[postfix] – Protéger son SMTP contre l’utilisation de TELNET sur le port 25
Je vous l'accorde, ce titre ne veut pas "spécialement" dire grand-chose ... je voulais seulement être en adéquation avec le sujet de nombreuses recherches sur Google (Questions, Forums, ...)
Je sais que beaucoup de personnes sont en quête de sécuriser leurs smtp.
Comme j'ai pu vous le montrer pour CapGemini c'est assez simple ... d'usurper une vraie adresse mail, sur le vrai serveur mail ...
Même les Banques les plus connues ...
Pour n'en citer qu'une ... le LCL ...
Ce sont des enseignes qui sont vulnérables à cette attaque assez rudimentaire ...
Dans mon cas, mon serveur ne fonctionne qu'avec des alias ;)
Aucune de mes adresses mail en @dyrk.org n'est une véritable adresse mail ^^
Aussi ... pour me protéger de spam et de phishing à outrance ...
J'ai mis en oeuvre un petit truc ;)
Pour faire simple j'ai créé dans le repertoire : /etc/postfix
un fichier "sender_access" (le nom n'a pas d'importance)
Ce fichier, va contenir grosso modo, toutes les adresses emails, qui ne pourront pas être exploitées via cette attaque !!
Sous le format :
[email protected] REJECT
[email protected] REJECT
[email protected] REJECT
...
"..." n'est bien sur pas à ajouter ;)
Dès lors que vous avez créé ce fichier, il faut lui passer un petit coup de postmap
postmap hash:/etc/postfix/sender_access
Et voilà, maintenant que le lustrant est passé, nous allons pouvoir déclarer ce fichier dans : /etc/postfix/main.cfg
En ajoutant cette toute petite ligne :
smtpd_recipient_restrictions = reject_unauth_destination, check_sender_access hash:/etc/postfix/sender_access
Nous arrivons au moment où il vous faut redémarrer postfix :
/etc/init.d/postfix restart
Et voilà, vous aurez protégé vos adresses emails !!!
ça n'empêchera pas des petits malins de spammer quand même, mais pas avec vos adresses.
Seulement, ça évitera que des petits malins, utilisent une VRAIE adresse mail de votre entreprise ... pour ensuite envoyer des mails depuis le VRAI serveur mail (donc de confiance ...), pouvant amener ... à certains employés crédules à commettre des manœuvres dangereuses.
Bien entendu ... dans mon cas, étant donné que mes adresses mails sont des alias ...
Cette sécurité n'est absolument pas bloquante, dans mon quotidien.