins.


---------------
-~- Libérez Datoune ! -~- Camarade, toi aussi rejoins le FLD pour que la flamme de la Révolution ne s'éteigne pas ! -~- A VENDRE
n°1317360
myz-rix
Posté le 03-08-2012 à 18:43:14  profilanswer
 

Je reçois plus rien maintenant :(
 

Code :
  1. 127.0.0.1:10025 inet n - - - - smtpd
  2.         -o content_filter=
  3.         -o local_recipient_maps=
  4.         -o relay_recipient_maps=
  5.         -o smtpd_restriction_classes=
  6.         -o smtpd_client_restrictions=
  7.         -o smtpd_helo_restrictions=permit_mynetworks, reject_invalid_hostname, reject_unknown_hostname, reject_non_fqdn_hostname
  8.         -o smtpd_sender_restrictions=reject_unknown_sender_domain
  9.         -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated, reject_unauth_destination
  10.         -o mynetworks=127.0.0.0/8
  11.         -o strict_rfc821_envelopes=yes
  12.         -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
  13.         -o smtpd_bind_address=127.0.0.1


 
On peut pas juste empêcher d'envoyer des mails ?

n°1318621
Christalin​e
Ca coule de source
Posté le 26-08-2012 à 00:56:23  profilanswer
 

C'est des messages d'erreurs d'autres serveurs SMTP que tu recois. Pas des e-mails qui sont envoyé depuis ta machine, jusqu'à preuve du contraire...
 
Deux hypothèses :  
- soit on se sert effectivement de ta machine pour envoyer des e-mails frauduleux
- soit on sert de TON E-MAIL (et PAS de ta machine), pour envoyer des e-mails fraduleux
 
Dans le 1er cas, tu peux faire quelque chose. Dans le second cas, tu ne peux rien faire. Je vote 2.


Message édité par Christaline le 26-08-2012 à 00:57:21
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  On se sert de mon Postfix pour envoyer masse mails !!

 

Sujets relatifs
postfixProbleme avec Cron : Stopper l'envoi de mails
Remplacer simple vhost par vhost de massePostfix procmail lent....
Mailman : méthode pour changer les mails par défaut[résolu] Evolution : impossible de supprimer les mails de la corbeille
erreur postfixPlateforme de Messagerie Multidomaines Full Debian (Postfix,MySQL,...)
serveur de messagerie Postfixmails non délivrés
Plus de sujets relatifs à : On se sert de mon Postfix pour envoyer masse mails !!

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.185 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR