Mon serveur postfix est il compromis

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Mon serveur postfix est il compromis

seb

Bonjour

J'ai un serveur auto hébergé sur une dedibox avec lequel je gère mes mails avec postfix/dovecot.

Depuis quelques jours je reçois dans ma boîte mail des messages de spam qui proviennent de mon propre serveur. Il s'agit de messages qui sont envoyées depuis des adresses de mon propre domaine (copier@chezsoi.org) et qui contiennent un zip en pièce jointe qui doit contenir un virus.

La question que je me pose est : est-ce que mon serveur de mail est compromis ou bien est-ce que les mails sont en fait envoyés d'un autre serveur ?

J'ai l'impression que les messages sont envoyés depuis mon serveur car dans le header du mail j'ai

J'ai utilisé rkhunter pour voir si j'avais un rootkit sur mon serveur mais il n'a rien trouvé.

Dans mes logs à l'heure de l'envoi du mail j'ai

Mar 18 12:23:27 mail postfix/smtpd[2174]: 3132ABA0A89: client=unknown[117.220.6.164]
Mar 18 12:23:28 mail postfix/cleanup[2182]: 3132ABA0A89: message-id=<329087.0001.canonTxNo.9497@copier8531.chezsoi.org>
Mar 18 12:23:29 mail opendkim[1095]: 3132ABA0A89: external host [117.220.6.164] attempted to send as chezsoi.org
Mar 18 12:23:30 mail postfix/qmgr[1202]: 3132ABA0A89: from=<copier@chezsoi.org>, size=7471, nrcpt=1 (queue active)
Mar 18 12:23:30 mail postfix/smtpd[2174]: disconnect from unknown[117.220.6.164]
Mar 18 12:23:31 mail postfix/smtpd[2189]: connect from localhost[127.0.0.1]
Mar 18 12:23:31 mail postfix/smtpd[2189]: D573CBA0A8A: client=localhost[127.0.0.1]
Mar 18 12:23:31 mail postfix/cleanup[2182]: D573CBA0A8A: message-id=<329087.0001.canonTxNo.9497@copier8531.chezsoi.org>
Mar 18 12:23:31 mail postfix/smtpd[2189]: disconnect from localhost[127.0.0.1]
Mar 18 12:23:31 mail postfix/qmgr[1202]: D573CBA0A8A: from=<copier@chezsoi.org>, size=8163, nrcpt=1 (queue active)
Mar 18 12:23:31 mail amavis[628]: (00628-04) Passed CLEAN {RelayedInbound}, [117.220.6.164]:62653 <copier@chezsoi.org> -> <karenseb@chezsoi.org>, Queue-ID: 3132ABA0A89, Message-ID: <329087.0001.canonTxNo.9497@copier8531.chezsoi.org>, mail_id: z0I7yeYr5E0w, Hits: -1.901, size: 7434, queued_as: D573CBA0A8A, 1717 ms
Mar 18 12:23:31 mail postfix/smtp[2184]: 3132ABA0A89: to=<karenseb@chezsoi.org>, relay=127.0.0.1[127.0.0.1]:10024, delay=4.7, delays=3/0.02/0.01/1.7, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as D573CBA0A8A)
Mar 18 12:23:31 mail postfix/qmgr[1202]: 3132ABA0A89: removed

Il m'indique bien que le serveur 117.220.6.164 essaie d'envoyer un mail en tant que chezsoi.org : y a t'il un moyen pour interdire cela.

Quand je fais un test sur mail-tester.com j'ai un 10/10. J'ai fait le text sur mxtoolbox.com et mon serveur n'est pas blacklisté.

Je voulais savoir si mon serveur est compromis et sinon si je pouvais empêcher l'envoi de ces mails de spam sur mon domaine

Cordialement
Sébastien

arckosfr

Yop interdire non,
mais les serveur utilisant spf indiqueront que le mail est frauduleux, encore plus si tu utilise dkim/dmarc

yonea11

Pourquoi avoir posté dans la catégorie Salon ? Postfix n'est pas une application pour server dédié...?? Il y a une catégorie pour, "Application : Questions & aides.

Je déplace le sujet au bonne endroit !