Bonjour, Je cherche un script/commande qui me permet de savoir qui envoi des messages depuis DOVECOT/POSTFIX. En fait, la semaine dernière j'ai un compte utilisateur qui je pense via une attaque dictionnaire a été utilisé pour envoyer un grand nombre de mail... Je cherche un moyen plus rapide de savoir à un instant T qui utilise le service pour envoyer des mails. Une sorte de compteur d'envoi par compte ou je ne sais quoi afin de pouvoir identifier le ou les comptes qui posent problèmes ! Comment faites-vous, une astuce ou une commande plus ou moins magique ? Merci pour les retours !
Perso pour les détecter pendant le bruteforce j'utilise OSSEC
Le 2 août 2013 09:47, Antoine Durant antoine.durant29@yahoo.fr a écrit :
Bonjour,
Je cherche un script/commande qui me permet de savoir qui envoi des messages depuis DOVECOT/POSTFIX.
En fait, la semaine dernière j'ai un compte utilisateur qui je pense via une attaque dictionnaire a été utilisé pour envoyer un grand nombre de mail... Je cherche un moyen plus rapide de savoir à un instant T qui utilise le service pour envoyer des mails. Une sorte de compteur d'envoi par compte ou je ne sais quoi afin de pouvoir identifier le ou les comptes qui posent problèmes !
Comment faites-vous, une astuce ou une commande plus ou moins magique ?
Merci pour les retours !
Liste de diffusion du FRsAG http://www.frsag.org/
Hello,
2013/8/2 Antoine Durant antoine.durant29@yahoo.fr
Je cherche un moyen plus rapide de savoir à un instant T qui utilise le service pour envoyer des mails. Une sorte de compteur d'envoi par compte ou je ne sais quoi afin de pouvoir identifier le ou les comptes qui posent problèmes !
Comment faites-vous, une astuce ou une commande plus ou moins magique ?
Magique non, il faut coder un peu :-) Mais en utilisant par exemple un "pipe" (dans le main.cf) vers un script custom, tu peux parser les headers de chaque mail (pour récuperer par exemple le "Received: .* Authenticated sender: toto@toto.com"), faire ton décompte de mails par user dans un coin, puis réinjecter le mail via /usr/sbin/sendmail ("maildrop") pour qu'il soit délivré au destinataire.
Si quelqu'un a plus simple, je suis prenneur. Mais ça, ça fonctionne (en prod).
Fabien
Le 02/08/2013 12:45, Fabien Germain a écrit :
Hello,
2013/8/2 Antoine Durant <antoine.durant29@yahoo.fr [1]>
Je cherche un moyen plus rapide de savoir à un instant T qui utilise le service pour envoyer des mails. Une sorte de compteur denvoi par compte ou je ne sais quoi afin de pouvoir identifier le ou les comptes qui posent problèmes !
Comment faites-vous, une astuce ou une commande plus ou moins magique ?
Magique non, il faut coder un peu :-) Mais en utilisant par exemple un "pipe" (dans le main.cf [2]) vers un script custom, tu peux parser les headers de chaque mail (pour récuperer par exemple le "Received: .* Authenticated sender: toto@toto.com [3]"), faire ton décompte de mails par user dans un coin, puis réinjecter le mail via /usr/sbin/sendmail ("maildrop") pour quil soit délivré au destinataire.
Si quelquun a plus simple, je suis prenneur. Mais ça, ça fonctionne (en prod).
Fabien
Bonjour,
Pour l'aspect décomptage... "grepmail" doit pouvoir aider plutôt qu'un simple grep.
Sinon tant qu'à "piper" ton mail, tu ne peux pas utiliser un truc du genre procmail ou sieve ? (il faut trouver la bonne config pour analyser les mails sortant, pas évident)
Sinon j'ai trouvé ces deux liens là qui donnent quelques pistes :
http://serverfault.com/questions/360870/postfix-how-to-write-outgoing-mail-t...
http://etbe.coker.com.au/2011/03/18/some-postfix-scripts-spamming/
Cordialement,
JYL
On 02/08, Antoine Durant wrote:
Je cherche un script/commande qui me permet de savoir qui envoi des messages depuis DOVECOT/POSTFIX. En fait, la semaine dernière j'ai un compte utilisateur qui je pense via une attaque dictionnaire a été utilisé pour envoyer un grand nombre de mail... Je cherche un moyen plus rapide de savoir à un instant T qui utilise le service pour envoyer des mails. Une sorte de compteur d'envoi par compte ou je ne sais quoi afin de pouvoir identifier le ou les comptes qui posent problèmes ! Comment faites-vous, une astuce ou une commande plus ou moins magique ?
Ici on utilise mailscore[*], policy daemon de postfix, qui permet de mettre des limites sur l'adresse ip émettrice et/ou sur l'adresse d'enveloppe ou le compte SASL (s'il y a eu authentification). Le daemon utilise une base sql pour garder les scores, donc une requête simple te donne les top spammeurs.
* http://mailscore.sourceforge.net/
A+
Merci pour les réponses je vais regarder cela ! Par contre je me suis aperçu que le compte qui pose problème est par exemple "mail@exemple.com" mais en revanche lors des envois des emails le pirate utilise un champ from différent c'est-à-dire tmp@exemple.com ou truc@exemple.com au lieu du mail@exemple.com !! Le truc c'est que les comptes qu'il utilise n'existent pas !! Existe t'il une config permettant de ne pas utiliser un autre from que l'adresse email du compte utilisé ? J'ai raté un truc dans ma configuration ???? A+
Bonjour,
Le 03/08/2013 12:34, Antoine Durant a écrit :
Existe t'il une config permettant de ne pas utiliser un autre from que l'adresse email du compte utilisé ?
J'avais mis en place cette technique[1] quand j'avais voulu faire ça.
Denis
[1] http://support.novell.com/techcenter/sdb/en/2002/09/hacht_imap_sender_restri...
Tu as isoqlog sinon qui permet juste d'avoir des stats. Il fonctionne très bien avec les dernières version de postfix et dovecot.
Guillaume Hilt
Le 03/08/2013 12:34, Antoine Durant a écrit :
Merci pour les réponses je vais regarder cela ! Par contre je me suis aperçu que le compte qui pose problème est par exemple "mail@exemple.com mailto:mail@exemple.com" mais en revanche lors des envois des emails le pirate utilise un champ from différent c'est-à-dire tmp@exemple.com mailto:tmp@exemple.com ou truc@exemple.com mailto:truc@exemple.com au lieu du mail@exemple.com mailto:mail@exemple.com !! Le truc c'est que les comptes qu'il utilise n'existent pas !! Existe t'il une config permettant de ne pas utiliser un autre from que l'adresse email du compte utilisé ? J'ai raté un truc dans ma configuration ???? A+
Liste de diffusion du FRsAG http://www.frsag.org/
On 08/03/2013 12:34 PM, Antoine Durant wrote:
Par contre je me suis aperçu que le compte qui pose problème est par exemple "mail@exemple.com" mais en revanche lors des envois des emails le pirate utilise un champ from différent c'est-à-dire tmp@exemple.com ou truc@exemple.com au lieu du mail@exemple.com !! Le truc c'est que les comptes qu'il utilise n'existent pas !! Existe t'il une config permettant de ne pas utiliser un autre from que l'adresse email du compte utilisé ?
Tu as un moyen assez simple de détecter les comptes compromis (ou, du moins, un indicateur qu'il y a quelque chose de bizarre). Est-il réellement judicieux de faire disparaitre cet indicateur ?
François
Ca semble le boulot parfait pour fail2ban.
- Analyse de logs en temps reel, - fenetre de tir autorisée (genre 5 mails en 5 minutes) - ensuite blocage (niveau IP ou niveau compte) - retour en mode autorisé
Il faut un petit peu de boulot pour ecrire les scripts, mais perso je poartirait sur ce genre de solution.
On 2013-08-02 09:47, Antoine Durant wrote:
Bonjour,
Je cherche un script/commande qui me permet de savoir qui envoi des messages depuis DOVECOT/POSTFIX.
En fait, la semaine dernière j'ai un compte utilisateur qui je pense via une attaque dictionnaire a été utilisé pour envoyer un grand nombre de mail... Je cherche un moyen plus rapide de savoir à un instant T qui utilise le service pour envoyer des mails. Une sorte de compteur d'envoi par compte ou je ne sais quoi afin de pouvoir identifier le ou les comptes qui posent problèmes !
Comment faites-vous, une astuce ou une commande plus ou moins magique ?
Merci pour les retours !
Liste de diffusion du FRsAG http://www.frsag.org/
On 04/08/2013 12:30, Thomas Pedoussaut wrote:
Ca semble le boulot parfait pour fail2ban.
- Analyse de logs en temps reel,
- fenetre de tir autorisée (genre 5 mails en 5 minutes)
- ensuite blocage (niveau IP ou niveau compte)
- retour en mode autorisé
Il faut un petit peu de boulot pour ecrire les scripts, mais perso je poartirait sur ce genre de solution.
postfwd ?
Description-en: Postfix policyd to combine complex restrictions in a ruleset Postfwd is written in perl to combine complex postfix restrictions in a ruleset similar to those of the most firewalls. The program uses the postfix policy delegation protocol to control access to the mail system before a message has been accepted. It allows you to choose an action (e.g. reject, dunno) for a combination of several smtp parameters (like sender and recipient address, size or the client's TLS fingerprint).
-
Antoine Durant -
Cyril Bellot -
Denis F. -
Fabien Germain -
Francois Petillon -
Guillaume Hilt -
jean-yves@lenhof.eu.org -
Laurent CARON -
Sébastien Mureau -
Thomas Pedoussaut