Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Postfix

bashprofile

Bonjour,

Ma question concerne la gestion des black list avec Postfix.
Voilà je viens de configurer un postfix sur un réseau local, en faisant appel pour les black list aux Serveurs RBL
avec les traditionelles entrées:

maps_rbl_domains=liste des serveurs

et bien sûr les restrictions:
recipient_restrictions= liste des restrictions.

J'ai crée un fichier good_sender dans lequel j'aimerai mettre les adresses de confiance.
J'entretient la liste en manuel si je puis dire, mais j'aimerai bien automatiser cela et que le fichier good_sender s'entretienne tout seul.

D'autre part j'aimerai interdire les plages d'adresses ip dynamiques sur ce serveur, mais sans être potentiellement rejeté par d'autres serveurs SMTP.
Je sais qu'en mettant des restrictions sur ce point , je m'expose à cela, ayant une ip dynamique.
Je vais chercher de mon côté.
Merci à vous pour vos réponses.

Marc BEY
http://www.bashprofile.net
BASHPROFILE Informatique et Open Source

Globule

Interdire les plages d'IP dynamique me semble bien compliqué ! Il serais plus logique d'accepter une plage d'adresse connue et donc statique.

Automatiser les adresses de confiance me parait un peu mauvais d'un point de vue sécurité, quels seraient les critères pour considérer une adresse comme "adresse de confiance" ? Si c'est par rapport à une plage d'adresse statique et connue, tu vas forcément le notifier dès le départ.

bashprofile

Concernant l'interdiction des plages IP dynamiques, j'ai trouvé une solution que je suis en train d'essayer:

j'ai créé un fichier client_access que j'ai mis dans /etc/postfix dans lequel j'ai mis les lignes suivantes:

/.*adsl.*/ 454 dynamic ip refused
/dyn-.*/ 454 dynamic ip refused
/pcp.* / 454 dynamic ip refused
/ppp-.* / 454 dynamic ip refused
/.*.n.club-internet.fr.*/ 454 dynamic ip refused
/.*.d[0-9].club-internet.fr.*/ 454 dynamic ip refused
/.*.abo.wanadoo.fr.*/ 454 dynamic ip refused
/.*.rev.numericable.fr.*/ 454 dynamic ip refused
/.*.dsl..*/ 454 dynamic ip refused
/.*attbi.com.*/ 454 spammeur
/.*.comcast.net.*/ 454 spammeur
/.*.videotron.ca.*/ 454 spammeur

Les adresses sont des exemples que je suis en train d'essayer.Je me suis inspiré d'un vieux script

et ensuite dans /etc/main/cf je renvoie avec

smtpd_recipient_restrictions =
permit_mynetworks,
reject_maps_rbl,
check_sender_access hash:/etc/postfix/sender_access,
reject_unknown_sender_domain,
reject_invalid_hostname,
reject_non_fqdn_recipient,
reject_non_fqdn_sender,
reject_unknown_client,
reject_unauth_destination,
check_recipient_access hash:/etc/postfix/recipient_access,
check_relay_domains,
check_helo_access regexp:/etc/postfix/helo_regexp,
permit

smtpd_client_restrictions =
permit_mynetworks,
check_client_access regexp:/etc/postfix/client_access

Enfin pour l'automatisation des adresses de confiance c'était par exemple considèré comme valide une adresse qui respecte les règles suivantes.
smtpd_recipient_restrictions
reject_maps_rbl,
check_sender_access hash:/etc/postfix/sender_access,
reject_unknown_sender_domain,
reject_invalid_hostname,
reject_non_fqdn_recipient,
reject_non_fqdn_sender,
reject_unknown_client,
reject_unauth_destination,
check_recipient_access hash:/etc/postfix/recipient_access,
check_relay_domains,
check_helo_access regexp:/etc/postfix/helo_regexp,
permit

par exemple, mais je tiens compte de ta remarque si on peut rester simple et il est vrai que l'on détermine au départ les réseaux de confiance.
C'était surtout dans le cadre du spam ou d'une part certains spammeurs utilisent des relais mais aussi passent encore par le SMTP de leur FAI.
Bon j'essaie on va voir

En tout cas Merci

Marc BEY
http://www.bashprofile.net
BASHPROFILE Informatique et Open Source