Bonjour,
J'ai un serveur Plesk 12 sur CentOs.
Ca fait un mois que je tente toutes les solutions possibles (que je trouve dans les guides OVH ou sur Google) et à chaque fois le problème reste le même... spam via mon serveur.
Dans la liste d'attente des emails à envoyer j'ai souvent +/- 30000 emails.
Expéditeur test@ovh.com vers des dizaines d'adresses emails.
J'ai bon chercher une faille sur tous les sites configurés sur ce serveur... je ne trouve pas.
J'ai contacté OVH pour qu'ils me conseillent, mais ça n'a rien changé.
Je commence à désespérer (surtout que l'adresse IP se retrouve bloquée, donc difficile d'envoyer un email) et j'aimerais savoir si quelqu'un pourrait m'aider à reprendre le travail à zéro avec moi afin de régler ce problème définitivement ?
Merci d'avance pour votre réponse,
BAV
Spam et IP bloquée
Sujets apparentés
- Port 25 bloqué pour spam à répétition
10478
28.02.2018 13:39
- Rkhunter : parametre web_CMD invalide
8231
23.07.2017 15:43
- Mise en place de VM avec IP publique sur Proxmox 6 [RESOLU]
8145
30.04.2020 17:12
- Mise à jour PHP sur Release 3 ovh
8115
11.03.2017 17:43
- Connection smtp qui ne marche plus : connect error 10060
8085
12.04.2019 10:10
- Partition sur le disque de l'OS ESXI
7983
09.05.2017 14:33
- Envoi demail bloqué chez Gmail (550-5.7.26 DMARC)
7731
23.12.2019 08:40
- Meilleure solution pour disposer de plusieurs IP ?
7494
29.07.2018 09:40
- Comment me connecter par SSH en tant que root à mon serveur ?
6966
09.09.2019 14:34
Bonjour,
Gérer un serveur mail peut être compliqué si on a pas forcément les bases pour le faire, c'est loin d'être le service le plus facile à gérer.
La première chose à faire serait de vérifier que tu respectes bien les Best Practices et les RFC.
Donc concrètement au minimum pour l'envoie de mail tu dois avoir :
- Un reverse DNS de configuré sur l'IP
- Un champ SPF indiquant les serveurs mails autorisés pour l'envoie
En plus de cela tu peux ajouter d'autres éléments comme le DKIM... Tu es bloqué par OVH ou d'autres services ?
Si c'est OVH, sache que tu peux nous envoyer les mails en questions au format EML (avec les headers) afin qu'on puisse mettre-à-jour nos filtres si nécessaire.
Si ce n'est pas nous, il faudrait contacter les différents services pour demander le déblacklistage et leur indiquer que tu respectes bien les RFC...
La réputation d'une IP est très difficile à acquérir, si tu fais beaucoup de mails je te conseille d'utiliser une IPFO (ce qui te permettra d'avoir la même IP si tu changes de machine).
Il s'agit là de quelques éléments généraux mais qui te donneront probablement un début de piste.
Sur Plesk tes logs mails se trouvent sur /usr/local/psa/var/log/maillog
Cordialement, Alexandre R.
Merci pour ta réponse.
J'essaye de supprimer point par point ce qui poserait problème.
- Si mon serveur envoie 20 emails par jour c'est beaucoup (mais là, il est à 30k).
- Un reverse DNS est créé sur l'IP V4 et V6.
- Une liste SPF est active et un template DNS avec l'option "v=spf1 +a +mx -all" afin de ne pas devoir rajouter manuellement chaque adresse email créée.
- Un "dig -x [IP serveur] +short" retourne bien la liste des domaines autorisés (et c'est correct).
Mais le spam persiste :( .
Si vous avez la gentillesse de me donner d'autres pistes ... ?
BAV
Je t'en prie :)
Envoie moi en message privé ton domaine si tu veux, je pourrais vérifier ta configuration comme cela.
Si tout est à-priori fait de ton côté, la seule chose qui reste à faire serait de contacter les services qui te blacklistent.
Tu peux voir sur http://mxtoolbox.com/blacklists.aspx par exemple pour vérifier sur les différentes RBL.
Pour le nombre sinon cela n'est pas impactant, nous avons des clients dont leur métier est de faire du mailing et cela ne pose pas de problèmes.
Cordialement, Alexandre R.
Comment on envoi un message privé ?
Tu cliques sur le profil et tu auras message privé sur la droite normalement ;)
Cordialement, Alexandre R.
Je ne trouve pas :( ... c'est pas grave tu sais m'en envoyer un et je répondrai.
Tu peux aussi essayer de désactiver le bounce, et regarder dans tes logs de quelle adresse les emails partent, éventuellement changer le mot de passe de la boîte si elle a été piratée.
L'expéditeur sont des adresses fictives et inexistantes sur mon serveur. Par exemple, test@ovh.com a été utilisée. Je n'héberge évidemment pas ovh.com :) .
Je pensais a un abus d'une fonction mail (via PHP par exemple), mais j'ai vérifié partout et je ne trouve pas... ce qui serait génial se serait de savoir d'où proviennent les spams et comment "on" arrive à utiliser l'adresse IP de mon serveur pour ce faire...
les causes peuvent être multiples :
- les spammeurs abusent du bounce que ton serveur envoie
- ton serveur est en open-relay et donc n'importe qui peut l'utiliser pour envoyer des emails sans s'identifier
- tu as un script (soit une faille dans un de tes scripts de contact par exemple, soit un hacker a placé un script) quelque part qui envoie des emails
- tu as un compte email légitime qui a été hacké
J'en oublie sûrement mais c'est chiant les spammeurs...
Ton serveur a du être infecté d'une manière ou d'une autre.
Le mieux est de tout réinstaller en mettant au passage un os à jour et à jour tous les CMS.
c'est un peu violent comme suggestion ça, si il a beaucoup de sites dessus ça va être compliqué (et le script infecté fera peut être partie du backup qu'il va restaurer)
(je ne peux pas poster plus de 3 messages donc tu peux tester ça par exemple pour l'open relay : http://www.mailradar.com/openrelay/ )
Oui, tout réinstaller n'est pas possible dans mon cas :( .
Une solution que je n'ai pas encore creusée, c'est celle de l'open-relay... comment puis-je vérifier cela ?
Il faut bien vérifier dans les options du serveur mail que le relai smtp nécessite une authentification si ce n'est pas déjà la cas.
Après, utiliser une plateforme externe comme zoho (1 domaine / 25 boites gratuites) et enlever le serveur mail de Plesk peut également être une solution afin d'être tranquille.
En général les spams proviennent d'une page web pirate sur un de tes sites, ou bien d'un serveur mail "trop accueillant".
Il faudrait que tu nous retranscrives fidèlement l'entièreté d'un des spams en queue (avec les en-têtes SMTP surtout), peut-être pourra-t-on avancer un peu...
Il faut évidemment partir sur d'ancien backups sains..
Si une page a été infectée c'est limite plus simple de tout réinstaller à partir de backup sains plutôt que de chercher dans chaque fichier d'éventuels codes malicieux.
Merci pour toutes ces réponses.
Il y a bien une identification requise pour le SMTP.
J'ai vidé la liste de spam (liste d'attente de QMail), mais au prochain spam je noterai une en-tête ici.
J'ai demandé un retrait de l'adresse IP des blacklist, mais spamCannibal refuse pour cette raison "These IP's are NOT eligible for removal until provisioned with a distinguishing PTR record".
Tous les domaines hébergés sur ce serveur ont un champ PTR pointant vers le domaine.tld.
Comment pourrais-je avoir un champ PTR pour mon serveur ?
Après tout, il pointe vers le domaine nsXXXXXXX.ovh.net : Est-ce configurable ?
Je suis fatigué pour aujourd'hui :/ mais demain, j'essayerai de configurer PHP pour que la fonction "mail()" requière une authentification également (autrement dit que la fonction mail() ne fonctionne plus sans mot de passe et identifiant, c'est faisable non ?).
Première fois que je me penche autant sur la sécurité des emails sur un serveur... j'ai le présentement que ça va devoir devenir une habitude...
BAV,
Fabrice
Bonjour,
Tu ne peux pas utiliser le nom de ton serveur comme reverse ou t'en servir pour les mails. Ce nom de domaine appartient à OVH et il sert uniquement à identifier le produit.
Si tu veux configurer correctement ton serveur, tu dois choisir un nom de domaine qui t'appartiens que tu choisiras en tant que reverse ce qui te permettra d'avoir ce que tu souhaites.
Si tu en as plusieurs : tu peux faire un reverse par IP ou bien prendre le risque d'envoyer tous tes mails depuis une seule IP.
Cordialement, Alexandre R.
```text Ok merci.
C'est pas le plus important pour le moment.
Les spams ont recommencés aujourd'hui, voici un en-tête :
Received: (qmail 17939 invoked from network); 13 Dec 2016 14:21:04 +0100
Received: from localhost (HELO User) (127.0.0.1)
by localhost with ESMTPA; 13 Dec 2016 14:21:04 +0100
Reply-To: gmail.com>
From: "Allen Mordi & Associates"ovh.com>
Subject: REQUEST FOR BUSINESS PARTNERSHIP
Date: Tue, 13 Dec 2016 05:21:32 -0800
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message envoyé 5800 fois (bloqués dans la file d'attente QMail, vu que configurée pour n'envoyer que 20 emails par heure).
Ca ne me dit pas d'où ça provient, si ?
BAV,
Fabrice
EDIT :
Pour infos dans le maillog j'ai aussi ceci :
Dec 13 04:32:49 ns2291060 /var/qmail/bin/relaylock[30335]: /var/qmail/bin/relaylock: mail from 46.183.221.136:53169 (ip-221-136.dataclub.biz)
Dec 13 04:32:50 ns2291060 smtp_auth[30336]: SMTP connect from ip-221-136.dataclub.biz [46.183.221.136]
Je comprend plus rien pff, dataclub.biz n'est pas autorisé sur mon serveur...
Dec 13 04:35:36 ns2291060 /var/qmail/bin/relaylock[30569]: /var/qmail/bin/relaylock: mail from 91.200.12.121:54228 (dedic869.hidehost.net)
Dec 13 04:35:37 ns2291060 smtp_auth[30570]: SMTP connect from dedic869.hidehost.net [91.200.12.121]
Dec 13 04:35:37 ns2291060 smtp_auth[30570]: Invalid mail address 'test'
Dec 13 04:35:37 ns2291060 smtp_auth[30570]: FAILED: test - password incorrect from dedic869.hidehost.net [91.200.12.121]
dedic869.hidehost.net ???
Je vais pas baisser les bras, mais j'ai surement pas le niveau pour agir seul.
RKHunter ne trouve rien.
Spamd ne bloque pas tous les spams.
Comment je peux trouver le fichier qui envoie tout ça ? ```
Avec les SPF et toutes les opérations menées je remarque que le spam ne sait plus partir de domaines non hébergés.
Cela n'empêche pas le spammeur d'utiliser les domaines existants.
J'essaye toujours de comprendre d'où ça vient.
Il faut absolument que cela cesse :frowning: ... personne n'a une dernière idée ?
C'est tout de même malheureux... bientôt les hackers feront tout ce qu'ils veulent sur la planète juste parce que les systèmes actuels sont pleins de faille ?
Et le pire, c'est que je ne sais toujours pas qui est assez bête de nos jours pour ouvrir un spam :kissing: ... (je pars du principe que si personne ne les ouvrait, personne n'aurait encore l'envie d'en envoyer, si ?).
Aîe,
Fabrice
Bon, avec ce bon vieux Qmail poussiéreux sur ton serveur, il va être temps de virer ta cuti ou trouver un barbu sympa qui veut bien t'aider.
Cependant il y a un truc à vérifier c'est ceci:
Received: from localhost (HELO User) (127.0.0.1) by localhost with ESMTPA;
Ce mail n'a pas été injecté par une connexion venant de l'extérieur.
Ce mail a utilisé ESMTPA et le "A" a toute son importance.
Il semble bien qu'une connexion depuis ton serveur se soit authentifiée en SMTP. C'est pas bien, ça.
Apparemment, après une semaine, il n'y a plus eu de spam.
Je note ici un récapitulatif des opérations menées, en espérant qu'un jour cela puisse servir à quelqu'un d'autre que moi :) .
- Des champs SPF ont étés ajoutés aux DNS.
- Des champs DKIM ont étés ajoutés aux DNS, ainsi que leurs clés à tous les domaines du serveur.
- QMail a été remplacé par Postfix.
- Courier a été remplacé par Dovecot.
- Le firewall de Plesk a été activé (attention qu'il faut alors ajouter des exceptions pour les ports passifs des connexions FTP).
- Tous les composants suivants ont étés mis à jour (Plesk, PHP, Apache, Xine, Postfix, Dovecot, CentOs, Dr.web et ses composants RKHunter).
- Les vérifications des virus ont étés activées sur les emails (entrants et sortants) de toutes les adresses emails hébergées sur le serveur.
- Un reverse DNS a été créé sur les adresses IP V4 et V6 du serveur.
- L'anti-spam (SpamAssassin) a été activé pour toutes les adresses emails.
- Une limite d'emails sortants a été spécifiée (20 emails par heure / par domaine).
- Les adresses IP locales (par défaut) ont étés supprimés de la liste blanche des paramètres de la messagerie dans Plesk.
- Les mot de passes des adresses emails doivent maintenant être chiffrées via le client de messagerie pour accepter la reception et l'envoi d'emails.
J'aimerais enregistré mon certificat SSL aussi (j'ai souvent un message comme quoi, il n'est pas correct car expiré), ce sera encore ça de plus.
Combattre les spams m'a pris plus d'un mois au total.
J'espère que ce message pourra épargner du temps (et des cheveux) à d'autres :) .
Merci beaucoup à tous ceux qui m'ont aidés !
Bien à vous,
Fabrice
Bonjour,
Tant mieux si ça a stoppé
Pour le certificat tu ne peux pas générer un certificat gratuit et signé via letsencrypt ? Normalement il se renouvelle tout seul tous les 3 mois. (les certificats auto signés créent des messages d'erreur)
Pour Postfix, Dovecot ou ton site web ?
Dans le dernier cas c'est super simple à installer (mais avec Plesk je n'ai pas d'expérience)
on peut tricher un peu pour installer les certificats Let's Encrypt pour un serveur email.
Si tu as besoin d'un certificat LE pour ton serveur email sortant, et pour les emails entrant :slight_smile:
- mail.monserveur.fr
- pop3.monserveur.fr
- imap.monserveur.fr
tu peux créer un site Web Apache bidon avec :
ServerName mail.monserveur.fr
ServerAlias pop3.monserveur.fr
ServerAlias imap.monserveur.fr
...
Ensuite, tu lances le script standard Let's Encrypt pour créer le certificat SSL (HTTPS) sur ce serveur, en incluant tous les noms (mail... pop3, pop3s, imap, imaps, smtp... tout ce que tu as définis dans ton virtualhost Apache).
Let's Encrypt te fera les certificats.
Il te suffit ensuite d'indiquer la position du certificat dans ta config Postfix / Dovecot, etc
un truc du genre
/etc/letsencrypt/live/mail.monserver.be/fullchain.pem (ou le certificat ou la privkey.pem)
ça doit fonctionner.
:grin:
Bonjour,
tu n'es pas non plus obligé de créer mail.monserveur.com
et
pop3.monserveur.com
pop3s.monserveur.com
imap.monserveur.com et etc ...
Tu peux ne créer que mail.monserveur.com
et mettre dans Thunderbird/outlook/etc ... mail.monserveur.com comme serveur SMTP(S)/POP(S)/imap(S) .. ce n'est pas obligatoire de créer les autres.
@DidierM @Buddy Tout-à-fait , si le certificat est émis pour la vaditation d'un serveur ça doit être bon. Il faut un serveur web sur le port 80 pour la génération et le renouvellement du certificat.
+1 ou -1 pour ne créer qu'un nom, un certificat, ça ne fonctionne que si le SMTP et le IMAP sont sur la même machine car le CN est unique.
Entièrement d'accord @Buddy
On crée ce dont on a besoin...
@Fritz2cat oui le certificat est unique.
Mais si le serveur email n'est pas sur la même machine que le serveur Web,
ou si le Webmail est sur un serveur différent du SMTP et IMAP, etc etc, on peut appliquer la même méthode
et créer un "site web" bidon Apache2 sur le serveur pour pouvoir créer le ou les certificats avec Let's Encrypt :grin:
@FabriceC Pour le spam n'hésite pas à installer l'extension MagicSpam qui fait très bien son travail avec le niveau gratuit.
@DidierM oui tout à fait, et au final le plus simple pour Plesk, c'est de générer un certificat pour le hostname du serveur, du style server.yourdomain.com, et de l'utiliser à la fois pour sécuriser l'accès à Plesk mais également pour le serveur pop/imap et smtp.
J'ai installé l'extension Let's Encrypt et j'ai pu configuré un certificat SSL facilement pour les domaines concernés.
Merci pour le conseil.
Je me cite : J'avais oublié ce point.
Je suis entrain de prendre des infos à ce propos, je pose la question en même temps.
Est-il possible :
- Soit, d'héberger mon serveur sur un domaine (par exemple, serveur.mondomaine.tld, plutot qur sur nsXXXXXXX.ovh.net ?
- Soit, de faire le reverse vers un sous-domaine "serveur.mondomaine.tld" et si oui, comment procèder ?
Car je n'arrive toujours pas à dé-blacklisté l'IP de ce serveur de SpamCannibal.
Pourtant, tous les autres sites de blacklists d'IP ont acceptés...
Fabrice
Oui, c'est une bonne pratique que de modifier le hostname sur serveur, d'ajouter un record A pour ce hostname, puis de modifier le reverse DNS de l'IP avec le hostname.
Pour modifier le hostname : https://docs.plesk.com/fr-FR/onyx/administrator-guide/administration-du-serveur/paramètres-du-serveur.59423/