Aller au contenu

Attaques ciblées sur serveur MailPlus (postfix)


Messages recommandés

Bonjour,

Je vous soumets un type d'attaque récurrent que je constate sur mon DSM (DS 220+ / DSM 7.1.1-42962) et plus particulièrement sur mon MailPlus Server.

Ayant déjà été piraté dans le passé, j'ai essayé d'être le plus rigoureux possible sur ce nouveau NAS, acheté au début de l'année : authentification double facteur (2FA), firewall, limitation des IP lorsque possible etc.

J'ai bien cloisonné les utilisateurs de telle manière que j'ai un login dédié par utilisation : admin, mails, partage de fichier, multimédia...

J'ai également mis en place un autoban agressif au bout de 2 connexions en échec.

Mon MailPlus Serveur ne sert qu'à recevoir des emails. L'envoi est désactivé. J'ai donc un utilisateur NAS dédié, associé au niveau MailPlus Server avec des adresses email qui n'ont aucun rapport, et qui n'a accès à rien d'autre qu'aux mails. Plus exactement, le login de cet utilisateur spécifique est composé d'une chaine de caractère créée aléatoirement à partir de caractères, de nombres, de points, tirets et autres soulignés. Bref, impossible à partir d'une adresse mail de deviner le login - ni même de le deviner tout court.

Or il se trouve que régulièrement, je dirais même environ une fois tous les 1 ou 2 mois, je constate dans mes logs une tentative de connexion postfix précisément sur ce login improbable. 

exemple (journal/connexions)

 
Citation

postfix                 User [.....] from [141.98.10.150] failed to log in via [MailPlus-Server] due to authorization failure. 

Ce qui est troublant, en plus de tomber juste, c'est qu'il n'y a quasiment aucune autre tentative sur d'autre(s) login(s).

Comme j'ai mis une alerte dans le centre de journaux, je change le login et le mot de passe à chaque fois que cela arrive. 

Néanmoins, cela me questionne beaucoup. J'ai pensé que le login pouvait passer en clair. Sur mon MailPlus Server, seul l'IMAP SSL est activé. Donc ça parait difficile. Je me trompe ?

Vu le mot de passe hyper fort que je mets à chaque fois, je ne suis pas très inquiet. Mais tout de même, cela pose énormément de question.

Est-il possible de connaître le login associé à une adresse mail d'une manière ou d'une autre (exploit postfix ou autre) ?

Ai-je un virus sur un des postes client ?

Je suis preneur de toute piste de réflexion pour éviter les mauvaises surprises.

Merci pour votre attention.

Bien cordialement,

F.B.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.