https://uname.pingveno.net/blog/index.php/ Le blog de uname.pingveno.net fr Wed, 01 Apr 2026 16:19:15 +0200 Mathieu Pellegrin http://blogs.law.harvard.edu/tech/rss Dotclear https://uname.pingveno.net/blog/index.php/post/2017/09/12/The-war-on-SPAM%3A-an-review-of-the-real-world-tools urn:md5:61e3fbc7776ac7b0952799741974f844 Tue, 12 Sep 2017 02:54:00 +0200 Mathieu Informatique blacklist dkim dmarc greylist mail rbl server spam spf <p>Anti-spam techniques review: a few hints and tools review from my own experience.</p> <p>Spam mesage are very common these days, but filtering them out is not as easy as it seems. The filtering techniques have evolved at the same rate than the spammers' evasive techniques, and the risk of filtering out a legitimate message is greater than ever.</p> <p>It is also quite difficult to find good and up-to-date counter-measures list that anyone can implement.</p> <p>Here is a summary of the anti-spam strategies I used / am still using. I hope it will help you understanding today's threats, and build your own solutions.</p> <h3>Definitions</h3> <ul> <li> <p><strong>MTA</strong> : Mail Transport Agent : this is the software that will actually do mail delivery. It is listening on port 25 and answers to SMTP commands. Some common MTAs : Postfix, Exim. <a href="https://en.wikipedia.org/wiki/Message_transfer_agent">More about MTA</a>.</p> </li> <li> <p><strong>MX</strong> : MX records are DNS entries that are identifying the server responsible for mail delivery for the domain. <a href="https://en.wikipedia.org/wiki/MX_record" hreflang="en">More about MX records</a>.</p> </li> <li> <p><strong>RBL</strong> : Realtime Blackhole List : a list of blacklisted IPs, that should be considered as spam sources. It is called Realtime because they are constantly updated. <a href="https://en.wikipedia.org/wiki/DNSBL">More about RBL</a>.</p> </li> <li> <p><strong>RFC</strong> : Request For Comments, these are proposal for norms, some of them become norms. <a href="https://en.wikipedia.org/wiki/Request_for_comments">More about RFC</a>.</p> </li> <li> <p><strong>IPS</strong> : Intrusion Protection System : these are "smart firewalls" that are blocking malicious requests, often based on behavioral rules. <a href="https://en.wikipedia.org/wiki/Intrusion_detection_system" hreflang="en">More about IPS</a>.</p> </li> </ul> <h3>The goals</h3> <p>My personal goals on SPAM war are pretty short:</p> <ul> <li> <p>Minimum false positive: having a spam is better than missing an important mail, try keeping the "permanent bashing" as low as possible</p> </li> <li> <p>Hit harder on reoffending: coming-back spammers should be slapped harder</p> </li> <li> <p>Internet neutrality: try not to encourage big mail farm, and let fair little providers doing their business</p> </li> </ul> <h3>Available techniques</h3> <h4>Blacklist / Blackhole Lists</h4> <p><strong>Blacklists</strong>, <strong>Blackhole Lists</strong> (or <strong>RBLs</strong>) are the most ancient and most common measures for reducing spam. They are still pretty accurate, but:</p> <ul> <li>It depends A LOT on the <strong>quality of the list</strong>, trashy lists are very common and they would end up sucking resources for no result, or worse, blocking legitimate emails</li> <li>They are only accurate when <strong>updated often</strong>. I mean, very often (the R in RBL).</li> <li>You <strong>should not use it directly on the MTA</strong>, these lists are an <strong>aggressive</strong> artefact of the past, where spam did not come from mail farms.</li> <li>Very <strong>few are implementing IPv6</strong>, I agree that IPv6 spam is quite anecdotal, but it will probably change pretty soon (believe me)</li> </ul> <h4>Greylist</h4> <p><strong>Greylisting</strong> is issuing a temporary <strong>REJECT</strong> code to force the foreign server to keep the message and send it back later. It aims at increasing the "cost per mail" for spam farms, as they cannot "hit and run" as fast as before.</p> <p>The main culprits are that <strong>some providers are not implementing it well</strong> (hello Facebook) and so it needs an educated whitelist to work properly.</p> <p>Some spammers are also re-sending the same mail several times in case of failure, looking like a legitimate mail server, and making <strong>Greylisting</strong> inefficient.</p> <p>It is also hurting the fastness of the mail transmission, as the retry may occur several tens minutes after, <strong>slowing the mail delivery</strong> with little control on delays.</p> <p>Also, some legitimate mail farms (hello OVH) are distributing their retry on several servers, making <strong>Greylisting</strong> inapplicable without fully whitelisting them.</p> <h4>RFC compliance</h4> <p>Spammers are often running special softwares for their crafted emails, tightening <strong>RFC compliance</strong> may be a good way to kick them out.</p> <p>It can be as simple as <strong>forcing an HELO on SMTP protocol</strong>, or more tricky like <strong>checking the mail headers</strong> or <strong>enforcing a valid reverse</strong>.</p> <p>In the majority of cases, it is very efficient, but:</p> <ul> <li>Some home-made servers, especially Synology or Windows servers may be blocked while they are sending legitimate email. These servers are often ran by people who doesn't know or care on how to correctly setup a mail server. These buggy setups are more common than you think, and they are often legitimate senders, who have no clue of what is wrong, and are not willing to fix it (did I mentioned banking companies?).</li> <li>In the vast majority of cases, IPv6-ready servers have no reverse on their IPv6 addresses and/or the IPv6 reverse is wrong.</li> </ul> <h4>SPF and DKIM</h4> <p><strong>SPF</strong> and <strong>DKIM</strong> are anti-spoofing techniques. They does not guarantee that a mail is legitimate, but if the controls are showing an anomaly, it is very likely to be spam (or worse : scam or social engineering tentative).</p> <ul> <li>The <strong>SPF</strong> technique is based on IP or sending domain whitelist: the sending email domain publishes a list of servers allowed to send email, along with a hint on what is expected if it does not pass (soft or hard reject).</li> <li><strong>DKIM</strong> is much more complex as the sending mail server has to cryptographically sign every message with a domain-specific key, which is then published in a special domain record.</li> </ul> <p><strong>SPF</strong> has been proven efficient at its beginnings, but today many spammers are just using stolen email accounts or custom domains that does not publish any <strong>SPF</strong> records, making it less pertinent.</p> <p><strong>DKIM</strong> is, like <strong>SPF</strong>, an anti spoofing technique, and spammers may be likely to sign mails from their custom domain if it becomes a necessity. Like <strong>SPF</strong>, a signed mail is not necessarily a clean mail. By the way, signature problems are pretty comon, and trashing an offending <strong>DKIM</strong> may not be the right behavior: Yahoo broke a lot of mailing lists when they enforced their <strong>DMARC</strong> policy.</p> <p>To conclude, <strong>DKIM</strong> is relevant if you need to certify outgoing mails or if you are enforcing policies inside your company (to block spoofed email targeting your organisation) but it is definitely not an efficient anti-spam measure. And the recipient's servers may decide to simply ignore your painfully-configured DKIM headers.</p> <h4>Bayesian filters</h4> <p><strong>Bayesian filters</strong> are frequency-based spam detection mechanisms. The idea is to sort out ham and spam for a short period of time, to let it "learn" what spam is made of, for efficient content-based detection. It has the benefit of being organisation-specific, as what is ham and what is spam may vary from one company to another (a company selling drugs may not be willing to filter out every message containing the word "pill").</p> <p>But the learning process has to be taken seriously, and many end-users are just deleting spam instead of marking it for feeding the learning. By the way, the learning process needs IMAP folders to sort mails, and it will not work properly if all users are using POP mailboxes.</p> <h3>Spammers techniques</h3> <p>Or "the today's weapons of this war" .</p> <p>Here is a short review of the spammers techniques I know, and some counter measures.</p> <h4>Address guessing</h4> <p>Some spammers are taking random web domains from their crawling, and then try to send their mails to commonly used addresses patterns. It can be webmaster@ ; ceo@ or whatever. These are easy to spot in log files, and a well configured MTA can take counter measures to lock out these guesses. Free (French ISP) is actually implementing this: <a href="http://postmaster.free.fr/index_en.html" hreflang="en">postmaster.free.fr/index_en.html</a></p> <p>Unfortunately, some legitimate email are sometimes sent to non existent addresses (typo, user deleted, etc) and legitimate MTA sometimes get blocked if the ban trigger is too low.</p> <p>Moreover, nowadays' spammers are distributing their guesses trough zombie machines to stay under triggers, making it hard to spot.</p> <h4>Botnets</h4> <p>A lot of spammers are using zombies machines to send a high amount of mail in a short amount of time. Commercial ISP are taking the problem seriously, and many are blocking or filtering port 25 on their dynamic ranges, making impossible to have a custom mail server at home, but also preventing infected machines from sending direct-to-SMTP queries.</p> <h4>Direct to SMTP connections, ignoring MXes</h4> <p>Some spammers are just scanning IP ranges and directly talking to MTA, even if these MTAs are internal and pointed by no MX records. You may think that an authoritarian firewall is the neat solution, but it may be worth collecting these feisty IPs and feed them to an IPS, to protect the network from their guesses on the real MTAs.</p> <h4>Fake bounces and backsquatting</h4> <p>Sometimes you get an Undelivered Message notice (DSN) for a mail you never sent. This is probably backsquatting.<br /> Backsquatting is sending email to a buggy address with a valid "from" address. An incorrectly configured mailserver would reply straight away to the from address to notify the failed delivery, instead of rejecting the mail and letting the foreign server doing the dirty job.</p> <p>These configuration errors are pretty common, sometimes in defaut configurations or example configurations, but they can be easily avoided (look for documentation about backsquatting for your MTA, and test if your y server is vulnerable).</p> <h3>Real life advices</h3> <p>I am sorry, I don't have the magic wand to stop all Spam. A good spam fighting solution is always a combination of techniques, SpamAssassin for instance uses scoring from RBL as well as a bayesian filter and SPF checks.</p> <p>I think that constant monitoring is important. Not just automated monitoring, but also clever log reading and mind openness on what can be a better solution for each problem. You never know what can happen in a spammer mind, and what works today may not work tomorrow. The Internet of Things is already a game changer.</p> <p>I also advise you to be careful. Some decisions on our implementations may really hurt the Internet. Locking whole countries out is not without consequences, and the rise of IPv6 Internet has to be take into consideration from now.</p> <p>Things are often not that pretty in mail servers, the temptation is great for a default blocking policy (hello MailInBlack). But as sysadmins, it is our responsability to not abuse and not hurting the smallest actors in the market (mails not coming from big farms). That may be a big word, but in my opinion, the freedom of the Internet also count on our neutrality on mail processing.</p> <p>Thanks for reading.</p> https://uname.pingveno.net/blog/index.php/post/2016/06/13/SSL-vs-TLS-vs-STARTTLS urn:md5:6edbd0220a0b8dc911d751eb40a11ddc Mon, 13 Jun 2016 17:03:00 +0200 Mathieu Informatique mail serveur ssl starttls tls <p>Cet article est une traduction libre de <a href="https://www.fastmail.com/help/technical/ssltlsstarttls.html">https://www.fastmail.com/help/technical/ssltlsstarttls.html</a></p> <p>J'ai réalisé cette traduction pour fournir à mes clients une explication simple mais complète sur le pourquoi du comment de SSL/TLS/STARTTLS lors de la configuration de leur client mail.</p> <p>Attention, <strong>l'article original date de 2012</strong>.</p> <h3>Définitions</h3> <ul> <li> <p><strong>Protocole</strong> : un protocole de communication est un format de données, un "langage" permettant à deux machine de communiquer entre elles. Les deux machines doivent être en capacité de parler le même protocole pour pouvoir échanger des données. SSL est un protocole de communication sécurisé ("chiffrés"), popularisé par le célèbre "cadenas" visible sur les pages web.</p> </li> <li> <p><strong>Port</strong> : un port est un numéro de service sur lequel les logiciels vous pouvoir communiquer entre eux. La plupart des numéros de port sont associés à des protocoles précis.</p> </li> </ul> <h3>Introduction</h3> <p>Il y a souvent de la confusion autour des différents termes <strong>SSL</strong>, <strong>TLS</strong> and <strong>STARTTLS</strong>.</p> <p><a href="https://en.wikipedia.org/wiki/Transport_Layer_Security">SSL et TLS</a> fournissent tous deux un moyen de chiffrer le canal de communication entre deux ordinateurs (par exemple votre ordinateur et votre serveur mail). TLS est le successeur de SSL et les termes SSL et TLS sont interchangeables, à moins que vous ne fassiez référence à une version particulière du protocole.</p> <p><a href="https://en.wikipedia.org/wiki/Starttls">STARTTLS</a> est un moyen de prendre une connexion non chiffrée existante, et la "mettre à jour" vers une connexion sécurisée en utilisant SSL/TLS. Notez que même s'il contient TLS dans son nom, STARTTLS ne signifie pas que vous devez obligatoirement utiliser TLS, vous pouvez utiliser SSL.</p> <h3>Numéros de version SSL/TLS</h3> <p>La numérotation des versions du protocole est inconsistante entre SSL et TLS. Lorsque TLS a remplacé SSL comme protocole préférentiel pour les communications chiffrées, il a commencé avec une nouvelle numérotation de versions, et a également commencé à utiliser des sous-versions. L'ordre des versions des protocoles du plus ancien au plus récent est donc : SSL&nbsp;v2, SSL&nbsp;v3, TLS&nbsp;v1.0, TLS&nbsp;v1.1, TLS&nbsp;v1.2.</p> <p>Lorsque vous vous connectez sur un port chiffré avec SSL/TLS, ou que vous utilisez STARTTLS pour convertir la connexion en connexion chiffrée, les deux systèmes vont négocier quel protocole et quelle version utiliser, en se basant ce qui a été configuré et sur ce que chaque système supporte.</p> <p>Le support pour SSL/TLS est "virtuellement" universel de nos jours, mais le support des versions est variable. Pratiquement tous les systèmes supportent SSL&nbsp;v3 (à part quelques rares appareils Palm Treo <a href="https://blog.fastmail.com/2009/11/18/special-ssl-hostname-for-old-clients/">comme nous avons pu le constater</a>). La plupart des systèmes supportent TLS&nbsp;v1.0. À la date de Mai 2012, <a href="https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers">le support pour TLS&nbsp;v1.1 et TLS&nbsp;v1.2 est beaucoup plus restreint</a>.</p> <h2>Dénomination incorrecte TLS vs STARTTLS</h2> <p>Pour compliquer les choses, certains logiciels de mail utilisent <strong>incorrectement</strong> le terme TLS à la place de STARTTLS. Les plus vieilles versions de Thunderbird en particulier utilisent "TLS" pour dire « <code>utiliser STARTTLS pour chiffrer la connexion dès que possible et abandonner si STARTTLS n'est pas supporté</code> » et « <code>TLS, si disponible</code> » signifie « <code>utiliser STARTTLS pour chiffrer la connexion dès que possible si le serveur déclare le supporter, sinon utiliser simplement une connexion non chiffrée</code> ».</p> <h2>Numéros de ports SSL/TLS vs plaintext/STARTTLS</h2> <p>Le problème du dessus est particulièrement problématique lorsque vous devez configurer des ports différents pour chaque protocole.</p> <p>Pour ajouter de la sécurité à certains protocoles (e.g. IMAP, POP, etc.), il a été décidé d'ajouter nativement une couche de chiffrement SSL/TLS dans le protocole. Cependant, pour identifier que le logiciel doit parler la version nativement chiffrée du protocole au lieu de la version non chiffrée, un port différent a été déclaré pour chaque protocole. Vous avez donc :</p> <ul> <li>IMAP utilise le port <code>143</code>, mais IMAP avec SSL/TLS utilise le port <code>993</code>.</li> <li>POP utilise le port <code>110</code>, mais POP avec SSL/TLS utilise le port <code>995</code>.</li> <li>SMTP utilise le port <code>25</code>, mais SMTP avec SSL/TLS utilise le port <code>465</code>.</li> </ul> <p>Au bout d'un moment, il a été décidé qu'utiliser deux ports pour chaque protocole était du gaspillage, et qu'à la place il devrait y avoir un seul port sur lequel commencer la communication de manière non chiffrée, puis proposer au système distant de mettre à jour vers la version chiffrée. C'est ce pour quoi STARTTLS a été créé.</p> <p>Il y a eu quelques problèmes avec cette proposition. Il y avait déjà des logiciels qui utilisaient les numéros de port alternatifs avec une connexion SSL/TLS native. Les logiciels clients peuvent avoir une durée de vie très longue, donc vous ne pouvez pas juste désactiver les ports chiffrés avant que tous les logiciels ne soient remplacés ou mis à jour.</p> <p>Des mécanismes ont été mis en place sur chaque protocole pour dire aux systèmes que le protocole non chiffré supportait STARTTLS, et qu'ils ne doivent pas essayer de se connecter avant de démarrer la négociation STARTTLS. Cela créa deux situations malheureuses :</p> <ol> <li>Certains logiciels ignoraient simplement l'instruction « <code>login désactivé jusqu'à ce que la connexion soit convertie en SSL avec STARTTLS</code> » et essayaient de se connecter tout de même, envoyant leur login et mot de passe à travers la connexion non chiffrée. Même si le serveur à ce moment là rejette le login, les informations sont déjà passées en clair sur Internet.</li> <li>D'autres logiciels voyaient l'annonce « <code>login désactivé jusqu'à conversion en SSL</code> », mais ne mettaient pas à jour leur connexion automatiquement, et renvoyaient des erreurs « <code>mot de passe incorrect</code> » à l'utilisateur, ce qui provoqua de la confusion sur ce qui était incorrect dans la configuration.</li> </ol> <p>Ces deux problèmes causèrent finalement d'importantes incompatibilités entre les logiciels existants, et la plupart des administrateurs systèmes continuèrent d'utiliser les connexions exclusivement non sécurisés sur le port d'origine, et les connexions SSL natives sur un port alternatif.</p> <p>C'est donc devenu de fait le standard que tout le monde utilise. IMAP SSL/TLS chiffré sur le port<code>993</code> ou POP SSL/TLS chiffré sur le port <code>995</code>. Beaucoup de sites (dont FastMail) désactive à présent le port IMAP non sécurisé (port <code>143</code>) et le port POP non sécurisé (port <code>110</code>) pour que les utilisateurs utilisent <strong>obligatoirement</strong> une connexion chiffrée SSL/TLS. En désactivant les ports <code>143</code> et <code>110</code>, cela supprime également complètement STARTTLS, même en tant qu'option pour les connexions IMAP/POP.</p> <h2>SMTP STARTTLS comme une exception</h2> <p>La seule vraie exception à ce qui précède est SMTP. Cependant, c'est pour une raison différente. La plupart des logiciels email utilisent utilisaient le port <code>25</code> pour soumettre des messages à envoyer au serveur mail. Cependant, SMTP a été créé à l'origine comme un protocole d'échange de messages, et non de soumission. Un autre port (587) a donc été <a href="https://tools.ietf.org/html/rfc2476">déclaré pour la soumission de messages</a>. Bien que le port <code>587</code> ne nécessite pas explicitement STARTTLS, l'utilisation du port <code>587</code> est devenu populaire au même moment où l'utilisation de SSL/TLS était devenue un enjeu important de sécurité et de confidentialité.</p> <p>Le résultat c'est que dans la plupart des cas, les systèmes qui proposent la soumission par le port <code>587</code> <strong>nécessitent</strong> que les logiciels utilisent STARTTLS pour chiffre la connexion, et nécessitent aussi un login et un mot de passe pour s'identifier. Il y a plusieurs avantages à cette approche. En écartant les utilisateurs du port <code>25</code>, les FAI ont été en mesure de bloquer le port <code>25</code> pour prévenir les envois automatiques de SPAM causés par l'infection des postes de leurs utilisateurs.</p> <p>Actuellement,&nbsp; les choses semblent encore aléatoires, divisées entre les gens qui utilisent SMTP SSL/TLS chiffré sur le port <code>465</code>, et les gens qui utilisent SMTP avec STARTTLS sur le port <code>587</code>.</p> <p><em>NDLR : SMTPS sur le port <code>465</code> est aujourd'hui <a href="https://en.wikipedia.org/wiki/SMTPS">définitivement obsolète</a>.</em></p> https://uname.pingveno.net/blog/index.php/post/2016/04/28/C-est-l-histoire-d-un-spam-Partie-1 urn:md5:06779a5b5e416b7931e49ff3f692ba7f Mon, 02 May 2016 15:48:00 +0200 Mathieu Informatique mail postfix serie-mail-postfix-spam spam <p>Le SPAM par mail, c'est pénible. C'est du travail à temps plein si on veut s'en débarrasser en gênant le moins les utilisateurs. De la stricte application des RFC aux paramètres secrets de spamassassin, je vais essayer dans cette nouvelle série d'articles essayer de vous en faire mieux comprendre les techniques, et proposer à mon échelle les quelques solutions "qui marchent", du moins pour moi.</p> <p>Voici donc pour cette première partie un cours d'autopsie. Le SPAM que nous décortiquer aujourd'hui est un mail est est resté coincé en <em>queue</em> sur le serveur mail. Bien que tous les mails en queue ne soient pas du SPAM, il est important de surveiller la taille de cette liste de mails "en transit" ; un grand nombre de mails dans cette liste indiquant souvent un problème d'envoi ou de réception.</p> <p>Affichons donc la queue :</p> <pre> # mailq 1430281C33 8589 Thu Apr 28 14:51:58 MAILER-DAEMON (connect to serveurspamserveur.net.ae[86.96.xxx.xxx]:25: Connection refused) spammeur@serveurspamserveur.net.ae </pre> <p>Première constatation : l'adresse source ne correspond pas à une adresse gérée par le serveur, ce n'est donc pas un mail envoyé par un des utilisateurs du serveur. Mais alors comment ça se fait que je route des mails qui ne viennent pas de chez moi, et qui ne vont pas chez moi ? Mon serveur serait configuré en <a href="https://en.wikipedia.org/wiki/Open_mail_relay">OpenRelay</a> (ça serait inquiétant) ?</p> <p>Examinons le contenu brut du mail à partir de son ID. La commande postcat permet de le faire pour Postfix, à adapter selon votre MTA.</p> <pre> # postcat -q 1430281C33</pre> <p>Ci-dessous la sortie de la commande postcat que j'ai colorisée :</p> <pre> <span style="color:#696969;">*** ENVELOPE RECORDS deferred/1/1430281C33 ***</span> <span style="color:#696969;">message_size: 8589 234 1 0 8589 message_arrival_time: Thu Apr 28 14:51:58 2016 create_time: Thu Apr 28 14:51:58 2016 named_attribute: log_message_origin=local named_attribute: trace_flags=0 sender: original_recipient: spammeur@spamserveur.net.ae recipient: spammeur@spamserveur.net.ae</span> <span style="color:#00FFFF;">*** MESSAGE CONTENTS deferred/1/1430281C33 *** Received: by monserveur.com (Postfix) id 1430281C33; Thu, 28 Apr 2016 14:51:58 +0200 (CEST) Date: Thu, 28 Apr 2016 14:51:58 +0200 (CEST) From: MAILER-DAEMON@monserveur.com (Mail Delivery System) Subject: Undelivered Mail Returned to Sender To: spammeur@spamserveur.net.ae Auto-Submitted: auto-replied MIME-Version: 1.0</span> <span style="color:#FF0000;">Content-Type: multipart/report; report-type=delivery-status; boundary="B25FA81C32.1461847918/monserveur.com"</span> <span style="color:#00FFFF;">Content-Transfer-Encoding: 8bit Message-Id: &lt;20160428125158.1430281C33@monserveur.com&gt;</span> <strong>This is a MIME-encapsulated message.</strong> <span style="color:#FF0000;">--B25FA81C32.1461847918/monserveur.com</span> <span style="color:#00FFFF;">Content-Description: Notification Content-Type: text/plain; charset=us-ascii</span> <strong>This is the mail system at host monserveur.com. I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below. For further assistance, please send mail to postmaster. If you do so, please include this problem report. You can delete your own text from the attached returned message. The mail system &lt;monclient@gmail.com&gt;: host gmail-smtp-in.l.google.com[2a00:1450:400c:xxxx::xxxx] said: 552-5.7.0 This message was blocked because its content presents a potential 552-5.7.0 security issue. Please visit 552-5.7.0 https://support.google.com/mail/answer/6590 to review our message 552 5.7.0 content and attachment content guidelines. cw9si10769736wjb.20 - gsmtp (in reply to end of DATA command)</strong> <span style="color:#FF0000;">--B25FA81C32.1461847918/monserveur.com</span> <span style="color:#00FFFF;">Content-Description: Delivery report Content-Type: message/delivery-status Reporting-MTA: dns; monserveur.com X-Postfix-Queue-ID: B25FA81C32 X-Postfix-Sender: rfc822; spammeur@spamserveur.net.ae Arrival-Date: Thu, 28 Apr 2016 14:51:57 +0200 (CEST) Final-Recipient: rfc822; monclient@gmail.com Original-Recipient: rfc822;monclient@gmail.com Action: failed Status: 5.7.0 Remote-MTA: dns; gmail-smtp-in.l.google.com Diagnostic-Code: smtp; 552-5.7.0 This message was blocked because its content presents a potential 552-5.7.0 security issue. Please visit 552-5.7.0 https://support.google.com/mail/answer/6590 to review our message 552 5.7.0 content and attachment content guidelines. cw9si10769736wjb.20 - gsmtp</span> <span style="color:#FF0000;">--B25FA81C32.1461847918/monserveur.com</span> <span style="color:#00FFFF;">Content-Description: Undelivered Message Content-Type: message/rfc822 Content-Transfer-Encoding: 8bit Return-Path: &lt;spammeur@spamserveur.net.ae&gt; Received: from localhost (localhost [127.0.0.1]) by monserveur.com (Postfix) with ESMTP id B25FA81C32 for &lt;monclient@gmail.com&gt;; Thu, 28 Apr 2016 14:51:57 +0200 (CEST) X-Virus-Scanned: Debian amavisd-new at monserveur.com Received: from monserveur.com ([127.0.0.1]) by localhost (monserveur.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id vn_xZRLJ3EKq for &lt;monclient@gmail.com&gt;; Thu, 28 Apr 2016 14:51:51 +0200 (CEST) Received: by monserveur.com (Postfix, from userid 5000) id BE51181C31; Thu, 28 Apr 2016 14:51:51 +0200 (CEST) X-Sieve: Pigeonhole Sieve 0.4.2 X-Sieve-Redirected-From: contact@monclient.com Delivered-To: contact@monclient.com Received: from localhost (localhost [127.0.0.1]) by monserveur.com (Postfix) with ESMTP id 95E2581C33 for &lt;contact@monclient.com&gt;; Thu, 28 Apr 2016 14:51:51 +0200 (CEST) X-Virus-Scanned: Debian amavisd-new at monserveur.com Received: from monserveur.com ([127.0.0.1]) by localhost (monserveur.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 8agkFLPzF_vy for &lt;contact@monclient.com&gt;; Thu, 28 Apr 2016 14:51:44 +0200 (CEST) Received: from bba148580.serveurspam.net.ae (bba148580.serveurspam.net.ae [217.165.xxx.xxx]) by monserveur.com (Postfix) with ESMTP id 774C481C27 for &lt;contact@monclient.com&gt;; Thu, 28 Apr 2016 14:51:44 +0200 (CEST) Received: from www.serveurspam.net.ae ([127.0.0.1]) by AMAZONA-F00CA66 with Microsoft SMTPSVC(7.5.7601.17514); Thu, 28 Apr 2016 16:51:42 +0400 Date: Thu, 28 Apr 2016 16:51:42 +0400 To: "contact@monclient.com" &lt;contact@monclient.com&gt; From: xxxx xxxx &lt;spammeur@spamserveur.net.ae&gt; Subject: [SPAM] FW: Invoice Message-ID: &lt;be0fa65c2e77bf81d3fd1b0216e8e742@www.serveurspam.net.ae&gt; X-Priority: 3 X-Mailer: PHPMailer [version 1.73] MIME-Version: 1.0</span> <span style="color:#FF0000;">Content-Type: multipart/mixed; boundary="b1_be0fa65c2e77bf81d3fd1b0216e8e742"</span> <span style="color:#00FFFF;">X-OriginalArrivalTime: 28 Apr 2016 16:51:42.0538 (UTC) FILETIME=[40C0DFC0:01D1A068]</span> <span style="color:#FF0000;">--b1_be0fa65c2e77bf81d3fd1b0216e8e742</span> <span style="color:#00FFFF;">Content-Type: multipart/alternative; boundary="b2_be0fa65c2e77bf81d3fd1b0216e8e742"</span> <span style="color:#FF0000;">--b2_be0fa65c2e77bf81d3fd1b0216e8e742</span> <span style="color:#00FFFF;">Content-Type: text/plain; charset = "iso-8859-1" Content-Transfer-Encoding: 8bit</span> <strong>Please find attached invoice #726990 Have a nice day Rowena Pittman Executive Director Sales Account Management Training Performance Support</strong> <span style="color:#FF0000;">--b2_be0fa65c2e77bf81d3fd1b0216e8e742</span> <span style="color:#00FFFF;">Content-Type: text/html; charset = "iso-8859-1" Content-Transfer-Encoding: 8bit</span> <strong>&lt;html&gt; &lt;body&gt; &lt;p&gt;Please find attached invoice #726990&lt;br&gt;&lt;br&gt;&lt;br&gt;Have a nice day&lt;br&gt;&lt;br&gt;&lt;br&gt;Rowena Pittman&lt;br&gt; Executive Director Sales Account Management Training Performance Support&lt;/p&gt; &lt;/body&gt;&lt;/html&gt;</strong> <span style="color:#FF0000;">--b2_be0fa65c2e77bf81d3fd1b0216e8e742-- --b1_be0fa65c2e77bf81d3fd1b0216e8e742</span> <span style="color:#00FFFF;">Content-Type: application/zip; name="B1095_scan-invoice_0B0C3F.zip" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="B1095_scan-invoice_0B0C3F.zip"</span> <strong>UEsDBBQAAAAIAIRenEiR5N/wYgcAAHQTAAAKAAAAMTk0MGMwOS5qc9VYaW/TMBj+DBL/IUQC ElYGLacoCNJr7Wh6LKVrixBKHCdxDid17oz9d+ys45IzBN+YtmWLX7/v4+c93Uwnwgha4xSe ...</strong> <span style="color:#FF0000;">--b1_be0fa65c2e77bf81d3fd1b0216e8e742--</span> <span style="color:#FF0000;">--B25FA81C32.1461847918/monserveur.com--</span> <span style="color:#696969;">*** HEADER EXTRACTED deferred/1/1430281C33 *** named_attribute: encoding=8bit *** MESSAGE FILE END deferred/1/1430281C33 ***</span></pre> <p>Les lignes que j'ai mises en <span style="color:#696969;">gris</span> ne sont pas très intéressantes : il s'agit de l'enveloppe et des informations fournies par le système qui gère la queue, intéressons-nous plutôt au reste.</p> <p>Les lignes en <span style="color:#0000FF;">bleu</span> sont les en-têtes, ce sont elles qui retracent à la fois le format du message, mais aussi leur trajet à travers les différents serveurs mails qui l'ont manipulé. Comme une liste de tampons sur un passeport. Ce sont en particulier les lignes commençant par <span style="color:#0000FF;">Received</span>, qui tracent le trajet des mails à travers les échanges entre les serveurs. La première ligne Received correspondant au dernier échange réalisé, et la dernière ligne <span style="color:#0000FF;">Received</span> au premier échange réalisé.</p> <p>Dans l'en-tête on retrouve aussi l'ID du message, <strong>1430281C33</strong>, et son parcours entre les seveurs mail. Chaque serveur par lequel le mail passe va rajouter une ligne, la première ligne correspondant au dernier serveur ayant reçu le message.</p> <p>Les lignes en <span style="color:#FF0000;">rouge</span> sont ce que l'on appelle les boundaries (et leurs déclarations). Ce sont des lignes de séparation permettant de dissocier les pièces jointes du reste du message. Ici on en a plusieurs, parce qu'en fait à chaque échange, le mail s'est fait attacher à un autre mail. Ce n'est pas courant, à moins que le mail n'ai été enrichi d'informations supplémentaire après un "rejet" du serveur de destination. Ici, il s'est donc probablement fait "jeter" plusieurs fois !</p> <p>Commençons notre analyse par la fin du message. Le mail original contenait visiblement lui aussi une pièce jointe, et à en juger par le texte invitant à ouvrir la pièce jointe, il est fort possible que ça soit un SCAM. Un message vous invitant à ouvrir un faux fichier PDF qui va infecter l'ordinateur. Heureusement donc que ce mail n'est pas arrivé jusqu'à sa destination.</p> <p>Remontons un peu, on constate que le mail a été envoyé avec PHPMailer, et qu'il a été marqué en [SPAM] dans le sujet par mon filtre antispam. La première trace de l'arrivée du mail est la suivante :</p> <pre> <span style="color:#00FFFF;">Received: from bba148580.serveurspam.net.ae (bba148580.serveurspam.net.ae [217.165.xxx.xxx]) by monserveur.com (Postfix) with ESMTP id 774C481C27 for &lt;contact@monclient.com&gt;; Thu, 28 Apr 2016 14:51:44 +0200 (CEST) Received: from www.serveurspam.net.ae ([127.0.0.1]) by AMAZONA-F00CA66 with Microsoft SMTPSVC(7.5.7601.17514); Thu, 28 Apr 2016 16:51:42 +0400</span></pre> <p>La ligne au-dessus, c'est la trace du passage à l'antispam et à l'antivirus :</p> <pre> <span style="color:#00FFFF;">Received: from localhost (localhost [127.0.0.1]) by monserveur.com (Postfix) with ESMTP id 95E2581C33 for &lt;contact@monclient.com&gt;; Thu, 28 Apr 2016 14:51:51 +0200 (CEST) X-Virus-Scanned: Debian amavisd-new at monserveur.com Received: from monserveur.com ([127.0.0.1]) by localhost (monserveur.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 8agkFLPzF_vy for &lt;contact@monclient.com&gt;; Thu, 28 Apr 2016 14:51:44 +0200 (CEST)</span></pre> <p>Rien de spécial, l'antivirus et l'antispam sont installés en local et ont fait leur job dès que le message a été reçu. Continuons.</p> <pre> <span style="color:#00FFFF;">X-Sieve: Pigeonhole Sieve 0.4.2 X-Sieve-Redirected-From: contact@monclient.com</span></pre> <p>Ça c'est le mécanisme qui gère les alias de mon serveur. <a href="https://fr.wikipedia.org/wiki/Sieve">Sieve</a> va rediriger l'adresse contact@monclient.com vers la bonne adresse de destination, l'adresse contact@monclient.com étant un alias.</p> <pre> <span style="color:#00FFFF;">Received: from monserveur.com ([127.0.0.1]) by localhost (monserveur.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id vn_xZRLJ3EKq for &lt;monclient@gmail.com&gt;; Thu, 28 Apr 2016 14:51:51 +0200 (CEST) Received: by monserveur.com (Postfix, from userid 5000) id BE51181C31; Thu, 28 Apr 2016 14:51:51 +0200 (CEST)</span></pre> <p>On transfère tout ça au MTA local pour envoi à la destination finale :</p> <pre> <span style="color:#00FFFF;">Received: from localhost (localhost [127.0.0.1]) by monserveur.com (Postfix) with ESMTP id B25FA81C32 for &lt;monclient@gmail.com&gt;; Thu, 28 Apr 2016 14:51:57 +0200 (CEST)</span></pre> <p>Fin du premier message, on traverse la boundary pour voir ce qu'il s'est passé ensuite :</p> <pre> <strong>&lt;monclient@gmail.com&gt;: host gmail-smtp-in.l.google.com[2a00:1450:400c:xxxx::xxxx] said: 552-5.7.0 This message was blocked because its content presents a potential 552-5.7.0 security issue.</strong></pre> <p>Ça c'est moins cool. En gros, gmail a jeté le message, parce que la pièce jointe était sans doute contaminée. Mon antivirus n'a rien vu, il va falloir chercher pourquoi (plus tard).</p> <p>On continue de remonter, et au-dessus de la dernière boundary, on a :</p> <pre> <span style="color:#00FFFF;">Received: by monserveur.com (Postfix) id 1430281C33; Thu, 28 Apr 2016 14:51:58 +0200 (CEST)</span></pre> <p>Ok, gmail m'a renvoyé le message plus ou moins gentiement en m'expliquant qu'il n'en voulait pas, et mon serveur essaie de le transférer au spammeur original qui nous a fermé sa porte. Le mail reste donc en queue jusqu'à son expiration... Voilà pourquoi il traîne dans la queue des mails et qu'il n'a été envoyé ni par moi ni pour moi...</p> <h3>Conclusion</h3> <p>J'espère que cette courte plongée dans les en-têtes d'un mail vous a permis de vous familiariser avec le "vrai" contenu d'un mail.</p> <p>Ici je ne peux plus faire grand chose avec ce mail à part le supprimer de la queue mail, le spammeur ayant certainement déjà été bloqué par son hébergeur ou changé d'adresse IP pour continuer à envoyer sans se faire prendre par les blacklists.</p> <p>À bientôt pour un nouvel article. <img src="/blog/themes/mathedit_material3/smilies/smile.png" alt=":)" class="smiley"></p> https://uname.pingveno.net/blog/index.php/post/2016/02/09/Diminuer-le-taux-de-rejet-des-mails-sortants-pour-un-fournisseur-de-bo%C3%AEtes-mail urn:md5:de20367e11d0beb125dad9998acb8bf6 Tue, 09 Feb 2016 21:06:00 +0100 Mathieu Informatique exim mail postfix serveur <p>En théorie, tout le monde peut s’improviser fournisseur d’emails, il suffit d’une machine avec les ports ouverts sur Internet et de quelques connaissances pour configurer le serveur mail (Postfix, Exim…)</p> <p>En pratique, les fournisseurs de mails subissent la «&nbsp;concurrence déloyale&nbsp;» de leur camarades, car envoyer un mail c’est bien, faire en sorte qu’il soit reçu c’est mieux. Les «&nbsp;concurrents&nbsp;» ce sont les fournisseurs de service comme Hotmail, Gmail, Yahoo, et bien d’autres. Afin de lutter contre le SPAM, ces sociétés sont de plus en plus strictes sur la source des mails qui sont reçus par leurs services.</p> <p>Une des conséquences c’est que les petits opérateurs, comme une start-up qui fournit de l’hébergement, un FAI associatif, ou même un particulier qui veut se réapproprier Internet, se font bloquer assez rapidement avec peu de solutions de recours, le support faisant souvent la sourde oreille.</p> <p>Dans cet article, je vais donc explorer quelques pistes pour vous permettre d’abord d’éviter de vous retrouver bloqués, et ensuite contourner le blocage le cas échéant.</p> <p><strong>Ce billet est le produit de mes expériences avec l'hébergeur <a href="http://wellhosted.ch">wellhosted</a>.</strong></p> <h3>Réputation (et monitoring)</h3> <p>Déjà, si vous avez une adresse IP dynamique, oubliez l’envoi de mails. Il est très difficile avec une IP dynamique d’assurer à la fois une réception correcte (même avec un MX pointant sur un DynDNS), et un envoi qui réussisse à tous les coups. D’ailleurs, la plupart des opérateurs proposant des IPs dynamiques bloquent le port 25, rendant l’envoi des mails «&nbsp;entre serveurs&nbsp;» impossible.</p> <p>Ensuite, la seconde bonne raison pour avoir une IP fixe, c’est que les contrôlent antispam reposent en grande partie sur la réputation des IPs qui leur envoient des mails. Ce mécanisme s’appelle le <a href="https://fr.wikipedia.org/wiki/Lutte_anti-spam#RBL">RBL</a> pour Realtime Block List. Les serveurs s’abonnent à des listes d'adresses IP connues pour émettre du SPAM, et refusent de recevoir les mails depuis ces IPs. Pas de chance si vous avez hérité d’une IP « qui pue », il vous faudra patiemment demander votre retrait de la liste de blocage au cas par cas.</p> <p>Il existe des outils pour tester votre IP sur un grand nombre de RBL&nbsp; : <a href="http://mxtoolbox.com/blacklists.aspx">mxtoolbox.com/blacklists.aspx</a></p> <p>Vous pouvez également mettre en place une surveillance automatique de votre réputation sur plusieurs blocklists, soit <a href="https://exchange.nagios.org/directory/Plugins/Email-and-Groupware/check_rbl/details">avec un simple plugin Nagios</a>, soit avec un outil comme <a href="http://www.rblmon.com/">RBLMon</a>.</p> <p>A noter que certaines listes ne permettent pas de faire «&nbsp;retirer&nbsp;» votre IP de la liste. Pas d’inquiétude pour ces listes, personne ne les utilise. Il existe par contre des fournisseurs de service qui ne publient pas leurs listes, et qui ont un processus contraignant pour se faire débloquer (Microsoft par exemple).</p> <p>Une fois que votre IP est fixe et qu'elle est propre, l’étape suivante c’est conserver la réputation de votre IP et être irréprochable sur les mails que vous envoyez, mail nous verrons cela dans la suite.</p> <h3>IPv6</h3> <p>Même si ce n’est pas indispensable, IPv6 est le futur d'Internet, et de nombreux serveurs mails parlent IPv6. En utilisant IPv6, vous aurez aussi l’avantage que beaucoup de RBL ne sont pas prêtes pour IPv6, et donc votre IP ne sera certainement pas bloquée sur ces listes.</p> <p>Revers de la médaille : oubliez l’utilisation d’une IPv6 exclusive, certains fournisseurs de mail utilisent encore exclusivement IPv4, il vous faudra donc une configuration réseau supportant les deux adressages pour être certain de pouvoir livrer vos mails.</p> <h3>Reverse, PTR, et Hostname</h3> <p>Le « <a href="https://en.wikipedia.org/wiki/Reverse_DNS_lookup">Reverse</a> », parfois nommé « PTR », est une résolution DNS inverse. De la même façon qu'une résolution DNS permet de passer d'un nom de domaine à une adresse IP, le DNS inverse permet de passer d'une adresse IP à un nom de domaine. Ce mécanisme existe aussi bien pour IPv4 que pour IPv6.</p> <p>Si votre fournisseur de service (la personne chez qui vous louez les IPs ou les serveurs) ne vous permet pas de changer le Reverse, changez de prestataire immédiatement ! L'envoi d'un mail à partir d'une adresse IP sans Reverse est souvent rédhibitoire pour le serveur mail de destination (pas de reverse, pas de livraison).</p> <p>De plus, votre Reverse doit être consistant :</p> <ul> <li>L'adresse IP doit résoudre vers un domaine, et ce même domaine doit résoudre vers l'adresse IP.</li> <li>Le serveur mail doit également fournir son nom de domaine principal dans le processus de négociation, et ce nom doit résoudre correctement vers son IP. Réglez donc les <strong>/etc/hostname</strong> ; <strong>/etc/mailname</strong> et <strong>myhostname</strong> (pour Postfix) correctement.</li> </ul> <p>Une inconsistance à un quelconque niveau est pire qu'une absence de reverse : le serveur de destination considérera qu'il y a peut-être usurpation de l'IP.</p> <p>Encore une fois, n'oubliez pas de régler aussi le reverse IPv6 si vous utilisez IPv6 sur votre serveur.</p> <h3>Postmaster, Hostmaster, et RFC</h3> <p>Certains serveurs mails sont un peu soupe au lait. Par exemple, il peut arriver que votre réputation descende en flèche juste parce que le propriétaire du serveur n’a pas de moyen automatisé de vous contacter.</p> <p>J’explique : dans les <a href="https://fr.wikipedia.org/wiki/Request_for_comments">RFC</a> (Request For Comment, la base des normes et protocoles sur Internet), il est prévu qu’un serveur mail émettant du courrier possède des adresses particulières, à savoir <a href="mailto:postmaster@ledomaine.com">postmaster@ledomaine.com</a> et <a href="mailto:hostmaster@ledomaine.com">hostmaster@ledomaine.com</a> permettant de recevoir les mails envoyés automatiquement par ses pairs.</p> <ul> <li><strong>postmaster</strong> recevra principalement les plaintes pour SPAM, notification de traffic inhabituel sur les mails, et autres requêtes relatives aux mails</li> <li><strong>hostmaster</strong> recevra les mails relatifs à la gestion du nom de domaine lui-même (demandes de transfert, contact légal du propriétaire - même si on préfère souvent écrire aux contacts du whois), ou parfois pour la réservation d’un certificat SSL (vérification de la propriété du nom de domaine avant délivrance automatique du certificat).</li> </ul> <p>L’absence d’une adresse postmaster@ valide sur votre serveur vous fait donc paraître pour le serveur mail de destination comme un spammeur qui n’a même pas pris la peine d’implémenter correctement le protocole mail.</p> <p>A noter qu’un alias de postmaster@&nbsp;vers une adresse de votre choix fonctionne aussi, même si cette adresse est un trou noir. Mais vous ne devriez pas ignorer les notifications automatiques de blocage et de plaintes envoyées à postmaster…</p> <p>De la même façon, préférez un logiciel de serveur mail respectueux des standards (Postfix, Exim) au tout-dernier-serveur-mail-a-la-mode, dont les réponses ne sont peut-être pas entièrement conformes aux RFC.</p> <h3>Limites</h3> <p>Là on touche au grand dilemme du fournisseur de mails en serveur mutualisé : offrir plus de possibilités aux utilisateurs, ou se protéger contre les usages abusifs ?</p> <p>Concrètement, imaginons qu’un de vos utilisateurs décide d’envoyer de la publicité aux 500 adresses mail de sa liste de contacts. Les serveurs recevant un tel volume de messages d’un seul coup ne vont peut-être pas apprécier ce trafic non sollicité et encombrant (de la pub ? du SPAM ? Paf, bloqué).</p> <p>Pire : imaginez qu’un de vos utilisateurs se fasse pirater sa boîte mail, et devienne un émetteur de SPAM ou de virus à partir de votre serveur mail ? Vous pensez que les serveurs de destinations seront compréhensifs s’ils reçoivent des centaines de mails par seconde provenant de votre serveur mail ? Ils ne chercheront pas à comprendre : paf, bloqué.</p> <p>La solution dans un premier temps c’est de limiter le nombre de mails envoyés par votre serveur, par adresse et par jour. Chaque utilisateur ne devrait par exemple envoyer que 300 mails par jour. Au-delà, le compte sera bloqué en attendant que l’on détermine si c’est une utilisation légitime ou non. La limite est bien entendu à calibrer selon les utilisateurs et les services que vous voulez offrir.</p> <p>Il existe plusieurs solutions pour implémenter ce comportement, voici la mienne : <a href="https://github.com/mpellegrin/ratelimit-policyd">github.com/mpellegrin/ratelimit-policyd</a></p> <h3>Diminuer la vitesse d’envoi</h3> <p>Ça peut paraître un comble au moment où l’on veut recevoir les informations le plus vite possible, et pourtant c’est souvent nécessaire pour l’envoi de mails. Afin d’éviter d’envoyer trop vite un grand volume de mail d’un coup, il peut être nécessaire de mettre en place une limite de mails sortants par seconde et par domaine de destination. Ainsi, le serveur mail de destination ne sera pas inondé sous le poids des mails à traiter, et sera plus coopératif pour les recevoir (en résumé : il ne vous bloquera pas pour usage abusif de sa bande passante).</p> <p>La mitigation du taux d’envoi peut être faite au moyen de simples paramètres pour le serveur mail <a href="http://steam.io/2013/04/01/postfix-rate-limiting/">steam.io/2013/04/01/postfix-rate-limiting/</a></p> <h3>DKIM et SPF</h3> <p>Avoir un enregistrement <a href="https://fr.wikipedia.org/wiki/Sender_Policy_Framework">SPF</a> valide pour le domaine avec lequel vous envoyez vos mails est pratiquement obligatoire : non seulement cela vous permettra de confirmer que le serveur qui envoie vos mails y est bien autorisé, mais cela vous protégera (un peu) contre les usurpations d'adresses mail. Un exemple de SPF serait :</p> <pre> v=spf1 +a +mx -all</pre> <p>Si vous voulez un effet positif maximal, préférez un réglage strict ("-all") au réglage de debug ("?all"), quitte à élargir votre jeu de règles en insérant toutes vos IPs. Par contre, ne mettez pas un TTL trop haut sur les enregistrements SPF, on ne sait jamais.</p> <p>Attention également, pour configurer votre domaine, <a href="https://mxtoolbox.com/problem/spf/spf-record-deprecated">le champ de type "SPF" est obsolète</a>, utilisez un champ de type TXT pour vos enregistrements SPF.</p> <p>En complément au mécanisme SPF, parce que le SPF n'est pas toujours suffisant pour assurer au serveur de destination que le mail est légitime, vous pouvez mettre en place le <a href="https://fr.wikipedia.org/wiki/DomainKeys_Identified_Mail">DKIM</a> pour tous vos mails sortants. La configuration est plus complexe, mais elle vaut largement le coup pour vous faire sortir de l'ornière d'une réputation trop faible de votre adresse IP dans les premiers mois.</p> <p>Le principe du DKIM c'est d'ajouter une signature aux mails, cette signature étant calculée à partir d'une clef privée. La clef publique est quant à elle publiée dans un enregistrement TXT dans le nom de domaine, permettant au serveur recevant le mail de vérifier la validité de la signature, et donc la légitimité du message envoyé à partir du nom de domaine.</p> <h3>Smarthosts</h3> <p>Si finalement tout ce dont j'ai parlé plus haut n'a pas fonctionné, et que vous vous êtes fait bloquer sur le réseau d'un des grands fournisseurs de boîtes mail (Google, Microsoft, yahoo...), voici votre dernier recours.</p> <p>Outre changer d'adresse IP, ce qui pose souvent d'autres problèmes, votre solution c'est d'utiliser un Smarthost. Le Smarthost, c'est tout simplement un serveur mail qui transfère des mails. C'est ce que l'on appelle aussi un relay mail, qui va renvoyer tous vos mails à la place de votre serveur bloqué.</p> <p>Dans l'idéal vous devriez avoir plusieurs smarthosts, pour pouvoir répartir la charge de traitement, et les échanger lorsque l'adresse IP de l'un d'eux se fait bloquer. Ainsi vous ne touchez pas à vos MX, et vous avez un réseau permettant de faire sortir des mails indépendemment de votre réseau de réception.</p> <p>Le routage vers le Smarthost se règle très simplement dans Postfix, <a href="http://postfix.traduc.org/index.php/STANDARD_CONFIGURATION_README.html">en utilisant la directive <strong>transport_maps</strong> de Postfix</a> et en configurant un second serveur mail (le smarthost) en mode Relay.</p> <p>Attention cependant au moment de créer votre smarthost à ne pas créer de configuration en "Open Relay", qui permettrait à n'importe qui d'envoyer des mails à travers le smarthost, la sentence sera immédiate lorsque des spammeurs s'en apercevront. Réglez bien votre <strong>mynetwork</strong>, et <strong>sender_restrictions</strong> (<a href="http://www.postfix.org/SMTPD_ACCESS_README.html#global">par exemple avec Postfix</a>).</p> <h3>Pour aller plus loin</h3> <p>Voici une liste d'outils assez pratique lorsque l'on configure ou que l'on cherche la cause d'un problème de délivrance sur un serveur mail :</p> <ul> <li><a href="https://www.mail-tester.com/">Mail Tester</a> (indispensable pour vérifier votre configuration)</li> <li><a href="http://mxtoolbox.com">MXToolbox</a> (le couteau suisse des tests sur les serveurs mails)</li> <li><a href="https://support.google.com/mail/answer/81126?hl=fr">Quelques conseils de Google</a></li> </ul> <p>Quelques liens pour (essayer de) se faire retirer de la Blocklist :</p> <ul> <li><a href="https://postmaster.live.com/snds/index.aspx">Pour se faire dé-bannir par Microsoft</a> (sans garanties...)</li> <li><a href="https://support.google.com/mail/contact/bulk_send_new?hl=en&amp;rd=1">Pour se faire dé-bannir par Google</a> (sans garanties)</li> <li><a href="http://help.yahoo.com/l/us/yahoo/mail/postmaster/bulkv2.html">Pour se faire débannir par Yahoo</a> (sans garanties)</li> <li><a href="https://postmaster.aol.com/whitelist-request">Pour se faire débannir par AOL</a> (sans garanties)</li> </ul> <p>Les programmes de monitoring de réputation :</p> <ul> <li><a href="https://postmaster.google.com">Google Postmaster Tools</a></li> <li><a href="https://sendersupport.olc.protection.outlook.com/pm/services.aspx">Services de Microsoft</a>, dont : <ul> <li><a href="https://sendersupport.olc.protection.outlook.com/snds/">Outlook.com Smart Network Data Services (SNDS)</a></li> <li><a href="https://sendersupport.olc.protection.outlook.com/snds/JMRP.aspx">Junk Mail Report Program (JMRP)</a></li> </ul> </li> <li><a href="https://help.yahoo.com/kb/postmaster/sign-manage-yahoo-complaint-feedback-loop-program-sln3438.html?guce_referrer=aHR0cHM6Ly9oZWxwLnlhaG9vLmNvbS9rYi9wb3N0bWFzdGVyLz9ndWNlX3JlZmVycmVyPWFIUjBjSE02THk5M2QzY3VjWGRoYm5RdVkyOXRMdyZndWNlX3JlZmVycmVyX3NpZz1BUUFBQUxFa3d6SjZia2U1LWgtOHExaWtkd3prNmJYUFRtdV81bDZHcVlWbHBjcVVNNm5PNDRlRDZFN0F0TmtjdjlUTmxJSHE0RWlJTC0tbjgteGRyNjVueXEyZUdnQmFrYlFhWjdKa0hLbzg5cFlZdVRoS19waFRfZG9qWFkxaFV0NnlUakhYMW5sZEdhY0J2ZTZwNzFmaUdvdTkxS2U2YkRXLXJBdzhjSjJhT1FiQiZfZ3VjX2NvbnNlbnRfc2tpcD0xNTk3MTg3Mzk3&amp;guce_referrer_sig=AQAAADXcyLkhrnEIWxifEsj79itT56DobcqMVN0QwUcHJzVyohNuP5BfaUg_mtqZ60g_-s7a_L2QHy7IwWqA9NHXmzTnBFSmAGIBh67-9hFpKz63Kb3ojU1XzLWuHWKK1YQiwWZiJogj1Ij6bYWhR2o8cu8--JvB2O9XEoIv8oh2w2US&amp;_guc_consent_skip=1597187419">Yahoo Complaint Feedback Loop (CFL)</a></li> </ul> https://uname.pingveno.net/blog/index.php/post/2015/12/05/Set-up-SQL-quarantine-with-Amavisd-new-and-ISPConfig urn:md5:c449e2fbaef8eadc5d8276ac89e472d3 Sun, 06 Dec 2015 16:56:00 +0100 Mathieu Hacks amavis debian ISPConfig jessie mail quarantine server spam sql <p>It's documented, but it took me two days to do it correctly, so here is how to reconfigure an ISPConfig installation of Amavis to store quarantined mail in SQL database, in order to install a quarantine viewer like Mailzu.</p> <h3>1. Prerequisites</h3> <ul> <li>A working Postfix+Amavis stack with ISPConfig</li> <li>A working SQL (PostgreSQL, MySQL...) database</li> <li>Optional : a working mail server with PHP (for Mailzu)</li> </ul> <p>Jump to <a href="https://uname.pingveno.net/blog/index.php/post/2015/12/05/Set-up-SQL-quarantine-with-Amavisd-new-and-ISPConfig#installation">Installation</a> if you know what you are doing.</p> <h3>2. Off-subject generic explanations</h3> <h4>2.1 Amavis and ISPConfig policies</h4> <figure style="float: right; margin: 0 0 1em 1em;"><a class="media-link" href="https://uname.pingveno.net/blog/public/captures/ispconfig/ispconfig_mail_spamfilter_policy_tag_levels.png"><img alt="ispconfig_mail_spamfilter_policy_tag_levels.png" class="media" src="https://uname.pingveno.net/blog/public/captures/ispconfig/.ispconfig_mail_spamfilter_policy_tag_levels_s.png" /></a> <figcaption>ISPConfig policies, Tag-Levels</figcaption> </figure> <p>In a default ISPConfig installation per-user ISPConfig policies are loaded. The configuration file for Amavis, written by ISPConfig contains :</p> <pre> @lookup_sql_dsn = ( ['DBI:mysql:database=dbispconfig;host=127.0.0.1;port=3306', 'ispconfig', 'xxxx'] ); $sql_select_policy = 'SELECT *,spamfilter_users.id'. ' FROM spamfilter_users LEFT JOIN spamfilter_policy ON spamfilter_users.policy_id=spamfilter_policy.id'. ' WHERE spamfilter_users.email IN (%k) ORDER BY spamfilter_users.priority DESC'; $sql_select_white_black_list = 'SELECT wb FROM spamfilter_wblist'. ' WHERE (spamfilter_wblist.rid=?) AND (spamfilter_wblist.email IN (%k))' . ' ORDER BY spamfilter_wblist.priority DESC';</pre> <p>It means that whatever you would set as&nbsp;<strong>$sa_spam_subject_tag</strong>, <strong>$sa_tag_level_deflt</strong>, <strong>$sa_tag2_level_deflt</strong>, <strong>$sa_kill_level_deflt</strong>, <strong>$sa_dsn_cutoff_level</strong>, it will be overridden by per-user policies.</p> <p>The ISPConfig policies can be changed in tab Email =&gt; Spamfilter =&gt; Policy in ISPConfig panel. If you struggle wondering why your message keeps getting smashed at level 4.5, look at the sa_tag_level in policies. We will have to change values in that policies, to make the SQL quarantine working.</p> <h4>2.2 Lookup DSN and Storage DSN</h4> <p>DSN (Data Source Name) are the connection strings with host, username, and password, used to connect to databases.</p> <p>Amavis can set two DSN : one for Policies lookup (used to retrieve ISPConfig policies from Panel), and one for storage of mail meta informations and quarantine. We will use the Storage DSN to set up a secondary database for quarantine storage, to not mess with existing ISPConfig database.</p> <h4>2.3 Levels and cutoffs</h4> <p>Amavis uses Spamassassin to score the mail, in order to decide what to do with it. The category of test (spam test, antivirus, etc) and the score along with levels determines the actions Amavis will trigger, and the final destiny where the mail belongs.</p> <p>Spamassassin levels are :</p> <ul> <li><strong>tag_level</strong> : a message above that score will be tagged with <strong>X-Spam-Status</strong>, <strong>X-Spam-Score</strong> and <strong>X-Spam-Level</strong> headers.</li> <li><strong>tag2_level</strong> : a message above that score will be marked <strong>as X-Spam-Status: Yes</strong> and the subject is changed if <strong>sa_spam_modifies_subj</strong> is set to true.</li> <li><strong>kill_level</strong> : a message above that score is taken to the <strong>final_spam_destiny</strong>, and quarantined, it will not be delivered unless <strong>D_PASS</strong> is set to <strong>final_spam_destiny</strong>.</li> <li><strong>dsn_cutoff_level</strong> : a message above that level will never trigger a bounce or a reject, whatever <strong>spam_destiny</strong> is.</li> <li><strong>quarantine_cutoff_level</strong> : a message above that level will not be quarantined.</li> </ul> <h4>2.4 Final <span class="gt-baf-back">destinations</span></h4> <p>Once the message is categorized by Amavis tests (through SpamAssassin, ClamAV, etc), Amavis decides if it should be delivered to user mailbox or not, and if a bounce will be issued.</p> <p>This is the purpose of <strong>$final_virus_destiny</strong>, <strong>$final_spam_destiny</strong>, <strong>$final_banned_destiny</strong>, <strong>$final_bad_header_destiny</strong>.</p> <p>They can take the following values :</p> <ul> <li><strong>D_PASS</strong> : mail will be delivered to inbox.</li> <li><strong>D_BOUNCE</strong> : mail will not be delivered, and a <em>delivery status notification</em> will be returned by Postifx to sender (except if the score exceeds the <strong>dsn_cutoff</strong> level)</li> <li><strong>D_REJECT</strong> : Postfix will answer REJECT to the distant mail server, and the distant mail server may produce a <em>delivery status notification</em> to the user</li> <li><strong>D_DISCARD</strong> : forgive and forget : the mail will not be delivered and the sender is not informed. The mail may be quarantined if the <strong>quarantine_cutoff</strong> level is not exceeded.</li> </ul> <h3><a name="installation">3. Installation</a></h3> <ul> <li>For Amavis : Nothing ! Amavis comes out-of-the-box with SQL storage.</li> <li>For Mailzu : see <a href="https://uname.pingveno.net/blog/index.php/post/2015/12/05/Set-up-SQL-quarantine-with-Amavisd-new-and-ISPConfig#mailzu">Mailzu</a> section.</li> </ul> <h3>4. Configuration</h3> <h4>4.1 Database</h4> <p>Create an user and a database for quarantine storage :</p> <pre> # mysql -u root -p mysql&gt; CREATE DATABASE amavis_storage; mysql&gt; CREATE USER 'amavis_storage'@'localhost' IDENTIFIED BY 'xxxx'; mysql&gt; GRANT ALL PRIVILEGES ON amavis_storage.* TO 'amavis_storage'@'localhost'; mysql&gt; FLUSH PRIVILEGES;</pre> <p>Load the initial schema from Amavis docs (usually located in <strong>/usr/share/doc/amavisd-new</strong>/ ).</p> <p>Delete unnecessary tables, as we will be using this database only for mail storage and not for lookups :</p> <pre> # mysql -u amavis_storage -p amavis_storage mysql&gt; DROP TABLE users; mysql&gt; DROP TABLE mailaddr; mysql&gt; DROP TABLE policy; mysql&gt; DROP TABLE wblist; </pre> <p>Nota Bene : while executing <strong>DROP TABLE users</strong>, don't be silly, and do not remove mysql users database.</p> <h4>4.2 Amavis</h4> <p>Update your Amavis configuration <strong>/etc/amavis/conf.d/50_user</strong> :</p> <pre> @storage_sql_dsn = ( ['DBI:mysql:database=amavis_storage;host=127.0.0.1;port=3306', 'amavis_storage', 'xxxx'] ); # none, same, or separate database # Quarantine SPAM into SQL server. $spam_quarantine_to = 'spam-quarantine'; $spam_quarantine_method = 'sql:'; # Quarantine VIRUS into SQL server. $virus_quarantine_to = 'virus-quarantine'; $virus_quarantine_method = 'sql:'; # Quarantine BANNED message into SQL server. $banned_quarantine_to = 'banned-quarantine'; $banned_files_quarantine_method = 'sql:'; # Quarantine Bad Header message into SQL server. $bad_header_quarantine_method = 'sql:'; $bad_header_quarantine_to = 'badheader-quarantine'; # Do not store non-quarantined messages info # You can set it to 1 (the default) to test if Amavis is filling correctly the tables maddr, msgs, and msgcrpt $sql_store_info_for_all_msgs = 0; # # SQL Select statements # $sql_select_policy = 'SELECT *,spamfilter_users.id'. ' FROM spamfilter_users LEFT JOIN spamfilter_policy ON spamfilter_users.policy_id=spamfilter_policy.id'. ' WHERE spamfilter_users.email IN (%k) ORDER BY spamfilter_users.priority DESC'; $sql_select_white_black_list = 'SELECT wb FROM spamfilter_wblist'. ' WHERE (spamfilter_wblist.rid=?) AND (spamfilter_wblist.email IN (%k))' . ' ORDER BY spamfilter_wblist.priority DESC'; # # Quarantine settings # $final_virus_destiny = D_BOUNCE; $final_spam_destiny = D_DISCARD; $final_banned_destiny = D_BOUNCE; $final_bad_header_destiny = D_PASS; # Default settings, we st this very high to not filter aut emails accidently $sa_spam_subject_tag = '[SPAM] '; $sa_tag_level_deflt = 20.0; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 60.0; # add 'spam detected' headers at that level $sa_kill_level_deflt = 60.0; # triggers spam evasive actions $sa_dsn_cutoff_level = 100; # spam level beyond which a DSN is not sent #$sa_debug = 1; # # Disable spam and virus notifications for the admin user. # Can be overridden by the policies in mysql # $virus_admin = undef; $spam_admin = undef; # # Enable Logging # $DO_SYSLOG = 1; $LOGFILE = "/var/log/amavis.log"; # (defaults to empty, no log) # Set the log_level to 5 for debugging $log_level = 0; # (defaults to 0)</pre> <h4>4.3 ISPConfig policies</h4> <p>Remember that ISPconfig policies are overriding a lot of our configuration in <strong>50_user</strong>. In order to majke the quarantine work, you have to reconfigure all the available policies in ISPConfig Panel.</p> <p>Look at your policies list, you have to change the quarantine settings for every policies :</p> <figure style="{figureStyle}"><a class="media-link" href="https://uname.pingveno.net/blog/public/captures/ispconfig/ispconfig_mail_spamfilter_policy.png"><img alt="ispconfig_mail_spamfilter_policy.png" class="media" src="https://uname.pingveno.net/blog/public/captures/ispconfig/ispconfig_mail_spamfilter_policy.png" /></a> <figcaption>ISPConfig Mail Spamfilter Policy</figcaption> </figure> <h4>When editing a policy, on the Quarantine tab, set the destinations :</h4> <figure style="{figureStyle}"><a class="media-link" href="https://uname.pingveno.net/blog/public/captures/ispconfig/ispconfig_mail_spamfilter_policy_quarantine.png"><img alt="ispconfig_mail_spamfilter_policy_quarantine.png" class="media" src="https://uname.pingveno.net/blog/public/captures/ispconfig/ispconfig_mail_spamfilter_policy_quarantine.png" /></a> <figcaption>ISPConfig Mail Spamfilter Policy Quarantine destinations</figcaption> </figure> <p><strong>If you do not fill something in these fields, Amavis will not store quarantined mails in SQL database, and will just discard it !</strong></p> <p>These fields correspond to the <strong>virus_quarantine_to</strong>, <strong>spam_quarantine_to</strong>, <strong>banned_quarantine_to</strong>, <strong>bad_header_quarantine_to</strong> variables in Amavis configuration, and an empty value is overriding those we set in Amavis configuration.</p> <h4>4.4 Test</h4> <p>Send some spam to your server, check if the tables are populated :</p> <pre> mysql&gt; SELECT * FROM maddr;</pre> <p>Check if meta informations are populated :</p> <pre> mysql&gt; SELECT * FROM msgs; mysql&gt; SELECT * FROM msgrcpt;</pre> <p>And if quarantine is filling :</p> <pre> mysql&gt; SELECT * FROM quarantine;</pre> <h3>5. Cleanup !</h3> <p>You should not "setup and forget" your quarantine SQL storage. Messages has to be deleted periodically, otherwise your database will grow forever. Look at the documentaion in <strong>/usr/share/docs/amavisd-new</strong> to make a cronjob like this :</p> <pre> #!/bin/bash SQL_HOST="localhost"; SQL_LOGIN="amavis_storage" SQL_PASSWORD="xxxx" SQL_DB="amavis_storage" mysql --user="$SQL_LOGIN" --password="$SQL_PASSWORD" --host="$SQL_HOST" $SQL_DB -e " \ DELETE FROM msgs WHERE time_num &lt; UNIX_TIMESTAMP() - 30*24*3600; \ DELETE FROM msgrcpt WHERE NOT EXISTS (SELECT 1 FROM msgs WHERE mail_id=msgrcpt.mail_id); \ DELETE FROM quarantine WHERE NOT EXISTS (SELECT 1 FROM msgs WHERE mail_id=quarantine.mail_id); \ DELETE FROM maddr WHERE NOT EXISTS (SELECT 1 FROM msgs WHERE sid=id) AND NOT EXISTS (SELECT 1 FROM msgrcpt WHERE rid=id); \ " </pre> <h3><a name="mailzu">6. Mailzu</a></h3> <p>I have to admit, Mailzu seems a bit obsolete as I had to patch to make it working with Amavis 3.3 tables. But it still works pretty well for a simple task like reading and releasing quarantine mails.</p> <h4>6.1 Installation</h4> <p>Download the source files at <a href="http://sourceforge.net/projects/mailzu/">http://sourceforge.net/projects/mailzu/</a>.</p> <h4>62. Patch</h4> <p>The existing Mailzu source code is quite old, and the schema of Amavis SQL tables changed. Download and apply <a href="http://sourceforge.net/p/mailzu/patches/10/">this patch</a> in to make Mailzu work.</p> <h4>6.3 Configuration</h4> <p>I suppose that you know how to spawn PHP with CGI to serve the Mailzu files.</p> <p>Configure your database login and password in <strong>config/config.php</strong> :</p> <pre> $conf['db']['dbType'] = 'mysql'; $conf['db']['dbUser'] = 'amavis_storage'; $conf['db']['dbPass'] = 'xxxx'; $conf['db']['dbName'] = 'amavis_storage'; $conf['db']['hostSpec'] = 'localhost:3306';</pre> <p>I am using IMAP login to authenticate in Mailzu. Unfortunately, I had to turn off SSL authentication, as it wasn't working. Here is my configuration :</p> <pre> $conf['auth']['serverType'] = 'imap'; $conf['auth']['imap_hosts'] = array( 'localhost:143' ); $conf['auth']['imap_type'] = 'imaptls'; $conf['auth']['imap_domain_name'] = 'example.com';</pre> <p>Don't forget to set yourself "super" :</p> <pre> $conf['auth']['s_admins'] = array ('me@example.com');</pre> <p>And to set your web uri :</p> <pre> $conf['app']['weburi'] = 'https://example.com/mailzu';</pre> <h4>6.4 Configure in-app release</h4> <p>Mailzu can also release quarantined mail. I did not implement this function, but you have to set up the amavisd-release internface on an inet socket on port 9998, instead of the existing unix socket located at <strong>/var/lib/amavis/amavisd.sock</strong> . <a href="https://www.ijs.si/software/amavisd/amavisd-new-docs.html#quar-release">Read more</a>.</p> <h3>References</h3> <ul> <li><a href="http://www.iredmail.org/docs/amavisd.sql.db.html">Explanation of Amavisd SQL database</a></li> <li><a href="https://blog.bravi.org/?p=683">AMaViS: deal with SPAM, Viruses, Banned attachments, and Bad headers</a></li> <li><a href="https://www.ijs.si/software/amavisd/amavisd-new-docs.html#quarantine">amavisd-new documentation bits and pieces</a></li> <li><a href="http://www.raygibson.net/kb/amavis/amavisd.conf">amavis.conf</a></li> <li><a href="http://sourceforge.net/projects/mailzu/">Mailzu</a></li> <li><a href="http://sourceforge.net/p/mailzu/patches/10/">Mailzu patch for Amavis 2.7.0</a></li> </ul> https://uname.pingveno.net/blog/index.php/post/2015/09/30/STOP-aux-adresses-gmail%2C-yahoo%2C-hotmail-dans-les-communications-professionnelles urn:md5:15be7e8893c7a491c07fe1201431880c Wed, 30 Sep 2015 10:49:00 +0200 Mathieu What about Web gouvernement mail mailchimp service civique <p>Ceci est juste un billet d&#8217;humeur sur quelque chose que je trouve de plus en plus exaspérant&#160;: la recrudescence des aderses Gmail, Yahoo, ou Microsoft dans des emails soit-disant sérieux, professionnels, etc.</p><p>PME, syndicats, gouvernements, fédérations politiques, arrêtez d&#8217;utiliser des fournisseurs d&#8217;emails grand public, et assumez votre marque&#160;! Vous ne voudriez pas avoir <strong>la publicité de votre imprimeur au verso de tous vos tracts</strong>&#160;? Alors ne faites pas pareil avec les mails.</p><p>Donc <strong>NON</strong>, ce n&#8217;est pas acceptable, à part si vous êtes un particulier, d&#8217;avoir une adresse mail en @gmail.com, @yahoo.com ou @outlook.com. En faisant cela vous démontrez&#160;:</p><ul><li>Votre méconnaissance et/ou votre amateurisme le plus total dans l&#8217;utilisation des NTIC.</li><li>Qu&#8217;aucun de vos amis, agences de com, ou conseillers n&#8217;a de connaissances solides sur le sujet (ça fait flipper hein&#160;?).</li><li>Que vous aimez tellement les américains que vous êtes prêt à leur transmettre tous vos emails.</li><li>Que vous êtes radin au point de ne pas dépenser les 30 euros nécessaires pour obtenir un nom de domaine et une boîte mail chez un registrar.</li></ul><p>Avoir une adresse contact@monentreprise.com c&#8217;est compliqué&#160;? Non, ça prend <a href="https://www.gandi.net"><strong>20 minutes maximum</strong></a> pour peu que vous sachiez comment s&#8217;appelle votre entreprise.</p><p>En bonus, le mail que j&#8217;ai reçu ce matin&#160;:</p><figure style="margin: 0 auto; display: block;"><a class="media-link" href="https://uname.pingveno.net/blog/public/posts_thumb/wtf-service-civique.png"><img class="media" alt="wtf-service-civique.png" src="https://uname.pingveno.net/blog/public/posts_thumb/.wtf-service-civique_m.png" /></a></figure><p>Bordel de merde.</p> https://uname.pingveno.net/blog/index.php/post/2015/08/29/Postfix-%3A-configure-postmaster%2C-hostmaster%2C-and-abuse-catchall-for-RFC-compliance urn:md5:2236b92a9adc8066108e9709c6c32959 Sat, 29 Aug 2015 18:02:00 +0200 Mathieu Hacks catchall debian mail postfix server <p>This short howto will show you how to set up a catchall for common required email addresses. Some mail servers are testing if mail is accepted on this addresses to detect spammymail servers. Hostmaster address can also be used for domain Trading, to check the ownership of the domain.</p><p><strong>1. </strong>Create a file named <strong>/etc/postfix/regexp-catchall.cf</strong> with the following content:</p><pre># Catchall to comply with RFC standards /^postmaster@/ youshouldreadit@mydomain.com /^hostmaster@/ youshouldreadit@mydomain.com /^abuse@/ youshouldreadit@mydomain.com</pre><p>Replace <em>youshouldreadit@mydomain.com</em> with a mail address you actually read.</p><p><strong>2.</strong> Open <strong>/etc/postfix/main.cf</strong> and locate (or create) the line <strong>virtual_alias_maps</strong>, and add at the end <strong>regexp:/etc/postfix/regexp-catchall.cf</strong>, for instance:</p><pre>virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, regexp:/etc/postfix/regexp-catchall.cf</pre><p><strong>3. </strong>Restart Postfix.</p><p><strong>Warning&#160;: read <a href="http://uname.pingveno.net/blog/index.php/post/2015/08/29/Postfix-%3A-configure-postmaster%2C-hostmaster%2C-and-abuse-catchall-for-RFC-compliance#c73895">comment #4</a> for issues with this setup</strong>.</p> https://uname.pingveno.net/blog/index.php/post/2015/03/11/Configure-sender-rate-limits-to-prevent-spam%2C-using-cluebringer-%28policyd%29-with-Postfix urn:md5:11c6569b7382d3cd707a41e60deae65c Fri, 13 Mar 2015 09:18:00 +0100 Mathieu Hacks cluebringer debian mail policyd postfix server <p>This small how-to will show you how to configure cluebringer (aka policyd) to set a per-hour/per-user limit for sent mails. Note that sending to multiple recipient will count like multiple mails were sent.</p> <p>This how-to is Debian-oriented but should apply to any unix operating system.</p> <h3>Requirements</h3> <p>A mail server with Postfix installed.</p> <h3>Installation</h3> <p>Install a DBMS (MySQL for instance), cluebringer, and cluebringer-webui&#160;:</p> <pre> apt-get install mysql-server cluebringer cluebringer-mysql cluebringer-webui</pre> <p>Note that cluebringer-webui will install apache as a dependency if you don&#8217;t already have a webserver.</p> <h3>Set-up the Cluebringer database</h3> <p>Get the initial database schema that correspond to your DBMS, for instance mysql&#160;:</p> <pre> cp /usr/share/doc/postfix-cluebringer/database/policyd-db.mysql.gz ~/ &amp;&amp; gunzip ~/policyd-db.mysql.gz</pre> <p>Create the database, and populate it with the initial dump&#160;:</p> <pre> # cd ~/ &amp;&amp; mysql -u root -p mysql&gt; CREATE DATABASE cluebringer; mysql&gt; CREATE USER 'cluebringer'@'localhost' IDENTIFIED BY 'mypassword'; mysql&gt; GRANT ALL PRIVILEGES ON cluebringer.* TO 'cluebringer'@'localhost'; mysql&gt; \. policyd-db.mysql mysql&gt; quit mysql&gt; Bye </pre> <p>Note that on Debian I had to modify the dump to make it work, <em>TYPE=InnoDB</em> was rejected by MySQL as an invalid syntax.</p> <h3>Configure Cluebringer</h3> <p>Add your DBMS credentials to the file <strong>/etc/cluebringer/cluebringer.conf</strong>&#160;:</p> <pre> DSN=DBI:mysql:dbname=cluebringer;host=localhost DB_Type=mysql DB_Host=localhost DB_Port=3306 DB_Name=cluebringer Username=cluebringer Password=mypassword</pre> <p>And start it&#160;:</p> <pre> service postfix-cluebringer start</pre> <h3>Configure Cluebringer webui</h3> <p>Configure the file <strong>/etc/cluebringer/cluebringer-webui.conf</strong> with your DBMS credentials&#160;:</p> <pre> &lt;?php $DB_DSN="mysql:host=localhost;dbname=cluebringer"; $DB_USER="cluebringer"; $DB_PASS="mypassword";</pre> <p>Cluebringer Webui needs a web server to run. Copy the sample configuration from the package documentation&#160;:</p> <pre> cp /usr/share/doc/postfix-cluebringer-webui/examples/httpd/cluebringer-httpd.conf /etc/apache2/conf.d/</pre> <p>Restart Apache&#160;:</p> <pre> service apache2 restart</pre> <p>You may need to adjust a few things to access it from the outside. If you a really lazy, just make a ssh tunnel to access the webserver from localhost&#160;:</p> <pre> ssh -L 8008:localhost:80 mylogin@mymailserver</pre> <p>Don&#8217;t forget&#160;: you have to make this tunnel from the outside, do not run this command on server, it won&#8217;t work.</p> <p>You should now be able to open http://localhost:8080/ and see your fresh new Cluebinger Webui&#160;!</p> <h3>Configure Cluebringer using its webui</h3> <h4>Add a policy</h4> <p>Under <strong>Policies</strong> -&gt; <strong>Main</strong>, disable Test policy (select policy and choose <strong>Action</strong> -&gt; <strong>Change</strong> and switch <strong>Disabled</strong> to <strong>yes</strong>, validate)</p> <p>Add a new policy&#160;: <strong>Action</strong> -&gt; <strong>Add</strong>, give it a name and a description</p> <p>Activate your new policy&#160;: select policy and choose <strong>Action</strong> -&gt; <strong>Change</strong> (switch <strong>Disabled</strong> to <strong>no</strong>)</p> <p>Add a new member to your policy&#160;: select it and choose <strong>Action</strong> -&gt; <strong>Members</strong>, and then <strong>Action</strong> -&gt; <strong>Add</strong>. Specify <strong>any</strong> as source and <strong>any</strong> as destination.</p> <p>Go back to your policy, choose <strong>Action</strong> -&gt; <strong>Members</strong>, and the select your member, do <strong>Action</strong> -&gt; <strong>Change</strong>, and activate your new member (switch <strong>Disabled</strong> to <strong>no</strong>).</p> <h4>Add a quota</h4> <p>Under <strong>Quotas</strong> -&gt; <strong>Configure</strong>, disable Test quotas.</p> <p>Add a new quota&#160;: Choose <strong>Action</strong> -&gt; <strong>Add</strong></p> <ul> <li>Name&#160;: whatever you want</li> <li>Track&#160;: <strong>user@domain</strong></li> <li>Period (seconds)&#160;: <strong>3600</strong></li> <li>Link to policy&#160;: specify the policy you created here</li> <li>Verdict&#160;: <strong>Defer</strong></li> <li>Data&#160;: set a custom error message here</li> <li>Comment&#160;: whatever you want</li> </ul> <p>Activate your quota&#160;: switch <strong>Disabled</strong> to <strong>no</strong>.</p> <p>Add a limit to your quota&#160;: select your quota, and choose <strong>Action</strong> -&gt; <strong>Limits</strong>, then <strong>Action</strong> -&gt; <strong>Add</strong>.</p> <ul> <li>Type&#160;: <strong>MessageCount</strong></li> <li>Counter Limit&#160;: <strong>200</strong></li> </ul> <p>Activate your limit&#160;: switch <strong>Disabled</strong> to <strong>no</strong>.</p> <h3>Configure Postfix to call Cluebringer for each mail sent</h3> <p>Open <strong>/etc/postfix/main.cf</strong> and locate the line <strong>smtpd_sender_restrictions</strong>.</p> <p>Add <strong>check_policy_service inet:127.0.0.1:10031</strong> at the end of the line, for instance&#160;:</p> <pre> smtpd_sender_restrictions = check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf<strong>, check_policy_service inet:127.0.0.1:10031</strong></pre> <p>If the line does not exists, simply add it.</p> <p>Don&#8217;t forget to restart Postfix&#160;:</p> <pre> service postfix restart</pre> <h3>Check your config</h3> <p>You can now send some mails to see what happens. To check if these mails are passed to Cluebringer, connect to MySQL as the cluebringer user&#160;:</p> <pre> # mysql -u cluebringer -p cluebringer</pre> <p>And execute the query&#160;:</p> <pre> mysql&gt; SELECT * FROM quotas_tracking;</pre> <p>You should see the value LastUpdate and Counter updating when sending a mail. Note that sending to multiple recipient will count like multiple mails were sent.</p> <h3>Pitfalls, bleeding edges, etc</h3> <p><strong>Cluebringer versions prior to 2.1.x does not support IPv6</strong>, your customers won&#8217;t be able to send any mail if they have an IPv6 connection.</p> <p>Unfortunately, the Debian stable version (wheezy) provides Cluebringer 2.0.10 within its repositories, as well as the experimental release of Debian (sid). As an alternative, you should consider <a href="http://wiki.policyd.org/download">installing the 2.1.x experimental Cluebringer</a> from official website instead of Debian packages from repositories.</p> <h3>References</h3> <ul> <li><a href="http://wiki.policyd.org/installing" hreflang="en">Installing Policyd</a></li> <li><a href="http://imanudin.net/2014/09/09/zimbra-tips-how-to-configure-rate-limit-sending-message-on-policyd/" hreflang="en">Configuring Policyd for Zimbra</a></li> <li><a href="https://jrklein.com/2014/03/09/debian-wheezy-postfix-cluebringer-policyd-v2-ipv6/" hreflang="en">Debian, Cluebringer, IPv6</a></li> </ul> https://uname.pingveno.net/blog/index.php/post/2014/02/01/Configure-Postfix-as-STMP-standalone-single-domain-server-using-Unix-users-and-PAM-on-Debian urn:md5:e8f08f8049c5bf438f9d352254044c7f Sat, 01 Feb 2014 22:05:00 +0100 Mathieu Hacks debian mail note pam postfix sasl server <p>Here is a quick setup to configure Postfix mail server, using existing Unix users.</p> <p>The server will process mails for only one domain, and every existing user on the server will have a mail box inside his home directory.</p> <h3>Abstract</h3> <p><strong>Postfix</strong> is an <strong>SMTP</strong> server, it receives incoming mail from other <strong>SMTP</strong> servers, and allows client to send mails to other <strong>SMTP</strong> servers.</p> <p>What we don't want is an open mail relay. A mail relay is a <strong>SMTP</strong> server that take anything from any client, and send it to any <strong>SMTP</strong> server. We only want trusted users to send emails, to prevent anonymous clients from sending spam.</p> <p>Incoming mail will be processed either if :</p> <ul> <li>The domain name of one of the recipient matches the mail server domain, and the mail user name is also a system user (<strong>SMTP</strong> servers can send us incoming mails).</li> <li>The client who tries to sends the mail has successfully authenticated.</li> </ul> <p><strong>Postfix</strong> authentication for clients can be handled by <strong>SASL</strong>. <strong>SASL</strong> is a standard protocol to provide an authentication layer. It can query <strong>PAM</strong>, or other authentication providers (MySQL users, etc).</p> <p>Notes :</p> <ul> <li><em>We will use PAM for Unix users SMTP authentication.</em></li> <li><em>Unix users are stored in<code> /etc/passwd</code> and their passwords are stored in <code>/etc/shadow</code></em>.</li> <li><em>Mails will be stored in the ~/Maildir/ of each users, in Maildir format.</em></li> </ul> <h3>Postfix : installation and configuration</h3> <p>Install Postfix : <code>apt-get install postfix</code></p> <p>Answer the questions during installation to setup your mail domain (the "example.com" in user@example.com).</p> <p>Modify config files :</p> <p><strong>/etc/postfix/main.cf</strong> :</p> <p>Configure TLS and Maildir :</p> <blockquote> <p><code># TLS parameters<br /> smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key<br /> smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem<br /> smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt<br /> smtpd_use_tls=yes<br /> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache<br /> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache<br /> <br /> # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for<br /> # information on enabling SSL in the smtp client.<br /> <br /> myhostname = mail.example.com<br /> alias_maps = hash:/etc/aliases<br /> alias_database = hash:/etc/aliases<br /> myorigin = /etc/mailname<br /> mydestination = example.com, localhost<br /> mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128<br /> mailbox_size_limit = 0<br /> recipient_delimiter = +<br /> <br /> home_mailbox = Maildir/<br /> <br /> # These are the "no relay" restrictions<br /> smtpd_recipient_restrictions = permit_mynetworks permit_inet_interfaces permit_sasl_authenticated reject_unauth_destination</code></p> </blockquote> <p><strong>/etc/postfix/master.cf</strong> :</p> <p>Enable TLS and alternate (submission) ports :</p> <blockquote> <p><code>submission inet n&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; smtpd<br /> &nbsp; -o syslog_name=postfix/submission<br /> &nbsp; -o smtpd_tls_security_level=encrypt<br /> &nbsp; -o smtpd_sasl_auth_enable=yes<br /> &nbsp; -o smtpd_client_restrictions=permit_sasl_authenticated,reject<br /> &nbsp; -o milter_macro_daemon_name=ORIGINATING<br /> smtps&nbsp;&nbsp;&nbsp;&nbsp; inet&nbsp; n&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; smtpd<br /> &nbsp; -o syslog_name=postfix/smtps<br /> &nbsp; -o smtpd_tls_wrappermode=yes<br /> &nbsp; -o smtpd_sasl_auth_enable=yes<br /> &nbsp; -o smtpd_client_restrictions=permit_sasl_authenticated,reject<br /> &nbsp; -o milter_macro_daemon_name=ORIGINATING</code></p> </blockquote> <h3>SASL : installation and configuration</h3> <p>SASL plugin for Postfix (Cyrus) is part of the dependencies of Postfix server.</p> <p>Install SASL administration tools : <code>apt-get install sasl2-bin</code></p> <p>Enable SASL daemon at startup : edit <strong>/etc/default/saslauthd</strong> and switch <code>START</code> to <code>yes</code>.</p> <p>Start it manually for the first time : <code>service saslauthd start</code></p> <h3>Enable PAM authentication for SASL</h3> <p>Check that PAM is part of the MECHANISMS variable in <strong>/etc/default/saslauthd</strong> :</p> <blockquote> <p><code>MECHANISMS="pam"</code></p> </blockquote> <p>Create <strong>/etc/pam.d/smtp</strong> :</p> <blockquote> <p><code>#<br /> # /etc/pam.d/smtp - specify PAM SMTP behavior<br /> #<br /> <br /> @include common-auth<br /> @include common-account<br /> @include common-password<br /> @include common-session</code></p> </blockquote> <h3>Enable SASL for Postfix</h3> <p>Add to <strong>/etc/postfix/main.cf</strong> :</p> <blockquote> <p><code>smtpd_sasl_auth_enable = yes</code></p> </blockquote> <p>Create <strong>/etc/postfix/sasl/smtpd.conf</strong> :</p> <blockquote> <p><code>pwcheck_method: saslauthd<br /> mech_list: PLAIN LOGIN</code></p> </blockquote> <p>Adjust <code>OPTIONS</code> in <strong>/etc/default/saslauthd</strong> :</p> <blockquote> <p><code>OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"</code></p> </blockquote> <p>Add <strong>postfix user</strong> to <strong>sasl group</strong> :</p> <blockquote> <p><code>adduser postfix sasl</code></p> </blockquote> <h3>Configuration check</h3> <p>Restart all services (postfix, salsauthd).</p> <p>Try authentication using SASL : <code>testsaslauthd -u user -p password</code></p> <p>Try authentication from command line, without mail client : <a href="https://qmail.jms1.net/test-auth.shtml" hreflang="en">https://qmail.jms1.net/test-auth.shtml</a></p> <p>Try SMTP reception by sending mail to your domain (your MX fields in domain has to be configured accordingly).</p> <h3>Sources</h3> <ul> <li><a href="http://www.postfix.org/SASL_README.html#saslauthd" hreflang="en">Postfix SASL Howto</a></li> <li><a href="http://www.postfix.org/SASL_README.html#testing_saslauthd" hreflang="en">Testing SASL auth</a></li> <li><a href="http://blog.ntrippy.net/2008/05/warning-sasl-authentication-failure.html" hreflang="en">Fixing SASL authentication failure: cannot connect to saslauthd server: No such file or directory</a></li> <li><a href="http://www.faqforge.com/linux/how-to-enable-port-587-submission-in-postfix/" hreflang="en">How to enable submission ports in Postfix</a></li> <li><a href="https://www.howtoforge.com/community/threads/cannot-connect-to-saslauthd-server-permission-denied.22730/" hreflang="en">Cannot connect to saslauthd : permission denied</a></li> </ul>