Piratage boîte mail?

:uk:

Follow-up if people ends up in a similar situation of have similar concerns.

I think good indicators for suspect behaviors are :

  • Many messages pending in mail queue with weird recipient names:
mailq
  • Many different IPs appearing in the output of
grep -nr "sasl_username" /var/log/mail.info{,.1}  | grep -E -o "client=.*," | sort | uniq -c | sort -n
  • And/or many servers rejecting emails with error code 4xx (here I used specific keywords, it’s a bit difficult to distinguish between issues on the remote server vs. issues that may relate to a compromised server)
grep -nr 'said: 4' /var/log/mail.info{,.1} | grep 'too quickly\|complaints\|Throttled\|Policy Rejection'
4 Likes

Merci pour ces infos précises.
Je ne comprends pas vraiment comment interpréter tous les retours de ces commandes. J’espère que d’avoir changé les mots de passe (avec des mots de passe très fort) aura déjà empêcher une intrusion, si intusion il y a eu, ce qui me semble probable…
Je vois que je suis passé de 117 Requests à 86 Requests avec mailq.

Mais tu n’as pas un moyen de confirmer avec la personne que le mot de passe était potentiellement faible, histoire de valider à peu près que c’est la cause du problème ?

Bonjour,

Y-a-t-il une possibilité d’imposer aux utilisateurs l’usage de caractères spéciaux, chiffres, majuscules et minuscules afin d’éviter ce genre de désagrément? Je n’ai pas trouvé dans yunohost ou je peux régler ça.
1234azerty est accepté par exemple, or j’ai pas vraiment l’impression que c’est très sécurisé.

Ne vaut-il pas mieux supprimer ces mails en attente si ce sont des spams plutôt que les laisser partir? A effectuer en root ou avec sudo:

yunohost service stop postfix
postsuper -d ALL
yunohost service start postfix

Après si il faut faire le tri dans ceux-ci avant de les supprimer, ça doit je suppose être possible. Arrêter postfix serait déjà une bonne chose en attendant de te documenter.

Il y a un setting security.password.user.strength que tu peux passer à 2, 3, ou 4 et qui impose d’avoir des mots de passe plus long … c.f.

yunohost settings list | grep -A4 security.password.user.strength

(bon je crois qu’on a pas moulte doc sur le sujet). Par contre changer le setting n’a pas d’effet sur les mots de passe déjà défini car ils sont hashé…

Par défaut Yunohost vérifie aussi que le mot de passe n’est pas dans la base des 100k mot de passe les plus utilisés. Le truc c’est que c’est un problème compliqué. “1234azerty” a effectivement l’air pas très sécurisé, et il ne l’est probablement pas (mais fun fact : il n’est pas dans les 100k les plus utilisé). Mais par exemple est-ce que “poiuyt4321” l’est ? (j’ai pris les lettres du clavier mais en partant de la droite…). Et comment tu construit un algorithme qui détermine si un mot de passe est sécurisé ? Le truc c’est aussi que ce contre quoi tu essayes de te protéger (en premier en tout cas) ce sont les attaques automatiques, dont certaines se base sur les mots de passes les plus utilisés …

  • un mot de passe peut avoir l’air “pas secure” mais en fait être “good enough” (= pas très vulnérable à des attaques brute force) car très peu utilisé … genre 1234superchoucroute
  • un mot de passe peut avoir 16 caractères alphanumérique et ne pas du tout être sécurisé (genre 0123456789abcdef)
  • un mot de passe peut avoir l’air “secure” mais ne pas du tout l’être … par exemple dans les 100k mot de passe les plus utilisés on trouve “10xby49k”

Mais bon, là on ne fait que gratter la surface du problème …

2 Likes

Je confirme que le mot de passe était pas extraordinaire. Je les ai tous changé et convaincu l’utilisateur d’utiliser keepassxc avec des mots de passes costaud…
Je vous tiens au courant si il y a une suite.
Du coup j’ai aussi supprimer ce qui était en attente dans la queue comme suggéré plus haut…

Merci !!

Mouais…je reste toujours étonné de listes existantes concernant les X mots de passe les plus utilisés. Si ce sont des mots de passe, en général on les crie pas sur les toits! :stuck_out_tongue_winking_eye:

Merci pour l’info pour security.password.user.strength, c’est exactement ce que je cherchais. Je peux toujours forcer un mot de passe provisoire depuis la webadmin et envoyer un mail/sms aux utilisateurs pour les avertir, j’ai peu de compte sur le serveur.

A défaut de documentation, j’ai trouvé cette réponse de @ljf qui détaille le niveau de protection. Je la remets ici pour lui donner un peu plus de visibilité sur le forum:

A mon avis, c’est basé sur de nombreuses fuites de données, ainsi que sur des agrégations de bases de données de comptes qui elles n’ont pas forcément fuitées.

1 Like

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.