Bonjour,

J'ai un serveur postfix qui fonctionne, semble t-il, tout à fait
correctement, à tel point que j'en oublie son existence et aujourd'hui,
tout à fait par hasard, je me rends compte que j'ai un message d'erreur
(double) récurent toutes les 10mn :

Jan 1 16:39:59 monserveur postfix/smtpd[11522]: connect from
localhost.localdomain[127.0.0.1]
Jan 1 16:39:59 monserveur postfix/smtpd[11522]: warning: Illegal address
syntax from localhost.localdomain[127.0.0.1] in MAIL command: <-amazonweb-
remboursements->
Jan 1 16:39:59 monserveur postfix/smtpd[11525]: connect from
localhost.localdomain[127.0.0.1]
Jan 1 16:39:59 monserveur postfix/smtpd[11525]: warning: Illegal address
syntax from localhost.localdomain[127.0.0.1] in RCPT command: <-amazonweb-
remboursements->
Jan 1 16:39:59 monserveur postfix/smtpd[11525]: disconnect from
localhost.localdomain[127.0.0.1] helo=1 mail=1 rcpt=0/1 quit=1
commands=3/4
Jan 1 16:40:00 monserveur postfix/smtpd[11522]: disconnect from
localhost.localdomain[127.0.0.1] ehlo=1 mail=0/1 rset=1 quit=1
commands=3/4

Je comprends bien l'erreur en elle-même (Illegal address syntax pour -
amazonweb-remboursements-), vu les restrictions de config de
mon serveur, mais ce qui me tracasse, c'est que le message provient de la
machine elle-même (localhost.localdomain[127.0.0.1]) non ?
Machine corrompue ?
Comment trouver ce qui tente d'envoyer ce mail ? Je ne trouve rien à
première vue.

Merci d'avance et bonne année !

PS : mon /etc/hosts.conf contient bien, entre autres, ce localdomain :
127.0.0.1 localhost.localdomain localhost

Le Wed, 01 Jan 2020 20:50:34 +0000, Christophe PEREZ a écrit :

> je me rends compte que j'ai un message d'erreur (double) récurent toutes
> les 10mn :

Précisions :
- j'ai ça depuis longtemps, au minimum 1er septembre (mes logs ne
remontent que jusque là), mais ça s'est arrêté le 1er Décembre à (3h14),
et ça a repris la nuit dernière (à 4h23)
- rien en file d'attente (mailq)

On mer. 01 janvier 2020 (21:50),
Christophe PEREZ <chris> wrote:

> Bonjour,

Hello,

> J'ai un serveur postfix qui fonctionne, semble t-il, tout à fait
> correctement, à tel point que j'en oublie son existence et aujourd'hui,
> tout à fait par hasard, je me rends compte que j'ai un message d'erreur
> (double) récurent toutes les 10mn :

[..]
> Jan 1 16:40:00 monserveur postfix/smtpd[11522]: disconnect from
> localhost.localdomain[127.0.0.1] ehlo=1 mail=0/1 rset=1 quit=1
> commands=3/4

> Je comprends bien l'erreur en elle-même (Illegal address syntax pour -
> amazonweb-remboursements-), vu les restrictions de config de
> mon serveur, mais ce qui me tracasse, c'est que le message provient de la
> machine elle-même (localhost.localdomain[127.0.0.1]) non ?

Par défaut postix n'autorise pas le relai d'une adresse commençant par
un tiret (cf. <http://www.postfix.org/postconf.5.html#allow_min_user>).

Concernant ce qui te tracasse, rien d'anormal à ce que le message à
relayer provienne de la machine.
En revanche ce qui est inquiétant est de ne pas savoir quel programme
veut soumettre un tel message (généralement un programme local).
Commencer des recherches pour savoir lequel.

> Machine corrompue ?

J'en doute. Voir si tu as des applications tierces configurées pour
envoyer des courriels (applications Web, scripts dans un cronjob, etc.)

> Comment trouver ce qui tente d'envoyer ce mail ? Je ne trouve rien à
> première vue.

Cf. ci-dessus.

> Merci d'avance et bonne année !

> PS : mon /etc/hosts.conf contient bien, entre autres, ce localdomain :
> 127.0.0.1 localhost.localdomain localhost

L'évènement de l'historique n'indique pas une erreur de routage DNS mais
uniquement qu'un courriel à relayer n'a pu l'être à cause de l'adresse
commençant par un tiret rien de plus.

Bonne année également !

hth

On mer. 01 janvier 2020 (22:13),
Christophe PEREZ <chris> wrote:

> Précisions :
> - j'ai ça depuis longtemps, au minimum 1er septembre (mes logs ne
> remontent que jusque là), mais ça s'est arrêté le 1er Décembre à (3h14),
> et ça a repris la nuit dernière (à 4h23)

Rechercher un programme, script installé dans cette période, bien qu'il
t'es impossible de savoir à quand remonte la première fois où ce
courriel n'a pu être relayé.

> - rien en file d'attente (mailq)

Normal, postfix a rejeté la prise en charge ce courriel suite à
l'adresse erronée (adresse commençant par un tiret).

Le Sat, 04 Jan 2020 13:34:33 +0000, Matt a écrit :

> Par défaut postix n'autorise pas le relai d'une adresse commençant par
> un tiret (cf. <http://www.postfix.org/postconf.5.html#allow_min_user>).

Oui, ça c'est bien la partie que j'ai comprise, et qui ne me pose pas de
pb.

> Concernant ce qui te tracasse, rien d'anormal à ce que le message à
> relayer provienne de la machine.

Ah ben un peu si quand même, à cause de la teneur de l'adresse.

> En revanche ce qui est inquiétant est de ne pas savoir quel programme
> veut soumettre un tel message (généralement un programme local).

Ben voilà, d'où le fait que dans mon contexte ce soit anormal ;)

> Commencer des recherches pour savoir lequel.

Merci. Mais si j'ai posté, c'est que justement, je ne vois pas comment
chercher.
Si au moins je pouvais voir le contenu de ce mail... Peut-être en
"trichant" avec postfix pour qu'il me le délivre quelque part, genre avec
une copie...

>> Machine corrompue ?
> J'en doute. Voir si tu as des applications tierces configurées pour
> envoyer des courriels (applications Web, scripts dans un cronjob, etc.)

Justement, une appli web sur mon serveur qui enverrait ce mail serait une
sorte de corruption chez moi.
Les cronjob, je ne vois rien qui puisse le justifier.

>> Comment trouver ce qui tente d'envoyer ce mail ? Je ne trouve rien à
>> première vue.
> Cf. ci-dessus.

Malheureusement, ci-dessus tu me dis juste de chercher, pas comment.

Merci quand même.

Le Sat, 04 Jan 2020 13:37:49 +0000, Matt a écrit :

> Rechercher un programme, script installé dans cette période, bien qu'il
> t'es impossible de savoir à quand remonte la première fois où ce
> courriel n'a pu être relayé.

Ben oui donc je ne peux rien chercher puisque je ne sais pas de quelle
période il s'agit.

Le Sat, 04 Jan 2020 22:15:12 +0000, Christophe PEREZ a écrit :

> Peut-être en "trichant" avec postfix pour qu'il me le délivre quelque
> part, genre avec une copie...

Bon, c'est ce que j'ai fait, et franchement, les entêtes m'intriguent
fortement. J'aimerais bien qu'on m'explique.
Ou alors, ce n'est pas la copie du mail parce que je me suis foiré, et
c'est une réponse à ce mail reçue instantanément ? Mais ce mail date du
mois de mai...

En tout cas, depuis, plus rien en rapport dans les logs.

Return-Path: <-amazonweb-remboursements->
X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on
monserveur
X-Spam-Level: **
X-Spam-Status: No, score=2.5 required=5.0
tests=BAYES_60,DKIM_INVALID,
DKIM_SIGNED,HTML_MESSAGE,HTML_MIME_NO_HTML_TAG,MIM E_HTML_ONLY,
RDNS_NONE,T_KAM_HTML_FONT_INVALID,T_REMOTE_IMAGE autolearn=no
autolearn_force=no version=3.4.2
X-Original-To: add@mondomaine
Delivered-To: add@mondomaine
Received: from monserveur (localhost.localdomain [127.0.0.1])
by mail.mondomaine (Postfix) with ESMTP id 0899C2600B3
for <add@mondomaine>; Sat, 4 Jan 2020 18:36:43 -0400 (AST)
Received: from pop.orange.fr [80.12.24.15]
by monserveur with POP3 (fetchmail-6.4.1)
for <add@mondomaine> (single-drop); Sat, 04 Jan 2020 18:36:43
-0400 (AST)
Received: from mwinf5c50 (mwinf5c50 [10.223.111.100])
by mwinb1n03 with LMTPA;
Fri, 03 May 2019 03:22:33 +0200
X-Sieve: CMU Sieve 2.3
Received: from smtp8.news.optin-eco.fr ([176.31.22.119])
by mwinf5c50 with ME
id 7dNM200052a9iwo01dNZ4H; Fri, 03 May 2019 03:22:33 +0200
X-bcc: monadresse
X-ME-bounce-domain: wanadoo.fr
X-ME-engine: default
X-me-spamcause:
(49)
(0000)gggruggvucftvghtrhhoucdtuddrgeduuddrjedtgdeg iecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfogf dpggftiffpkfenuceurghilhhouhhtmecugedttdenucfpohcu uggrthgvuchfihgvlhguucdlgeelmdenucfjughrpegtggfhvf fusehmtddtredttddvnecuhfhrohhmpeeoqdetmhgriihonhgh vggsqdhrvghmsghouhhrshgvmhgvnhhtshdqsehonhhlihhnvg drfhhrqeenucffohhmrghinhepshhoghhlrghmshhhohhpphhi nhhgrdhfrhdpfigrrhhmthgvphhlrghnnhgvnhdrnhhlnecukf hppedujeeirdefuddrvddvrdduudelnecurfgrrhgrmhephhgv lhhopehsmhhtphekrdhnvgifshdrohhpthhinhdqvggtohdrfh hrpdhinhgvthepudejiedrfedurddvvddrudduledpmhgrihhl fhhrohhmpedqrghmrgiiohhnfigvsgdqrhgvmhgsohhurhhsvg hmvghnthhsqdesohhnlhhinhgvrdhfrhdprhgtphhtthhopegt hhhrihhsthhophhhrdhpvghrvgiiseifrghnrgguohhordhfrh enucevlhhushhtvghrufhiiigvpeei
X-me-spamlevel: not-spam
X-ME-Helo: smtp8.news.optin-eco.fr
X-ME-IP: 176.31.22.119
X-ME-Entity: ofr
Message-ID: <fc807ea8f40cfcc5c5caf3186c1f827c>
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=1556490233.eco;
d=online.fr; h=Content-Type:MIME-Version:From:To:Subject;
i=-AmazonWeb-remboursements-; bh=/gWjV7ondL/t2Nhxvt8iO4Wx3k4=;
b=Rx2Y5nqRDWbZlqq+carcQa7FLoRxQeIjemYmjPB5ZPNFlji5 t3TVNox8deQjV/
7awBr10wiONQrg
gR6RlD6MPtTSP0MvDMZcM+XRW2TRDd5bQEsKv/2Se7QzC5PnMb4F702Z/RRnwU3DghJJ/
mEzO7eq
SDOIWtywIUvaFZKAILk=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=1556490233.eco;
d=online.fr;
b=Jdbqx6k+BQMsKQ1NBccUNIpcnlsnqm6UbRJfitVE//
rOJw5qukRtKOsjO35yHDR+MsGleOP+JGC6
EtwPtGR3qZxJsLc09FI37LT/
0I+r5XEaxFxa+uCyLR6itjlpYwguhpVipHgkADvbn4J+mZY8Ox LX
rU/2FtABUjd8DVa2xtI=;
Content-Type: multipart/mixed;
boundary="===============0259261327590772891=="
MIME-Version: 1.0
From: <-AmazonWeb-remboursements->
To: monadresse
Subject: =?utf-8?q?-FR=5FAssistances?=
Date: Fri, 03 May 2019 03:22:33 +0200

On sam. 04 janvier 2020 (23:15),
Christophe PEREZ <chris> wrote:

>> Concernant ce qui te tracasse, rien d'anormal à ce que le message à
>> relayer provienne de la machine.

> Ah ben un peu si quand même, à cause de la teneur de l'adresse.

Ne sachant pas à quoi ton serveur sert, ça ne me paraît anormal que des
courriels soient relayés par la machine locale.
Après effectivement l'adresse me paraît suspecte.

> Merci. Mais si j'ai posté, c'est que justement, je ne vois pas comment
> chercher.

Savoir qu'est-ce qui tourne dessus me paraît un bon début.

> Si au moins je pouvais voir le contenu de ce mail... Peut-être en
> "trichant" avec postfix pour qu'il me le délivre quelque part, genre avec
> une copie...

Tu peux utiliser une table pour *sender_bcc* après avoir autorisé postfix
à relayer des courriels dont l'adresse commence par un tiret. Cf. man 5
postconf / sender_bcc

[main.cf]
sender_bcc_maps = regexp:$config_directory/sender_bcc.re

[$config_directory/sender_bcc.re]
/^-amazonweb-remboursements-@/ chris

> Malheureusement, ci-dessus tu me dis juste de chercher, pas comment.

Comme indiqué, difficile sans savoir ce qui tourne sur ce serveur.
Vérifier les processus qui tournent voir s'il y en a un suspect
(apparemment ce couriel est soumis de façon régulière).

hth

Christophe PEREZ <chris> wrote:
> Le Sat, 04 Jan 2020 22:15:12 +0000, Christophe PEREZ a écrit :

> Received: from monserveur (localhost.localdomain [127.0.0.1])
> by mail.mondomaine (Postfix) with ESMTP id 0899C2600B3
> for <add@mondomaine>; Sat, 4 Jan 2020 18:36:43 -0400 (AST)
> Received: from pop.orange.fr [80.12.24.15]
> by monserveur with POP3 (fetchmail-6.4.1)
> for <add@mondomaine> (single-drop); Sat, 04 Jan 2020 18:36:43
> -0400 (AST)

La réponse est là.

Ton serveur fait tourner un fetchmail qui récupère depuis pop.orange.fr.
Un des mails reçu était mal-formaté, et donc ton postfix a refusé sa
livraison.

Rien de bien grave donc.

Le Sat, 04 Jan 2020 23:21:54 +0000, Matt a écrit :

> Ne sachant pas à quoi ton serveur sert, ça ne me paraît anormal que des
> courriels soient relayés par la machine locale.

Pour toi oui, effectivement.
Pour moi, c'est forcément inquiétant ;)

> Après effectivement l'adresse me paraît suspecte.

C'est bien ce qui m'a fait peur.

> Savoir qu'est-ce qui tourne dessus me paraît un bon début.

Le truc c'est qu'il y a vraiment pas mal de choses qui tournent dessus,
et que mes premières recherches ne révélaient rien du tout. D'où ma
recherche d'une solution pour en savoir plus sur ce mail pour parvenir à
détecter sa provenance.

> Tu peux utiliser une table pour *sender_bcc* après avoir autorisé
> postfix à relayer des courriels dont l'adresse commence par un tiret.
> Cf. man 5 postconf / sender_bcc

C'est exactement ce à quoi j'étais arrivé, comme indiqué dans mon autre
post.

> Comme indiqué, difficile sans savoir ce qui tourne sur ce serveur.

C'est vrai, mais j'ai dû mal m'exprimer (même si j'avais bien écrit
"Comment trouver ce qui tente d'envoyer ce mail ?"), parce que je
n'attendais évidemment pas de vous que vous me disiez d'où venait ce
mail, mais que vous m'aidiez à trouver une solution pour faire ma
recherche. Et en fait, je me suis auto-aidé en postant ;)

> Vérifier les processus qui tournent voir s'il y en a un suspect
> (apparemment ce couriel est soumis de façon régulière).

J'avais vérifié, tout semblait normal. Et aucune occurrence de cette
adresse email dans tout /var.
Reste maintenant à comprendre où était stocké ce mail (récupéré par
fetchmail) en attente de distribution... Parce que si je l'avais trouvé,
je ne me serais pas posé toutes ces questions.

Bon, j'ai déjà répondu mais j'ai du me tromper de raccourci et j'ai du te
répondre en privé alors je la refais :

Le Sun, 05 Jan 2020 09:18:47 +0100, Nicolas a écrit :

> La réponse est là.
> Ton serveur fait tourner un fetchmail qui récupère depuis pop.orange.fr.
> Un des mails reçu était mal-formaté, et donc ton postfix a refusé sa
> livraison.

Oui, j'ai cru comprendre ça, mais ce sont les dates qui me faisaient
douter (je voyais le fetchmail à la date d'hier).
Mais du coup, si ce mail datait du mois de mai, où était-il stocké
puisque n'apparaissant pas par mailq ?

> Rien de bien grave donc.

Ça me rassure bien.
Merci.

On dim. 05 janvier 2020 (16:50),
Christophe PEREZ <chris> wrote:

> Le truc c'est qu'il y a vraiment pas mal de choses qui tournent dessus,
> et que mes premières recherches ne révélaient rien du tout. D'où ma
> recherche d'une solution pour en savoir plus sur ce mail pour parvenir à
> détecter sa provenance.

Nicolas t'as réponducematin et c'est bien un fetchmail du pop.orange.fr
qui est responsable des tentatives de soumission de ce courriel.

> C'est vrai, mais j'ai dû mal m'exprimer (même si j'avais bien écrit
> "Comment trouver ce qui tente d'envoyer ce mail ?"), parce que je
> n'attendais évidemment pas de vous que vous me disiez d'où venait ce
> mail, mais que vous m'aidiez à trouver une solution pour faire ma
> recherche. Et en fait, je me suis auto-aidé en postant ;)

Problème réglé ;)

> J'avais vérifié, tout semblait normal. Et aucune occurrence de cette
> adresse email dans tout /var.
> Reste maintenant à comprendre où était stocké ce mail (récupéré par
> fetchmail) en attente de distribution... Parce que si je l'avais trouvé,
> je ne me serais pas posé toutes ces questions.

Ce courriel n'a jamais été stocké localement puisque postfix n'acceptait
pas de le relayer.

Le Sun, 05 Jan 2020 18:22:45 +0000, Matt a écrit :

> Nicolas t'as réponducematin et c'est bien un fetchmail du pop.orange.fr
> qui est responsable des tentatives de soumission de ce courriel.

Je sais, je lui ai répondu.

> Ce courriel n'a jamais été stocké localement puisque postfix n'acceptait
> pas de le relayer.

fetchmail ne le rapatrie pas s'il ne peut le transmettre à postfix ?
Tu veux donc dire que le mail est resté dans la boite orange pendant ces
8 mois ?
Tu avais quand même confirmé toi même que c'était bien "un programme
local" qui tentait cet envoi.

On dim. 05 janvier 2020 (21:09),
Christophe PEREZ <chris> wrote:

> fetchmail ne le rapatrie pas s'il ne peut le transmettre à postfix ?

<https://www.fetchmail.info/fetchmail-man.html#28>

> Tu veux donc dire que le mail est resté dans la boite orange pendant ces
> 8 mois ?

S'il ne peut délivrer le ou les courriels, oui.

> Tu avais quand même confirmé toi même que c'était bien "un programme
> local" qui tentait cet envoi.

C'est bien le cas puisque le courriel tentant d'être relayé l'a été
localement via smtp...