Bonjour,
Je vous soumets un type d'attaque récurrent que je constate sur mon DSM (DS 220+ / DSM 7.1.1-42962) et plus particulièrement sur mon MailPlus Server.
Ayant déjà été piraté dans le passé, j'ai essayé d'être le plus rigoureux possible sur ce nouveau NAS, acheté au début de l'année : authentification double facteur (2FA), firewall, limitation des IP lorsque possible etc.
J'ai bien cloisonné les utilisateurs de telle manière que j'ai un login dédié par utilisation : admin, mails, partage de fichier, multimédia...
J'ai également mis en place un autoban agressif au bout de 2 connexions en échec.
Mon MailPlus Serveur ne sert qu'à recevoir des emails. L'envoi est désactivé. J'ai donc un utilisateur NAS dédié, associé au niveau MailPlus Server avec des adresses email qui n'ont aucun rapport, et qui n'a accès à rien d'autre qu'aux mails. Plus exactement, le login de cet utilisateur spécifique est composé d'une chaine de caractère créée aléatoirement à partir de caractères, de nombres, de points, tirets et autres soulignés. Bref, impossible à partir d'une adresse mail de deviner le login - ni même de le deviner tout court.
Or il se trouve que régulièrement, je dirais même environ une fois tous les 1 ou 2 mois, je constate dans mes logs une tentative de connexion postfix précisément sur ce login improbable.
exemple (journal/connexions)
Ce qui est troublant, en plus de tomber juste, c'est qu'il n'y a quasiment aucune autre tentative sur d'autre(s) login(s).
Comme j'ai mis une alerte dans le centre de journaux, je change le login et le mot de passe à chaque fois que cela arrive.
Néanmoins, cela me questionne beaucoup. J'ai pensé que le login pouvait passer en clair. Sur mon MailPlus Server, seul l'IMAP SSL est activé. Donc ça parait difficile. Je me trompe ?
Vu le mot de passe hyper fort que je mets à chaque fois, je ne suis pas très inquiet. Mais tout de même, cela pose énormément de question.
Est-il possible de connaître le login associé à une adresse mail d'une manière ou d'une autre (exploit postfix ou autre) ?
Ai-je un virus sur un des postes client ?
Je suis preneur de toute piste de réflexion pour éviter les mauvaises surprises.
Merci pour votre attention.
Bien cordialement,
F.B.