Discussion :

[howto]

Bonjour,

Ce matin en regardant les logs de mon serveur Domino (9.01) je suis tombé sur plusieurs traces " SMTP Server Authentication failed for user xxx@domaine.com connecting host xxx.xxx.xxx.xxx " avec le nom du user qui change à chaque fois et le nom du host qui correspond à notre firewall. Les tentatives apparaissent de façon rapprochées pendant plusieurs heures.
Je pense que c'est une tentative de piratage, avez vous déjà été confronté à ce type de problème et comment s'en protéger dans Domino ?

Merci d'avance de votre retour d'expertise

[Michael.RHAN]

salut, tu peux installer inetlockout

[Jérôme Deniau]

on a mis en place fail2ban et on bloque l'IP, sous windows c'est la merde.

On peut bloquer l'ip dans Domino, mais ce n'est pas top.

le inetlockout, c'est uniquement pour http et https

[howto]

Le problème c'est que l'IP que je vois dans le log c'est celle de mon firewall. Lorsque je regarde les traces dans le firewall je ne trouve pas l'IP source d'origine.

[Jérôme Deniau]

un anti-spam d'activé sur le firewall? Voir la config du firewall et les options activées.

[howto]

Oui il y a un anti-spam, mais celui ci ne fait que tagger les mails en fonction de la probabilité que ce soit un spam. J'ai peut-être manqué quelque chose, mais quel est le lien entre l'antispam et les tentatives authentification qui apparaissent dans les logs domino ?

[Jérôme Deniau]

Mais généralement avant d'aller plus loin, il s'assure que le destinataire du mail existe bien sur le serveur de mail, deux possibilités: LDAP ou SMTP, il tente une connexion smtp avec le destinataire, si erreur il rejette tout de suite le mail sans même l'analyser, sinon si le user existe il l'analyse (LDAP presque pareil mais plus efficace), d'ou ma question.

[howto]

Notre firewall interdit tous les envois vers un domaine différent du notre. Lorsque le mail est destiné à une personne de notre domaine et qui en plus existe dans l'annuaire alors la connexion est acceptée et le message est délivré au serveur domino.

Dans les log ce que je vois c'est une tentative de connexion avec un nom qui change constamment et un domaine qui correspond au notre. Exemple user1@notredomaine.com, user2@notredomaine.com, .....

Ce qui signifie que cela correspond à une tentative d'intrusion. Comment on se protège de ça ?

[Jérôme Deniau]

On a un anti-spam qui bloque gentiment ces demandes de connexions. On peut avoir un firewall avec un tel module.

[howto]

Désolé mais je n'ai pas compris ta réponse

[Jérôme Deniau]

Ce n'est pas le rôle de domino de bloquer de tels mails c'est au firewall s'il est dote d'une fonction anti spam ou à un antispam