Bonjour,

Je me permet de poster un message car j’ai un problème de SPAM sur mon serveur debian lenny.

J’ai installé un postfix sur ma bécane j’ai mis en place des SPF personnalisé et des clés de signature DKIM… j’utilise fail2ban et ma machine n’est pas en open relay …

Malgré tout ça des spammeur on réussi à trouver une faille et envois des mails via un de mes nom de domaine, j’ai des info mais je n’arrive pas à reproduire l’erreur.

En ce connectant comme un “client classique” ma machine bloque le open relay correctement, cependant s’ils se « font passer » pour un serveur de messagerie en utilisant une de mes adresses mail les mails passe… j’aimerais arriver à reproduire cette envois de mail mais je ne sais pas comment faire pour paramétrer un serveur de mail distant ?

l’envoi de mail via mon serveur est possible grace à seuelement 2 paramètres, mon ip et l’adresse mail.

Merci d’avance…

tu as essayé de recuperer la source d’un mail ???

poste la ici, ou au moins des logs (/var/log/mail.log)

Bonjour,

Merci pour ta réponse voici le header d’un mail en question

[quote]Return-Path: contact@MONSITE.COM
X-Original-To: contact@MONSITE.COM
Delivered-To: contact@MONSITE.COM
Received: from MONSERVEUR.COM (localhost.localdomain [127.0.0.1])
by MONSERVEUR.COM (Postfix) with ESMTP id DF33B6DB04
for contact@MONSITE.COM; Fri, 25 Sep 2009 02:23:27 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=MONSITE.COM; h=to:subject
:from:mime-version:content-type:message-id:date; s=selector1;
bh=OgNbAZNRH2KCqJFplZTAJqkoCfI=; b=h8ubgv28XHB0wjOIWKAOFi74VUZ7
ryKkWWWHpB4BPwwriS0fBqPxnitOIWp2W3rQAXHXsPeGRvQtUniU8gRn4MomGhoK
l8+XZ9BHHrbTZkKcI/XnolDvxEjbC2f80KUIzouoYvBX7FMYbBV8dnv9JtqBRdk4
6iOHHwQIaSxX2ek=
DomainKey-Signature: a=rsa-sha1; c=nofws; d=MONSITE.COM; h=to:subject:from
:mime-version:content-type:message-id:date; q=dns; s=selector1;
b=ZUkTwS+RP0BghEZHg6+TP+BHJno41RmjohLvug1GC46chpF7JCkZPf+cOiVIE
yafOq3Uu89vW4RuG6MICRlvL+52w6gWwvW/G0X3Sx9M/GdiWRaoYQASBi4R96Mib
7RFXNetFAEIqFLydNXXIl7f4fiWigKrI1w+ZlpG1BE13GU=
Received: from c9510c0c.virtua.com.br (c9510c0c.virtua.com.br [201.81.12.12])
by MONSERVEUR.COM (Postfix) with SMTP id 3F8046DB36
for contact@MONSITE.COM; Fri, 25 Sep 2009 02:23:15 +0200 (CEST)
To: contact@MONSITE.COM
Subject: Can’t find you, darling
From: contact@MONSITE.COM
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Message-Id: 20090925002319.3F8046DB36@MONSERVEUR.COM
Date: Fri, 25 Sep 2009 02:23:15 +0200 (CEST)[/quote]

Et le log associé à ce mail

[quote]mail.info:Sep 25 02:23:27 r11223 postfix/smtpd[3019]: DF33B6DB04: client=c9510c0c.virtua.com.br[201.81.12.12]
mail.info:Sep 25 02:23:28 r11223 postfix/cleanup[3017]: DF33B6DB04: message-id=20090925002319.3F8046DB36@MONSERVEUR.FR
mail.info:Sep 25 02:23:28 r11223 postfix/qmgr[4089]: DF33B6DB04: from=contact@MONSITE.COM, size=1706, nrcpt=1 (queue active)
mail.info:Sep 25 02:23:28 r11223 postfix/smtp[3018]: 3F8046DB36: to=contact@MONSITE.COM, relay=127.0.0.1[127.0.0.1]:10028, delay=13, delays=12/0/0.01/0.39, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as DF33B6DB04)
mail.info:Sep 25 02:23:28 r11223 postfix/virtual[3020]: DF33B6DB04: to=contact@MONSITE.COM, relay=virtual, delay=0.69, delays=0.39/0/0/0.3, dsn=2.0.0, status=sent (delivered to maildir)
mail.info:Sep 25 02:23:28 r11223 postfix/qmgr[4089]: DF33B6DB04: removed
mail.log:Sep 25 02:23:27 r11223 postfix/smtpd[3019]: DF33B6DB04: client=c9510c0c.virtua.com.br[201.81.12.12]
mail.log:Sep 25 02:23:28 r11223 postfix/cleanup[3017]: DF33B6DB04: message-id=20090925002319.3F8046DB36@MONSERVEUR.FR
mail.log:Sep 25 02:23:28 r11223 postfix/qmgr[4089]: DF33B6DB04: from=contact@MONSITE.COM, size=1706, nrcpt=1 (queue active)
mail.log:Sep 25 02:23:28 r11223 postfix/smtp[3018]: 3F8046DB36: to=contact@MONSITE.COM, relay=127.0.0.1[127.0.0.1]:10028, delay=13, delays=12/0/0.01/0.39, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as DF33B6DB04)
mail.log:Sep 25 02:23:28 r11223 postfix/virtual[3020]: DF33B6DB04: to=contact@MONSITE.COM, relay=virtual, delay=0.69, delays=0.39/0/0/0.3, dsn=2.0.0, status=sent (delivered to maildir)
mail.log:Sep 25 02:23:28 r11223 postfix/qmgr[4089]: DF33B6DB04: removed
syslog.1:Sep 25 02:23:27 r11223 postfix/smtpd[3019]: DF33B6DB04: client=c9510c0c.virtua.com.br[201.81.12.12]
syslog.1:Sep 25 02:23:28 r11223 postfix/cleanup[3017]: DF33B6DB04: message-id=20090925002319.3F8046DB36@MONSERVEUR.FR
syslog.1:Sep 25 02:23:28 r11223 postfix/qmgr[4089]: DF33B6DB04: from=contact@MONSITE.COM, size=1706, nrcpt=1 (queue active)
syslog.1:Sep 25 02:23:28 r11223 postfix/smtp[3018]: 3F8046DB36: to=contact@MONSITE.COM, relay=127.0.0.1[127.0.0.1]:10028, delay=13, delays=12/0/0.01/0.39, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as DF33B6DB04)
syslog.1:Sep 25 02:23:28 r11223 postfix/virtual[3020]: DF33B6DB04: to=contact@MONSITE.COM, relay=virtual, delay=0.69, delays=0.39/0/0/0.3, dsn=2.0.0, status=sent (delivered to maildir)
syslog.1:Sep 25 02:23:28 r11223 postfix/qmgr[4089]: DF33B6DB04: removed[/quote]

Ma conf postfix au passage

[quote]root@rxxxxx:~# postconf -n
append_dot_mydomain = yes
biff = no
config_directory = /etc/postfix
disable_vrfy_command = yes
inet_interfaces = all
mydestination = localhost, localhost.localdomain
mydomain = MONSERVEUR.fr
myhostname = MONSERVEUR.fr
mynetworks = 127.0.0.0/8 192.168.0.0/24
relayhost =
smtpd_banner = $myhostname ESMTP (Debian/GNU)
smtpd_client_restrictions = reject_unknown_client, permit_mynetworks
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, reject_unknown_recipient_domain, reject_non_fqdn_recipient
smtpd_sender_restrictions = permit_mynetworks, reject_unknown_sender_domain, warn_if_reject reject_unverified_sender
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_aliases.cf,mysql:/etc/postfix/mysql-virtual_aliases_mailbox.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /var/spool/vmail
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_uid_maps = static:5000[/quote]

C’est différent, c’est un message qui est destiné à un compte dont ton serveur gère le domaine (MONSITE.COM) et donc accepte les emails destinés à un comte sur ce domaine (donc ici contact@MONSITE.COM). Couramment, les spams ont comme adresse d’origine l’adresse du destinateire (ils se foutent de la réponse). Le pire est quand ils prennent ton adresse comme origine de tous les spams qu’ils envoient, tu te prends tous les messages de non réception en retour (soit en gros 100000 messages), ça m’est arrivé plus d’une fois, la dernière fois remonte à 3 semaines.

En tout cas, je vois mal comment échapper à ces messages à moins de refuser tous messages ayant même adresse comme origine et destinataire.

En effet c’est bien ça le probleme…

Je viens de comprendre.

Un serveur X bidouille les header des mail FROM en utilisant mon nom de domaine, et lors de la réception du mail j’ajoute une signature DKIM…

Mais en aucun cas “je pense” il ne passe par mon serveur pour l’envoi de mail… Ce qui m’embête c’est que l’ip de mon serveur est blaklisté sur certain site je ne comprend pas trop pourquoi du coup mon serveur n’étant pas un relais SPAM…

Ce qui m’amene à la dernière question dont je pense avoir la réponse. Il n’est pas possible de ce protéger contre ce genre de problème ? n’importe qui ayant un serveur mail peux bidouiller des header from et envoyer des mails en spoofant mon adresse ?

Quelle est ton IP, si tu es sur une IP genre free.fr, tu es d’office sur liste noire car n’utilisant pas le FAI institutionnel. C’est mail.abuse (une boite américaine autoproclamée réference mondiale qui a initiée le truc). Pas la peine de leur demander de te retirer, ça fait 6 ans que j’essaye. Essaye de leur faire comprendre que ton FAI ne veut pas relayer les centaines de mails que tu fais, il ne pige pas ces andouilles. Pas de solution à part un fichier de configuration complexe dans ce cas.

Non je ne suis pas chez free, j’ai un serveur privé chez OVH que je gère moi même… Il n’était jusque la pas black-listé mais visiblement certain système l’on bloqué…

Surement parce que ces *** de spammeur utilise mon domaine en header …

Non, ça m’étonnerait, c’est complètement inefficace comme méthode et ils savent très bien que les adresses des expediteurs sont du n’importe quoi. Que répond rblcheck à ton IP?

[quote]francois@bling:~$ rblcheck Mon_IP
Mon_IP RBL filtered by relays.ordb.org
Mon_IP not RBL filtered by dnsbl.njabl.org
Mon_IP not RBL filtered by ztl.dorkslayers.com
Mon_IP RBL filtered by blacklist.spambag.org
Mon_IP not RBL filtered by opm.blitzed.org
Mon_IP not RBL filtered by will-spam-for-food.eu.org
Mon_IP not RBL filtered by sbl.spamhaus.org
Mon_IP not RBL filtered by bl.Spamcop.net
Mon_IP not RBL filtered by cbl.abuseat.org
Mon_IP not RBL filtered by www.abhl.org
Mon_IP not RBL filtered by map.spam-rbl.com
Mon_IP not RBL filtered by l1.spews.dnsbl.sorbs.net
Mon_IP not RBL filtered by l2.spews.dnsbl.sorbs.net
[/quote]

désolé, j’ai pas eu le temps. mais effectivement si je te demandais les logs c’est parce que j’ai cru comprendre ton problème.

tu reçois du spam mais tu n’es pas un relai de spam.

postfix a bien quelques rêgles pour eviter une grande partie du spam, considérant en fait que la plupart des serveurs qui envoient du spam sont mal configurés.

• mauvaise résolution dns
• pas de réponses à certaines commandes
• tu peux systematiser la demande de retransmission des mails la plupart des robots de le font pas
• tu peux aussi ajouter des règles qui refusent les mails de serveurs ne faisant pas autorité pour les domaines. c’est ton serveur qui gere monsite.com tu ne devrai spas accepter les mails de l’autre qui n’a pas d’enregistrement MX pour le domaine monsite.com

mais tu n’auras pas non plus de solutions efficaces sans un bon anti-spam !!! (couple amavis/spamassassin)

le plus emmerdant etant effectivement le spam émis en ton nom, qui va te faire classer sur liste noir.

est ce que tous les messages sont émis de la même adresse machine ?? c9510c0c.virtua.com.br [201.81.12.12]

ce domaine est deja blacklisté par :
http://www.rfc-ignorant.org/tools/lookup.php?domain=virtua.com.br

si tu veux, donne moi ton nom de domaine en MP et le nom/@IP de ton serveur

EDIT : virtua.com.br

C’est une mauvaise idée de n’autoriser que les MX d’un domaine à envoyer du courrier, source de faux positifs. Un MX sert à recevoir du courrier, pas forcément à en envoyer. Pour publier et contrôler les MTA autorisés à émettre du courrier pour un domaine donné, il y a SPF.

La syntaxe n’est pas très clair sur les enregistrements SPF (pas réussi à trouver une doc en Français et en Anglais, ça n’est pas clair). Ja’i fait un enregistrement SPF sur chacun des domaines mais j’ignore si ils sont corrects.

Bonjour,

Merci à tous pour vos réponses… Je viens d’installer rblcheck, voici le résultat.

debianMAIL:~# rblcheck MONIP MONIP not listed by sbl.spamhaus.org MONIP not listed by xbl.spamhaus.org MONIP not listed by pbl.spamhaus.org MONIP not listed by bl.spamcop.net MONIP not listed by list.dsbl.org MONIP not listed by dnsbl.njabl.org MONIP not listed by dul.dnsbl.sorbs.net

Cependant j’ai aussi effectué le test depuis le site mxtoolbox.com/blacklists.aspx et la je suis blacklisté sur certain serveur ( les 11 premiers de la liste )… Je ne sais pas si ils sont très connu cependant… Et surtout les méthode qu’ils utilisent pour savoir si je dois être BL ou non… car j’ai des SPF personnalisé plus signature DKIM donc bon c’est déjà “un peu sécurisé”.

Pour ce qui est de l’antispam je n’en est pas… j’ai déjà assez bidouiller ma conf et étant donnée que c’est assez complex je ne voudrais pas tout péter lol… Je ne gère que les mails perso de mes sites, pas d’utilisateur… donc “ça va”.

Pour ce qui est des MX je ne pense pas y toucher pour l’instant n’ayant qu’un serveur primaire et n’envoyant pas de mail depuis la machine…

Fran.b :

• pour ce qui est des SPF tu as le site de microsoft qui peux aider à te faire la conf microsoft.com/mscorp/safety/ … fault.aspx
• ensuite tu peux envoyer un mail à check-auth2@verifier.port25.com pour tester moi par exemple ca me donne

[code]==========================================================
Summary of Results

SPF check: pass
DomainKeys check: pass
DKIM check: pass
Sender-ID check: pass
SpamAssassin check: ham[/code]

Pour info voici un SPF minimal et sécurisé que j’utilise.

"v=spf1 ip4:IP_SERVEUR ip4:IP_FAILOVER a:MONSITE.COM mx:mail.MONSITE.COM -all"

Tout ça pour dire qu’on ne peux rien faire contre un spammeur qui modifie les header from des mails … bien dommage ! C’est quand même dingue qu’à notre époque il n’y est pas encore de système pour empêcher ce type de “bidouille”

C’est une mauvaise idée de n’autoriser que les MX d’un domaine à envoyer du courrier, source de faux positifs. Un MX sert à recevoir du courrier, pas forcément à en envoyer. Pour publier et contrôler les MTA autorisés à émettre du courrier pour un domaine donné, il y a SPF.[/quote]

pfffff pourquoi lui il a toujours raison …

n’empeche que c’est pas plus fasciste que quand orange, gmail et les autre refusent mes mails juste par ce que je ne suis pas ‘FAI certified’.

Je ne connaissais pas rblcheck…

Mon IP de Free n’est pas listée :

MONIP not listed by sbl.spamhaus.org MONIP not listed by xbl.spamhaus.org MONIP not listed by pbl.spamhaus.org MONIP not listed by bl.spamcop.net MONIP not listed by list.dsbl.org MONIP not listed by dnsbl.njabl.org MONIP not listed by dul.dnsbl.sorbs.net MONIP not listed by opm.blitzed.org

Normal ?

Oui c’est normal à part si tu aimerais etre considéré comme un spammeur :smt002