Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2882 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Postfix, renforcement de la sécurité !

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Postfix, renforcement de la sécurité !

n°1072345
PoussinJau​ne
Posté le 07-09-2008 à 13:29:22  profilanswer
 

Slt,
 
J'ai un serveur mail qui me cause de gros soucis(installé par DTC), il fonctionne très bien même trop bien mais il est temps de le sécuriser un peu plus car il accepte ce type de chose :

Code :
  1. <?php
  3. $to = "monadresse@email.fr";
  4. $subject = "Test mail";
  5. $message = "Hello! This is a simple email message.";
  6. $from = "lol@kikoo.com";
  7. $headers = "From: $from";
  8. mail($to,$subject,$message,$headers);
  9. echo "Mail Sent.";
  11. ?>


 
Je voudrais que tout e-mail n'ayant pas xxx@mondomaine.com soit bloqué !
Voici ma configuration POSTFIX :

Code :
  1. dtc:~# postconf -n
  2. alias_database = hash:/etc/aliases
  3. alias_maps = hash:/etc/aliases, hash:/var/lib/dtc/etc/postfix_aliases
  4. append_dot_mydomain = no
  5. biff = no
  6. config_directory = /etc/postfix
  7. content_filter = dkimsign:[127.0.0.1]:10028
  8. disable_vrfy_command = yes
  9. inet_interfaces = all
  10. mailbox_command = procmail -a "$EXTENSION"
  11. mailbox_size_limit = 0
  12. mydestination = dtc.mondomaine.com, ks3xxxx.kimsufi.com, localhost.mondomaine.com, ,
  14. localhost
  15. myhostname = mx.mondomaine.com
  16. mynetworks = 127.0.0.0/8
  17. myorigin = /etc/mailname
  18. parent_domain_matches_subdomains =
  19. recipient_delimiter = +
  20. relay_domains = /var/lib/dtc/etc/postfix_relay_domains
  21. relay_recipient_maps = hash:/var/lib/dtc/etc/postfix_relay_recipients
  22. relayhost =
  23. smtp_sasl_auth_enable = no
  24. smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
  25. smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
  26. smtpd_delay_reject = yes
  27. smtpd_helo_required = yes
  28. smtpd_recipient_restrictions = permit_mynetworks,                             
  30. permit_sasl_authenticated,                      permit_sasl_authenticated,         
  32.            reject_invalid_hostname,                 reject_non_fqdn_sender,         
  34.        reject_non_fqdn_recipient,                      reject_unknown_sender_domain,
  36.                   reject_unlisted_sender,                 
  38. reject_unknown_recipient_domain,                         reject_rbl_client
  40. sbl-xbl.spamhaus.org, reject_rbl_client list.dsbl.org,     
  42. reject_unauth_destination,                       check_sender_access
  44. regexp:/etc/postfix/filter_10026_catchall                   permit
  45. smtpd_sasl_auth_enable = yes
  46. smtpd_sasl_local_domain = /etc/mailname
  47. smtpd_sasl_security_options = noanonymous
  48. smtpd_sender_restrictions = permit_mynetworks,                         
  50. permit_sasl_authenticated,                              check_policy_service
  52. unix:private/tumgreyspf,   permit
  53. smtpd_tls_auth_only = no
  54. smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
  55. smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
  56. smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
  57. smtpd_use_tls = yes
  58. transport_maps = hash:/etc/postfix/transport
  59. virtual_alias_maps = hash:/var/lib/dtc/etc/postfix_virtual
  60. virtual_gid_maps = static:110
  61. virtual_mailbox_base = /
  62. virtual_mailbox_domains = hash:/var/lib/dtc/etc/postfix_virtual_mailbox_domains
  63. virtual_mailbox_maps = hash:/var/lib/dtc/etc/postfix_vmailbox
  64. virtual_minimum_uid = 98
  65. virtual_transport = maildrop
  66. virtual_uid_maps = hash:/var/lib/dtc/etc/postfix_virtual_uid_mapping


 
 
Après des recherches sur google et des modifications de ma conf, toujours pareil, ils acceptent toujours d'autres domaines que le mien  :??:  
 
Merci d'avance pour vos infos.


Message édité par PoussinJaune le 07-09-2008 à 13:31:30
mood
Publicité
Posté le 07-09-2008 à 13:29:22  profilanswer
 

n°1072359
Je@nb
Kindly give dime
Posté le 07-09-2008 à 14:41:49  profilanswer
 

Etant donné que mynetworks étant égal à localhost et que ton serveur web est sur localhost, il est logique que ça fonctionne

n°1072360
PoussinJau​ne
Posté le 07-09-2008 à 14:50:17  profilanswer
 

D'accord, merci mais il faudrait que je remplace mynetworks par quoi dans ce cas ?

n°1072361
PoussinJau​ne
Posté le 07-09-2008 à 15:00:49  profilanswer
 

Même en mettant  
#mynetworks = 127.0.0.0/8
Je peux toujours envoyer des mails venant de kikoo@lol.com :s

n°1072388
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 07-09-2008 à 17:22:50  profilanswer
 

c'est *NORMAL*
 
désactive la fonction mail de PHP, ça ira plus vite :o

Message cité 1 fois

---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°1072430
mikala
Souviens toi du 5 Novembre...
Posté le 07-09-2008 à 19:37:17  profilanswer
 

black_lord a écrit :

c'est *NORMAL*
 
désactive la fonction mail de PHP, ça ira plus vite :o


% postconf -e 'authorized_submit_users = !www-data,static:all'
% postfix reload
sera plus rapide :)
(sous réserver que l'utilisateur apache tourne sous www-data )

Message cité 1 fois

---------------
Intermittent du GNU
n°1072440
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 07-09-2008 à 19:53:34  profilanswer
 

mikala a écrit :


% postconf -e 'authorized_submit_users = !www-data,static:all'
% postfix reload
sera plus rapide :)
(sous réserver que l'utilisateur apache tourne sous www-data )


 
je connaissais pas ça [:klem3i1]

Message cité 1 fois

---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
n°1072443
mikala
Souviens toi du 5 Novembre...
Posté le 07-09-2008 à 19:58:45  profilanswer
 

black_lord a écrit :


 
je connaissais pas ça [:klem3i1]


c'est tout en ligne de commande, c'est pour cela que c'est top :D
(a noter que selon les options de compilation de postfix, le reload n'est pas forcément nécessaire, postfix pouvant relire son fichier de configuration si il est modifié )

Message cité 1 fois

---------------
Intermittent du GNU
n°1072444
black_lord
Modérateur
Truth speaks from peacefulness
Posté le 07-09-2008 à 20:03:06  profilanswer
 

mikala a écrit :


c'est tout en ligne de commande, c'est pour cela que c'est top :D
(a noter que selon les options de compilation de postfix, le reload n'est pas forcément nécessaire, postfix pouvant relire son fichier de configuration si il est modifié )


 
pas de GUI ? OMG  [:hide]


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Postfix, renforcement de la sécurité !

 

Sujets relatifs
Je fais aveuglément confiance à la sécurité de Mac OS X...c'est mal ?Postfix multi IP
Postfix et Return-PathPostfix + SASL + TLS
Postfix : Avis de non distribution qui tarde à revenir[RESOLU]Postfix + Courier-imap + LDAP
Mail() via PHP et Postfix[POSTFIX] Spam Assassin dans Procmail ...
Problème de migration avec postfixQuestions concernant postfix
Plus de sujets relatifs à : Postfix, renforcement de la sécurité !

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.103 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR