Comparaison des versions

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.
Commentaire: Published by Scroll Versions from space DA and version BM-4
Sv translation
languagefr
Remarque

Cette page n'est plus actualisée. À partir de BlueMind 4.8, veuillez consulter la nouvelle documentation BlueMind

Vérifier que le serveur BM n'est pas relai ouvert

Par défaut postfix est configuré pour être relai ouvert pour le serveur lui-même, ce qui permet aux différent services (webmail, EAS) d'envoyer des mails, il est possible via la console d'administration d'ajouter de nouvelles IP de confiance qui auront le droit d'envoyer des mails via le serveur BM, il s'agit en général de serveur du SI interne (logiciel de gestion des congés, monitoring, etc).

Si un de ces serveur est compromis, un spammer pourra alors utiliser le serveur BM pour envoyer du spam.

Vous pouvez détecter le problème par la présence de beaucoup de ligne du type :

Pas de format
Jun 21 08:34:30 centos7 postfix/smtpd[16863]: connect from gateway[192.168.122.111]
Jun 21 08:34:48 centos7 postfix/smtpd[16863]: 1C205316C411: client=gateway[192.168.122.111]
Jun 21 08:34:58 centos7 postfix/cleanup[16869]: 1C205316C411: message-id=<>
Jun 21 08:34:58 centos7 postfix/qmgr[16801]: 1C205316C411: from=<user1@domain.com>, size=233, nrcpt=1 (queue active)
Jun 21 08:34:59 centos7 postfix/smtp[16821]: 1C205316C411: to=<user2@anotherdomain.net>, relay=smtp.anotherdomain.net[XX.XX.XX.XX]:25, delay=20, delays=20/0/0.35/0.09, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 2F10238)
Jun 21 08:34:59 centos7 postfix/qmgr[16801]: 1C205316C411: removed
Jun 21 08:35:04 centos7 postfix/smtpd[16863]: disconnect from gateway[192.168.122.111]

La ligne client indique ici l'IP du serveur qui a émis ce mail, ici 192.168.122.111, s'il n'est pas légitime cela signifie que ce serveur est compromis et qu'il est utilisé pour envoyer du spam

les actions à mener :

  • supprimer l'ip du serveur incriminé dans la console d'administration BM et sauvegarder la configuration

Détecter l'utilisateur utilisé pour envoyer du SPAM

La plupart du temps le problème vient d'un spammer qui a trouvé, souvent par bruteforce, le mot de passe d'un compte utilisateur et il va l'utiliser pour envoyer du SPAM.

Vous pouvez identifier les connexions smtp avec la présence de beaucoup de lignes du type :


Bloc de code
May  5 00:08:55 hermes postfix/smtpd[27666]: 7E079B666CC: client=unknown[46.48.93.60], sasl_method=LOGIN, sasl_username=admin


Les actions à mener :

  • changer le mot de passe de l'utilisateur : soit dans BM, soit dans l'annuaire.
  • fermer toutes les sessions de cet utilisateur avec la commande :

    Bloc de code
    bm-cli user logout login@domain.com
  • nettoyer la queue postfix pour supprimer les mails en attente d'envoi, pour supprimer tous les mails en queue de l'utilisateur login@domain.net

    Bloc de code
    languagebash
    postqueue -p | tail -n +2 | awk 'BEGIN { RS = "" } /login@domain\.net/ { print $1 }' | tr -d '*!' | postsuper -d -
    Avertissement

    Cette commande va supprimer tous les mails dans la queue de l'utilisateur, qu'ils soient des SPAM ou des mails légitimes envoyés par l'utilisateur, cette commande peut être longue.

Comment se protéger de ces attaques ?

Limiter les attaques par brute-force

Pour limiter les tentatives de bruteforce, vous pouvez utiliser le plugin password-bruteforce, celui ci va bloquer les tentatives de connexion pendant 20 minutes après 3 échecs d'authentification.

Mettre en place une politique sur les mots de passe

Dans le cas ou vous n'utilisez pas un annuaire pour gérer les utilisateurs, vous pouvez utiliser le plugin password-sizestrength qui permet de mettre en place une politique afin de forcer des règles pour les mots de passe.

Comment détecter le problème au plus tôt ?

Une solution de monitoring permet de détecter rapidement le problème et de réagir avant que votre serveur ne soit blacklisté par les différents services anti-spam.

Bm-tick permet de mettre en place des alertes basées sur une augmentation importante du nombre de mails dans la queue postfix. Vous pouvez configurer cette alerte via le alert builder ou directement utiliser le script suivant :

View file
namepostfix_queue.tick
height250

Ce script va envoyer un mail d'alerte à admin@domain.net dès que la queue postfix atteint les 200 messages. En fonction de votre installation il est bien évidemment possible de configurer ces valeurs.

Sv translation
languageen
Remarque

This page is no longer being updated. From BlueMind 4.8, please refer to the new BlueMind documentation

Make sure that the BM server isn't an open relay

By default, Postfix is configured as an open mail server relay, which allows BlueMind services (webmail, EAS) to send emails. Through the admin console, you can add new trusted IPs which will be allowed to send emails through the BlueMind server, typically the internal IT server (holiday management software, monitoring, etc).

If one of these servers has become compromised, spammers may use the BM server to send spam.

If you have this issue, you'll find a large number of command lines such as:

Pas de format
Jun 21 08:34:30 centos7 postfix/smtpd[16863]: connect from gateway[192.168.122.111]
Jun 21 08:34:48 centos7 postfix/smtpd[16863]: 1C205316C411: client=gateway[192.168.122.111]
Jun 21 08:34:58 centos7 postfix/cleanup[16869]: 1C205316C411: message-id=<>
Jun 21 08:34:58 centos7 postfix/qmgr[16801]: 1C205316C411: from=<user1@domain.com>, size=233, nrcpt=1 (queue active)
Jun 21 08:34:59 centos7 postfix/smtp[16821]: 1C205316C411: to=<user2@anotherdomain.net>, relay=smtp.anotherdomain.net[XX.XX.XX.XX]:25, delay=20, delays=20/0/0.35/0.09, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 2F10238)
Jun 21 08:34:59 centos7 postfix/qmgr[16801]: 1C205316C411: removed
Jun 21 08:35:04 centos7 postfix/smtpd[16863]: disconnect from gateway[192.168.122.111]

In this instance, the client command line shows the IP of the server the email comes from, i.e. 192.168.122.111. If this IP isn't legitimate, the server is compromised and is being used to send spam.

Take the following action:

  • delete the IP for the server involved in the BM admin console and save the configuration.

Identifying the user used to send SPAM

Most of the time, the issue is that a spammer has found – often using brute-force – a user's password and uses their account to send SPAM.

You will spot smtp connections with many command lines such as:

Bloc de code
May  5 00:08:55 hermes postfix/smtpd[27666]: 7E079B666CC: client=unknown[46.48.93.60], sasl_method=LOGIN, sasl_username=admin

Take the following actions:

  • change the user's password: either in BM, or in the directory.
  • close all sessions for this user using the command:

    Bloc de code
    bm-cli user logout login@domain.com
  • clean the Postfix queue to delete emails pending to be sent for the user "login@domain.net".

    Bloc de code
    languagebash
    postqueue -p | tail -n +2 | awk 'BEGIN { RS = "" } /login@domain\.net/ { print $1 }' | tr -d '*!' | postsuper -d -
    Avertissement

    This command deletes all emails in the user's queue, whether they are SPAM or legitimate. This may take while.

Preventing spam attacks

Limiting brute-force attacks

To try and avoid brute-force attacks, you can use the plugin password-bruteforce which blocks connection attempts for 20 minutes after 3 failed authentications.

Set up a password policy

If you're not using a directory to manage users, you can use the password-sizestrength plugin which is used to set up a password policy with forced password rules.

How to spot this early?

A monitoring solution can help detect the issue quickly and react before your server becomes blacklisted by anti-spam services.

Bm-tick can be used to set up alerts when a strong increase in the number of emails is detected in the Postfix queue. You can configure this using the alert builder or the following script:

View file
namepostfix_queue.tick
height250

This script sends an alert email to admin@domain.net as soon as the Postfix queue reaches 200 messages. These values can be configured to match your installation.

Sv translation
languagede

Prüfen Sie, dass der BM-Server kein Open-Relay-Server ist

Postfix ist standardmäßig als Open-Relay-Server konfiguriert, was es den verschiedenen Diensten (Webmailer, EAS) ermöglicht, Mails zu senden. Über die Administrationskonsole können neue vertrauenswürdige IPs hinzugefügt werden, die das Recht haben, Mails über den BM-Server zu senden, in der Regel ist es der Server des internen IS (Urlaubsverwaltungssoftware, Monitoring usw.).

Wenn einer dieser Server beschädigt wird, kann ein Spammer den BM-Server zum Versenden von Spam verwenden.

Das Problem kann am Vorhandensein vieler Zeilen des folgenden Typs erkannt werden:

Pas de format
Jun 21 08:34:30 centos7 postfix/smtpd[16863]: connect from gateway[192.168.122.111]
Jun 21 08:34:48 centos7 postfix/smtpd[16863]: 1C205316C411: client=gateway[192.168.122.111]
Jun 21 08:34:58 centos7 postfix/cleanup[16869]: 1C205316C411: message-id=<>
Jun 21 08:34:58 centos7 postfix/qmgr[16801]: 1C205316C411: from=<user1@domain.com>, size=233, nrcpt=1 (queue active)
Jun 21 08:34:59 centos7 postfix/smtp[16821]: 1C205316C411: to=<user2@anotherdomain.net>, relay=smtp.anotherdomain.net[XX.XX.XX.XX]:25, delay=20, delays=20/0/0.35/0.09, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 2F10238)
Jun 21 08:34:59 centos7 postfix/qmgr[16801]: 1C205316C411: removed
Jun 21 08:35:04 centos7 postfix/smtpd[16863]: disconnect from gateway[192.168.122.111]

Die Client-Zeile gibt hier die IP des Servers an, der diese Mail gesendet hat, in diesem Fall 192.168.122.111; ist sie nicht legitim, bedeutet das, dass dieser Server nicht gesichert ist und zum Versenden von Spam verwendet wird

Zu ergreifende Maßnahmen:

  • löschen Sie die IP des fehlerhaften Servers in der BM-Administrationskonsole und speichern Sie die Konfiguration

Den Benutzer ausfindig machen, der zum Senden von SPAM verwendet wird

Meistens geht das Problem von einem Spammer aus, der – oft durch Bruteforce – das Passwort eines Benutzerkontos gefunden hat und es zum Versenden von SPAM verwendet.

Sie erkennen smtp-Verbindungen an dem Vorhandensein vieler Zeilen des Typs :


Bloc de code
May  5 00:08:55 hermes postfix/smtpd[27666]: 7E079B666CC: client=unknown[46.48.93.60], sasl_method=LOGIN, sasl_username=admin


Zu ergreifende Maßnahmen:

  • Das Passwort des Benutzers ändern: entweder in BM oder im Telefonbuch.
  • Alle Sitzungen dieses Benutzers schließen mit dem Befehl:

    Bloc de code
    bm-cli user logout login@domain.com
  • Die Postfix-Warteschlange aufräumen, um die zum Versenden anstehenden Mails zu löschen, um alle Mails in der Warteschlange des Benutzers login@domain.net zu löschen

    Bloc de code
    languagebash
    postqueue -p | tail -n +2 | awk 'BEGIN { RS = "" } /login@domain\.net/ { print $1 }' | tr -d '*!' | postsuper -d -
    Avertissement

    Mit diesem Befehl werden alle Mails in der Warteschlange des Benutzers gelöscht, unabhängig davon, ob es sich um SPAM oder tatsächliche Mails des Benutzers handelt.

Wie kann man sich vor diesen Angriffen schützen?

Brute-Force-Angriffe begrenzen

Um Brute Force-Versuche einzuschränken, können Sie das password-bruteforce-Plugin verwenden, das nach 3 fehlgeschlagenen Authentifizierungen Verbindungsversuche für 20 Minuten blockiert.

Festlegen einer Passwortrichtlinie

Wenn kein Verzeichnis zur Benutzerverwaltung verwendet wird, können Sie das Plugin password-sizestrength verwenden, mit dem eine Richtlinie zur Durchsetzung von Passwortregeln eingerichtet werden kann.

Wie kann man das Problem so früh wie möglich erkennen?

Mit einer Monitoring-Lösung können Sie das Problem schnell erkennen und reagieren, bevor Ihr Server von den verschiedenen Anti-Spam-Diensten auf eine schwarze Liste gesetzt wird.

Mit Bm-tick können Sie Alarme einrichten, die auf einem signifikanten Anstieg der Anzahl von Mails in der Postfix-Warteschlange basieren. Sie können diesen Alarm über den Alert Builder oder direkt mit dem folgenden Skript konfigurieren:

View file
namepostfix_queue.tick
height250

Dieses Skript sendet eine Warnmail an admin@domain.net, sobald die Postfix-Warteschlange 200 Nachrichten erreicht. Abhängig von Ihrer Installation ist es natürlich möglich, diese Werte zu konfigurieren.