Ma boite à outils

Il peut arriver d'avoir postfix complètement engorgé (sur une machine hacké qui s'est transformé en serveur de spam par exemple), jusqu'à pourquoi pas, remplir le disque dur complètement...

Bref, dans ce cas-là, plusieurs outils sont à disposition...(je ne parlerai que de postfix, et plus précisément sur ubuntu et debian par extension. Concernant les problèmes de sécurité, voir d'autres post, mais d'une façon générale, une machine corrompue est à détruire/effacer, car on ne peut jamais être sûr à 100% de son intégrité après...):

d'abord arrêter postfix:

sudo service postfix stop

Les mails en attente se trouvent dans /var/spool/postfix, dans différents sous-répertoires (files d'attente) selon le stade du mail à envoyer....

une description est ici:http://www.postfix.org/QSHAPE_README.html

A voir aussi:

http://unixmail.fr/blog/postfix-demon-gestion-file-attente

outil pour tester son serveur mail (si il est en openrelay par exemple):

http://mxtoolbox.com/diagnostic.aspx

Qshape

l'outil qshape permet de connaître l'état de congestion de son postfix, par exemple:

sudo qshape incoming active deferred | less

le début de l’article donne une explication détaillée de l'utilisation et de l'analyse de qshape http://postfix.traduc.org/index.php/QSHAPE_README.html

en cas de machine hacké, cela se passe souvent par un script php placé qque part qui va s'occuper de l'envoi des spams. Il se peut aussi, qu'il passe par un autre biais, celui de postdrop. En effet, par défaut n'importe quel utilisateur peut directement, avec la commande postdrop ( http://www.postfix.org/postdrop.1.html ), mettre un mail dans la file d'attente maildrop, ce qui fait que le mail sera ensuite traité par postfix...

On peut verrouiller cela dans /etc/postfix/main.cf avec la ligne authorized_submit_users. (voir http://www.postfix.org/postconf.5.html#authorized_submit_users )

Pour info, la commande suivante permet de savoir quelles sont les différences de configuration  de postfix par rapport à la config par défaut:

postconf -n

Nettoyage

pour faire du nettoyage, on peut utiliser la commande postsuper qui permet de vider les files d'attentes, ce qui est bien pratique....

la doc est ici: http://www.postfix.org/postsuper.1.html

en gros, pour effacer la file d'attente maildrop et deferred, il suffit de faire:

sudo postsuper -d ALL maildrop deferred

On peut aussi l'utiliser pour tout remettre en queue:

sudo postsuper -r ALL

Concernant maildrop, on peut avoir une indication de la provenance du mail.

sudo ls -l /var/spool/postfix/maildrop

si le propriétaire d'un fichier est www-data, il provient sans doute d'un site (hacké ou non) du serveur...

un moyen simple d'effacer tous les mails provenant des sites internet serait :

find /var/spool/postfix/maildrop/ -user www-data -exec rm {} \;

on peut aussi vérifier le contenu d'un mail en utilisant less. Exemple:

sudo less /var/spool/postfix/maildrop/3EDB4359DC

bon, c'est pas très propre, mais ça marche ( utiliser cat à la place peut entraîner un blocage).

Une fois le problème résolu (et le serveur sécurisé si besoin), on peut redémarrer postfix:

sudo service postfix start




Blacklisting

Evidemment, si postfix a envoyé plein de spam partout, il y a des chances que le serveur soit blacklisté par certains.

voici une liste d'adresse pour savoir si on est blacklisté ou pas....

http://blog.admin-linux.org/messagerie/savoir-si-son-adresse-ip-est-blackliste-pour-lenvoi-de-mail