{"id":73,"date":"2015-05-12T08:36:43","date_gmt":"2015-05-12T08:36:43","guid":{"rendered":"http:\/\/www.smtp-server.net\/?p=73"},"modified":"2015-05-04T20:34:51","modified_gmt":"2015-05-04T20:34:51","slug":"authentification-smtp-etapes-simples-pour-empecher-les-attaques-par-relais-smtp-et-identifier-les-comptes-de-messagerie-compromis-sous-postfix","status":"publish","type":"post","link":"https:\/\/www.smtp-server.net\/fr\/authentification-smtp-etapes-simples-pour-empecher-les-attaques-par-relais-smtp-et-identifier-les-comptes-de-messagerie-compromis-sous-postfix\/","title":{"rendered":"Auth SMTP - Etapes faciles pour arr\u00eater l'attaque SMTP AUTH Relay et identifier le compte email compromis pour Postfix"},"content":{"rendered":"<div style=\"float:left\">https:\/\/youtube.com\/watch?v=IaGV9l_3xZM<\/div>\n<p>Aujourd'hui, de nombreuses applications de courrier \u00e9lectronique telles que Sendmail, Postfix ou m\u00eame MS Exchange ont \u00e9t\u00e9 con\u00e7ues pour r\u00e9duire la possibilit\u00e9 de devenir un \u2018relais de spam\u2019. D'apr\u00e8s notre exp\u00e9rience, la plupart des attaques par relais SMTP AUTH sont dues \u00e0 la compromission de comptes d'utilisateurs faiblement prot\u00e9g\u00e9s par un mot de passe. Une fois les comptes d\u00e9couverts et compromis, le spammeur s'authentifie en utilisant le compte de l'utilisateur. Les spammeurs s'authentifient \u00e0 l'aide des informations d'identification de l'utilisateur, ils sont autoris\u00e9s \u00e0 relayer via le serveur, qui est ensuite utilis\u00e9 pour envoyer des spams.<\/p>\n<p><!--more--><\/p>\n<p>Vous trouverez ci-dessous les \u00e9tapes simples \u00e0 suivre pour mettre rapidement fin \u00e0 ces e-mails ind\u00e9sirables et identifier le ou les comptes qui ont \u00e9t\u00e9 pirat\u00e9s.<\/p>\n<p><strong>\u00c9tape 1 : Arr\u00eater la file d'attente des e-mails en attente<\/strong>.<\/p>\n<p>Une grande quantit\u00e9 de courriers ind\u00e9sirables ne cesse d'encombrer votre file d'attente de messagerie. Pire encore, tous ces spams saturent votre r\u00e9pertoire \/var. Il est donc toujours pr\u00e9f\u00e9rable de bloquer temporairement la file d'attente de messagerie jusqu'\u00e0 ce que vous identifiiez le compte qui a \u00e9t\u00e9 pirat\u00e9 par un spammeur et qui envoie un grand nombre de courriers.<\/p>\n<p><strong>\u00c9tape 2 : V\u00e9rifiez votre journal des e-mails.<\/strong><\/p>\n<p>Acc\u00e9dez au r\u00e9pertoire \/var\/log\/maillog pour jeter un coup d'\u0153il \u00e0 la ligne contenant l'en-t\u00eate \u00ab From: \u00bb. Vous y verrez peut-\u00eatre de nombreux noms de domaine de messagerie qui n'appartiennent pas \u00e0 votre organisation. Cela s'explique par le fait que les spammeurs falsifient l'en-t\u00eate \u00ab From: \u00bb.<\/p>\n<p><strong>\u00c9tape 3 : Identifier les comptes compromis lors de l'authentification via une connexion SMTP AUTH<\/strong><\/p>\n<p>Ensuite, v\u00e9rifions les comptes de messagerie qui ont \u00e9t\u00e9 pirat\u00e9s. Ex\u00e9cutez la commande `have cat grep sasl_username` et triez les r\u00e9sultats. Vous devriez voir appara\u00eetre une longue liste des tentatives de connexion et des sessions associ\u00e9es \u00e0 ces comptes pirat\u00e9s. Vous pouvez \u00e9galement effectuer un calcul rapide en ex\u00e9cutant la commande `wc -l` pour conna\u00eetre le nombre total de sessions d'un utilisateur donn\u00e9.<\/p>\n<p><strong>\u00c9tape 4 : D\u00e9sactivez le compte de messagerie pirat\u00e9.<\/strong><\/p>\n<p>Une fois que nous disposons de la cha\u00eene SASL_username, qui correspond au compte utilisateur, il est recommand\u00e9 de d\u00e9sactiver ce compte ou de modifier son mot de passe pour en choisir un plus complexe.<\/p>\n<p><strong>\u00c9tape 5 : D\u00e9placer la file d'attente de courrier ou supprimer l'e-mail ind\u00e9sirable<\/strong><\/p>\n<p>Il faut maintenant s'occuper de notre file d'attente de courriers. La solution la plus simple et la plus rapide consiste \u00e0 d\u00e9placer cette file d'attente et \u00e0 faire le m\u00e9nage plus tard. Vous pouvez \u00e9galement supprimer ces spams \u00e0 l'aide d'un script Bash.<\/p>\n<p><strong>\u00c9tape 6 : Lib\u00e9rer la file d'attente des e-mails<\/strong><\/p>\n<p>N'oubliez pas de vider la file d'attente des e-mails une fois notre processus de maintenance termin\u00e9 et de continuer \u00e0 surveiller le trafic de messagerie.<\/p>","protected":false},"excerpt":{"rendered":"<p>Today lots of the email application such as Sendmail, Postfix, or even MS Exchange has been re-designed to reduce the possibility of become an &#8216;spam-relay&#8217;. From our experience, most of the SMTP AUTH relay attack is caused by the compromised of the weakly password protected user accounts. Once the accounts discovered and been compromised. Spammer <a href=\"https:\/\/www.smtp-server.net\/fr\/authentification-smtp-etapes-simples-pour-empecher-les-attaques-par-relais-smtp-et-identifier-les-comptes-de-messagerie-compromis-sous-postfix\/\" rel=\"nofollow\"><span class=\"sr-only\">Read more about Auth SMTP &#8211; Easy Steps to Stop SMTP AUTH Relay Attack and Identify Compromised Email Account for Postfix<\/span>[...]<\/a><\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-73","post","type-post","status-publish","format-standard","hentry","category-smtp-servers"],"_links":{"self":[{"href":"https:\/\/www.smtp-server.net\/fr\/wp-json\/wp\/v2\/posts\/73","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.smtp-server.net\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.smtp-server.net\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.smtp-server.net\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.smtp-server.net\/fr\/wp-json\/wp\/v2\/comments?post=73"}],"version-history":[{"count":1,"href":"https:\/\/www.smtp-server.net\/fr\/wp-json\/wp\/v2\/posts\/73\/revisions"}],"predecessor-version":[{"id":74,"href":"https:\/\/www.smtp-server.net\/fr\/wp-json\/wp\/v2\/posts\/73\/revisions\/74"}],"wp:attachment":[{"href":"https:\/\/www.smtp-server.net\/fr\/wp-json\/wp\/v2\/media?parent=73"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.smtp-server.net\/fr\/wp-json\/wp\/v2\/categories?post=73"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.smtp-server.net\/fr\/wp-json\/wp\/v2\/tags?post=73"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}