Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1656 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  question postfix+amavis+clamav+spamassassin

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

question postfix+amavis+clamav+spamassassin

n°950014
tchouvince
Posté le 05-09-2007 à 12:22:45  profilanswer
 

Bonjour, j'aurais aimé savoir si il était possible de donner une directive quelque part pour que  amavis et spamassassin n'analysent pas les mails provenant d'adresse en @mondomaine.com
 
Merci d'avance

mood
Publicité
Posté le 05-09-2007 à 12:22:45  profilanswer
 

n°950020
toniotonio
Posté le 05-09-2007 à 12:29:01  profilanswer
 

oui mais c'est un peu compliqué.  
mais surtout c'est totalement a deconseiller car forger son mailfrom est a la porté de n'importe qui. (c'est d'ailleurs pour cela que tu ne trouve pas cete option dans la conf d'amavisd)
 
mieux vaut reflechir a des connections differentes avec authentification sur le serveur par lesquelles le filtrage serait limité voire desactivé.
 


---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
n°950025
tchouvince
Posté le 05-09-2007 à 12:36:33  profilanswer
 

Oui je sais bien que c'est très facile de se faire passer pour n'importe qui.
 
Mais on m'impose ça.
Donc si tu pouvait un peu me guider ça serait très sympa de ta part

n°950028
toniotonio
Posté le 05-09-2007 à 12:51:22  profilanswer
 

mais quels sont les imperatifs ?  
qu'est ce qui justifie de faire ceci ?
 
bon apres ca les regarde mais bon...
 
donc on est bien d'accord qu'il s'agit de ton domaine, celui qui est géré par le serveur de mail en question c'est ca ?
 
suivant la config il y a plus simple et secure pour faire ceci
 
decris un peu la configuration:
postconf -n
master.Cf
 
 


---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
n°950057
tchouvince
Posté le 05-09-2007 à 14:12:54  profilanswer
 

En fait ils veulent pas savoir le pourquoi du comment  
Un mail en interne est passer en spam et ça fait toute une histoire.
 
Enfin bref...
 
postconf -n  
 

Code :
  1. postconf -n
  2. alias_database = hash:/etc/aliases
  3. alias_maps = hash:/etc/aliases
  4. append_dot_mydomain = yes
  5. biff = no
  6. config_directory = /etc/postfix
  7. content_filter = smtp-amavis:[127.0.0.1]:10024
  8. delay_warning_time = 4h
  9. home_mailbox = Maildir/
  10. inet_interfaces = all
  11. mailbox_command =
  12. mailbox_size_limit = 0
  13. message_size_limit = 20480000
  14. mydestination = monserveur.mondomaine.fr, localhost
  15. mydomain = mondomaine.fr
  16. myhostname = monserveur.mondomaine.fr
  17. mynetworks = 83.144.147.145/28, 127.0.0.0/8
  18. myorigin = /etc/mailname
  19. receive_override_options = no_address_mappings
  20. recipient_delimiter = +
  21. relayhost =
  22. smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
  23. transport_maps = hash:/etc/postfix/transport_maps
  24. virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
  25. virtual_gid_maps = static:1001
  26. virtual_mailbox_base = /var/mail/vhosts
  27. virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
  28. virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
  29. virtual_minimum_uid = 1001
  30. virtual_transport = virtual
  31. virtual_uid_maps = static:1001


 
Master.cf
 

Code :
  1. smtp      inet  n       -       n       -       -       smtpd
  2. #submission inet n      -       -       -       -       smtpd
  3. #       -o smtpd_etrn_restrictions=reject
  4. #628      inet  n       -       -       -       -       qmqpd
  5. pickup    fifo  n       -       -       60      1       pickup
  6. cleanup   unix  n       -       n       -       0       cleanup
  7. qmgr      fifo  n       -       -       300     1       qmgr
  8. #qmgr     fifo  n       -       -       300     1       oqmgr
  9. rewrite   unix  -       -       n       -       -       trivial-rewrite
  10. bounce    unix  -       -       -       -       0       bounce
  11. defer     unix  -       -       -       -       0       bounce
  12. trace     unix  -       -       -       -       0       bounce
  13. verify    unix  -       -       -       -       1       verify
  14. flush     unix  n       -       -       1000?   0       flush
  15. proxymap  unix  -       -       n       -       -       proxymap
  16. smtp      unix  -       -       -       -       -       smtp
  17. relay     unix  -       -       -       -       -       smtp
  18. #       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
  19. showq     unix  n       -       -       -       -       showq
  20. error     unix  -       -       -       -       -       error
  21. local     unix  -       n       n       -       -       local
  22. virtual   unix  -       n       n       -       -       virtual
  23. lmtp      unix  -       -       n       -       -       lmtp
  24. anvil     unix  -       -       n       -       1       anvil
  25. #
  26. # Interfaces to non-Postfix software. Be sure to examine the manual
  27. # pages of the non-Postfix software to find out what options it wants.
  28. #
  29. # maildrop. See the Postfix MAILDROP_README file for details.
  30. #
  31. maildrop  unix  -       n       n       -       -       pipe
  32.   flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
  33. uucp      unix  -       n       n       -       -       pipe
  34.   flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
  35. ifmail    unix  -       n       n       -       -       pipe
  36.   flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
  37. bsmtp     unix  -       n       n       -       -       pipe
  38.   flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -d -t$nexthop -f$sender $recipient
  39. scalemail-backend unix  -       n       n       -       2       pipe
  40.   flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
  42. # only used by postfix-tls
  43. #tlsmgr   fifo  -       -       n       300     1       tlsmgr
  44. #smtps    inet  n       -       n       -       -       smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
  45. #587      inet  n       -       n       -       -       smtpd -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
  47. #BL 6.9.2005 :
  48. smtp-amavis unix -      -       n     -       2  smtp
  49.         -o smtp_data_done_timeout=1200
  50.         -o smtp_send_xforward_command=yes
  51.         -o disable_dns_lookups=yes
  53. 127.0.0.1:10025 inet  n       -       n       -       -       smtpd
  54.         -o content_filter=
  55.         -o local_recipient_maps=
  56.         -o relay_recipient_maps=
  57.         -o smtpd_restriction_classes=
  58.         -o smtpd_client_restrictions=
  59.         -o smtpd_helo_restrictions=
  60.         -o smtpd_sender_restrictions=
  61.         -o smtpd_recipient_restrictions=permit_mynetworks,reject
  62.         -o mynetworks=127.0.0.0/8
  63.         -o strict_rfc821_envelopes=yes
  64.         -o smtpd_error_sleep_time=0
  65.         -o smtpd_soft_error_limit=1001
  66.         -o smtpd_hard_error_limit=1000
  67.         -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks

n°950064
toniotonio
Posté le 05-09-2007 à 14:23:10  profilanswer
 

l'authentification des clients ne se fait que par 83.144.147.145/28 ?
 
si tu avais une Auth SASL tu pourrais faire un truc qui tienne bien la route.
 
tu pourrais aussi faire une instance smtp sur un autre port innacessible depuis l'exterieur du lan (le 587 par ex) et desactiver le filtrage sur celui ci.  
 
mais cela demanderait de reparametrer les clients sur le nouveau port.
 
 
 
sinon la solution quick and dirty sur le mailfrom:
 
dans le main.cf:
 
tu enleves l'appel a amavisd (content_filter = smtp-amavis:[127.0.0.1]:10024) puis tu ajoutes:
 

Code :
  1. smtpd_sender_restrictions =
  2.     check_sender_access hash:/etc/postfix/amavis-bypass


 
/etc/postfix/amavis-bypass

Code :
  1. toto@tondomaine.com FILTER smtp-amavis:[127.0.0.1]:10026


 
 
/etc/amavisd.conf:
 

Code :
  1. $inet_socket_port = [10024,10026];
  2. $interface_policy{'10026'} = 'BYPASS-SENDER';
  4. $policy_bank{'BYPASS-SENDER'} = {
  5.    bypass_spam_checks_maps   => [1],  # don't spam-check this mail
  6.    bypass_banned_checks_maps => [1],  # don't banned-check this mail
  7.    bypass_header_checks_maps => [1],  # don't header-check this mail 
  8. };


 
 
mais c'est a mon avis un veritable sabotage de la securité.


Message édité par toniotonio le 05-09-2007 à 14:27:52

---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
n°950068
toniotonio
Posté le 05-09-2007 à 14:30:51  profilanswer
 

si c'est juste des mails internes qui sont classés a tort comme spam, il vaut mieux revoir ta conf car il existe de multiples parametres dans amavsid/SA pour eviter cela.
 
encore une fois utiliser le truc du dessus c'est un scandale a mon avis.
 
 


---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
n°950072
tchouvince
Posté le 05-09-2007 à 14:44:43  profilanswer
 

Oui c'est clair que c'est du sabotage!
Surtout que c'est un peu mon truc la sécurité.
 
Le SASL ça fait 6 mois que j'en parle
 
Merci beaucoup en tout cas

n°950073
toniotonio
Posté le 05-09-2007 à 14:48:43  profilanswer
 

c'est pour ca que cela meriterait plutot de revoir la conf d'amavisd/sa .  
par exemple le trusted et internal networks sont til bien parametrés ?
 
c'eest ce genre de chose qui fait baisser le score sur les mails interne, d'une maniere "normale" et securisée.


---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
n°953357
nasr_eddin
Posté le 14-09-2007 à 09:49:56  profilanswer
 

n'aurait il pas été plus simple dans un cas comme celui-ci de mettre dans spamassassin le domaine de la société en whitelist (liste blanche)?

mood
Publicité
Posté le 14-09-2007 à 09:49:56  profilanswer
 

n°953359
toniotonio
Posté le 14-09-2007 à 09:53:32  profilanswer
 

comme on peut forger un mailfrom (l'adresse expeditrice) et que c'est d'ailleurs tres souvent employés par les spammeurs, cela reviendrait à rendre inutile le systeme de filtrage

Message cité 1 fois
Message édité par toniotonio le 14-09-2007 à 09:53:46

---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
n°953364
nasr_eddin
Posté le 14-09-2007 à 09:59:57  profilanswer
 

c'est vrai! bon pour ma part c'est ce que j'ai fait sur mon serveur et je n'ai eu en plusieurs années que 2 ou 3 spam qui se sont fait passer comme provenant de mon domaine!
Je sais pas si en entreprise ça arrive plus souvent. j'imagine que oui!
Mais comme on demande à tchouvince de le faire je me suis dis que ce serait plus simple et rapide que de modifier amavisd.conf

n°953365
toniotonio
Posté le 14-09-2007 à 10:02:58  profilanswer
 

cela dit cela revient au meme que le truc que j'ai ecrit plus haut, et que je deconseille fortement, meme si a la limite celui d'en haut permet de cibler le sender qui aura droit a ce whitelistage.
 
il existe d'autres maniere de faire cela correctment dans amavisd, sans prendre de risques sur la securité.
 
l'ideal etant bien sur de coupler cela a une authentification SASL et une verification du mailfrom associé.

Message cité 1 fois

---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
n°953382
nasr_eddin
Posté le 14-09-2007 à 10:56:52  profilanswer
 

toniotonio a écrit :


l'ideal etant bien sur de coupler cela a une authentification SASL et une verification du mailfrom associé.


 
A ce propos je suis en train de refaire complètement ma config de mon serveur mail et j'ai justement utilisé l'authentification SASL
Donc quand j'envoie un mail j'ai une ligne dans mon header qui correspond à ça:

Citation :

(Authenticated sender: moi@mon.domaine)


 
comment je devrais faire pour créer une règle dans spamassassin pour vérifier qu'un mail provenant de mon domaine provient d'une personne authentifiée? Et attribuer un score en fonction de cette vérification?
Parce que si un mail prétend provenir de mon domaine mais que l'emetteur est pas authentifié c'est que c'est nécessairement un spam et inversement! Enfin si j'ai bien compris le principe

Message cité 1 fois
n°953387
Pims
Posté le 14-09-2007 à 11:01:51  profilanswer
 

toniotonio a écrit :

comme on peut forger un mailfrom (l'adresse expeditrice) et que c'est d'ailleurs tres souvent employés par les spammeurs, cela reviendrait à rendre inutile le systeme de filtrage


 
En même temps un relais SMTP se doit de refuser un mail arrivant de *@mondomaine.com depuis l'exterieur.
(enfin si c'est possible avec l'architecture)

Message cité 1 fois

---------------
Life is like a box of chocolate you never know what you gonna get.
n°953391
toniotonio
Posté le 14-09-2007 à 11:07:38  profilanswer
 

nasr_eddin a écrit :


 
A ce propos je suis en train de refaire complètement ma config de mon serveur mail et j'ai justement utilisé l'authentification SASL
Donc quand j'envoie un mail j'ai une ligne dans mon header qui correspond à ça:

Citation :

(Authenticated sender: moi@mon.domaine)


 
comment je devrais faire pour créer une règle dans spamassassin pour vérifier qu'un mail provenant de mon domaine provient d'une personne authentifiée? Et attribuer un score en fonction de cette vérification?
Parce que si un mail prétend provenir de mon domaine mais que l'emetteur est pas authentifié c'est que c'est nécessairement un spam et inversement! Enfin si j'ai bien compris le principe


 
le moyen le plus simple, la plus fiable et qui permet en plus d'economiser des ressources, est de bypasser le filtrage pour les users authentifiés SASL
 
mais tu peux bien sur ajouter une regle dans SA pour juste baisser  le score en fonction du header.
j'en ai pas sous la main et j'avoue que les expressions regulieres c'est pas mon truc !
 
je prefere largement traiter cela en bypass par les policy bank

Message cité 1 fois
Message édité par toniotonio le 14-09-2007 à 11:10:09

---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
n°953393
toniotonio
Posté le 14-09-2007 à 11:08:23  profilanswer
 

Pims a écrit :


 
En même temps un relais SMTP se doit de refuser un mail arrivant de *@mondomaine.com depuis l'exterieur.
(enfin si c'est possible avec l'architecture)


 
 
oui mais en pratique c'est rare.
car il existe des relais qui sont de veritables relais pour de multiples domaines, les uilisateurs etant validés par l'auth SASL. (cas de certain FAI, des hebergeurs, etc, etc)
maintenir une liste de domaines autorisés pour eux seraient un enfer


Message édité par toniotonio le 14-09-2007 à 11:09:44

---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
n°953409
Pims
Posté le 14-09-2007 à 11:24:29  profilanswer
 

Oui suivant l'architecture, j'imagine que ça peut devenir compliqué.
Mais peut être qu'avec la sienne il peut le faire?
 
Par contre j'ai pas compris, tes mails internes sont passés à l'antispam également?

n°953521
nasr_eddin
Posté le 14-09-2007 à 14:39:20  profilanswer
 

toniotonio a écrit :


 
le moyen le plus simple, la plus fiable et qui permet en plus d'economiser des ressources, est de bypasser le filtrage pour les users authentifiés SASL
 
je prefere largement traiter cela en bypass par les policy bank


 
je connaissais pas cette méthode! je vais me documenter ça à l'air pas mal!
merci pour ces infos  :jap:

n°953620
nasr_eddin
Posté le 14-09-2007 à 17:32:58  profilanswer
 

bon alors j'ai rajouté ça au master.cf de postfix

Citation :


submission inet n       -       -       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o content_filter=smtp-amavis:[127.0.0.1]:10026
smtps     inet  n       -       n       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o content_filter=smtp-amavis:[127.0.0.1]:10026


 
et ça dans amavisd.conf

Citation :


$inet_socket_port = [10024, 10026];   # default listenting socket
$interface_policy{'10026'} = 'SASLBYPASS';
 
$policy_bank{'SASLBYPASS'} = {  # mail from submission and smtps ports
   bypass_spam_checks_maps   => [1],  # don't spam-check this mail
   bypass_banned_checks_maps => [1],  # don't banned-check this mail
   bypass_header_checks_maps => [1],  # don't header-check this mail  
};


 
ça ne lance plus d'analyse antispam sur les mails de mon domaine, le contrôle antivirus fonctionne tout de même et les mails provenant de domaines externes sont toujours analysé! Donc à priori c'est bon!
 
C'est bien de ça dont tu parlais toniotonio concernant les bypass via policy bank?


Message édité par nasr_eddin le 14-09-2007 à 17:33:57
n°954120
toniotonio
Posté le 17-09-2007 à 11:09:07  profilanswer
 

oui c'est exactement ca
 
juste 2 precisions:
 
sur les version recentes de postfix les noms de certains parametres ont changé meme si les anciens sont toujours valides (pour l'instant) mais il serait prudent de commencer des maintenant a utiliser ces nouvelles appellations:
 

Code :
  1. submission          inet        n        -        -        -        -        smtpd
  2.    -o smtpd_tls_security_level=encrypt
  3.    -o smtpd_sasl_auth_enable=yes
  4.    -o smtpd_etrn_restrictions=reject
  5.    -o content_filter=smtp-amavis:[127.0.0.1]:10026
  6.    -o smtpd_client_restrictions=permit_sasl_authenticated,reject


 
 
 
de plus le port smtps est considéré desormais comme obsolete, il vaut mieux ne plus l'utiliser (c'est le port 587 submission qui le remplace officiellement)
 
 


---------------
Messagerie dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com
n°954152
nasr_eddin
Posté le 17-09-2007 à 13:16:19  profilanswer
 

merci beaucoup pour ces précisions!

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  question postfix+amavis+clamav+spamassassin

 

Sujets relatifs
Postfix/Amavis mail sortantPostfix: Réécriture des champs From/To
Problème avec Postfix - 554 5.7.1 Relay access deniedconfigurer une boite aux lettres virtuelles dans PostFix
installation de postfix impossible???Postfix et uw_imap [resolu]
CLAMAV - Tous les mails en erreurquestion raid0 dmraid/mdadm ?
Erreur avec Postfix et courier-imap 
Plus de sujets relatifs à : question postfix+amavis+clamav+spamassassin

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.117 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR