Spam et IP bloquée

JulienK 2016-12-12 14:02:40 UTC #10

les causes peuvent être multiples :
- les spammeurs abusent du bounce que ton serveur envoie
- ton serveur est en open-relay et donc n'importe qui peut l'utiliser pour envoyer des emails sans s'identifier
- tu as un script (soit une faille dans un de tes scripts de contact par exemple, soit un hacker a placé un script) quelque part qui envoie des emails
- tu as un compte email légitime qui a été hacké

J'en oublie sûrement mais c'est chiant les spammeurs...

Buddy 2016-12-12 14:02:41 UTC #11

Ton serveur a du être infecté d'une manière ou d'une autre.
Le mieux est de tout réinstaller en mettant au passage un os à jour et à jour tous les CMS.

JulienK 2016-12-12 14:06:29 UTC #12

c'est un peu violent comme suggestion ça, si il a beaucoup de sites dessus ça va être compliqué (et le script infecté fera peut être partie du backup qu'il va restaurer)

(je ne peux pas poster plus de 3 messages donc tu peux tester ça par exemple pour l'open relay : http://www.mailradar.com/openrelay/ )

FabriceC 2016-12-12 14:09:43 UTC #13

Oui, tout réinstaller n'est pas possible dans mon cas .

Une solution que je n'ai pas encore creusée, c'est celle de l'open-relay... comment puis-je vérifier cela ?

VirtuBox 2016-12-12 15:40:58 UTC #14

Il faut bien vérifier dans les options du serveur mail que le relai smtp nécessite une authentification si ce n'est pas déjà la cas.
Après, utiliser une plateforme externe comme zoho (1 domaine / 25 boites gratuites) et enlever le serveur mail de Plesk peut également être une solution afin d'être tranquille.

Fritz2cat 2016-12-12 15:58:57 UTC #15

En général les spams proviennent d'une page web pirate sur un de tes sites, ou bien d'un serveur mail "trop accueillant".
Il faudrait que tu nous retranscrives fidèlement l'entièreté d'un des spams en queue (avec les en-têtes SMTP surtout), peut-être pourra-t-on avancer un peu...

Buddy 2016-12-12 16:00:54 UTC #16

Il faut évidemment partir sur d'ancien backups sains..

Si une page a été infectée c'est limite plus simple de tout réinstaller à partir de backup sains plutôt que de chercher dans chaque fichier d'éventuels codes malicieux.

FabriceC 2016-12-13 01:01:27 UTC #17

Merci pour toutes ces réponses.

Il y a bien une identification requise pour le SMTP.
J'ai vidé la liste de spam (liste d'attente de QMail), mais au prochain spam je noterai une en-tête ici.

J'ai demandé un retrait de l'adresse IP des blacklist, mais spamCannibal refuse pour cette raison "These IP's are NOT eligible for removal until provisioned with a distinguishing PTR record".
Tous les domaines hébergés sur ce serveur ont un champ PTR pointant vers le domaine.tld.
Comment pourrais-je avoir un champ PTR pour mon serveur ?
Après tout, il pointe vers le domaine nsXXXXXXX.ovh.net : Est-ce configurable ?

Je suis fatigué pour aujourd'hui mais demain, j'essayerai de configurer PHP pour que la fonction "mail()" requière une authentification également (autrement dit que la fonction mail() ne fonctionne plus sans mot de passe et identifiant, c'est faisable non ?).

Première fois que je me penche autant sur la sécurité des emails sur un serveur... j'ai le présentement que ça va devoir devenir une habitude...

BAV,
Fabrice

AlexandreR 2016-12-13 08:15:59 UTC #18

Bonjour,

Tu ne peux pas utiliser le nom de ton serveur comme reverse ou t'en servir pour les mails. Ce nom de domaine appartient à OVH et il sert uniquement à identifier le produit.

Si tu veux configurer correctement ton serveur, tu dois choisir un nom de domaine qui t'appartiens que tu choisiras en tant que reverse ce qui te permettra d'avoir ce que tu souhaites.

Si tu en as plusieurs : tu peux faire un reverse par IP ou bien prendre le risque d'envoyer tous tes mails depuis une seule IP.

Cordialement, Alexandre R.

FabriceC 2016-12-13 15:13:25 UTC #19

Ok merci.
C'est pas le plus important pour le moment.

Les spams ont recommencés aujourd'hui, voici un en-tête :

Received: (qmail 17939 invoked from network); 13 Dec 2016 14:21:04 +0100
Received: from localhost (HELO User) (127.0.0.1)
by localhost with ESMTPA; 13 Dec 2016 14:21:04 +0100
Reply-To: <allenmordi09831@gmail.com>
From: "Allen Mordi & Associates"<test@ovh.com>
Subject: REQUEST FOR BUSINESS PARTNERSHIP
Date: Tue, 13 Dec 2016 05:21:32 -0800
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Message envoyé 5800 fois (bloqués dans la file d'attente QMail, vu que configurée pour n'envoyer que 20 emails par heure).

Ca ne me dit pas d'où ça provient, si ?

BAV,
Fabrice

EDIT :
Pour infos dans le maillog j'ai aussi ceci :

Dec 13 04:32:49 ns2291060 /var/qmail/bin/relaylock[30335]: /var/qmail/bin/relaylock: mail from 46.183.221.136:53169 (ip-221-136.dataclub.biz)
Dec 13 04:32:50 ns2291060 smtp_auth[30336]: SMTP connect from ip-221-136.dataclub.biz [46.183.221.136]

Je comprend plus rien pff, dataclub.biz n'est pas autorisé sur mon serveur...

Dec 13 04:35:36 ns2291060 /var/qmail/bin/relaylock[30569]: /var/qmail/bin/relaylock: mail from 91.200.12.121:54228 (dedic869.hidehost.net)
Dec 13 04:35:37 ns2291060 smtp_auth[30570]: SMTP connect from dedic869.hidehost.net [91.200.12.121]
Dec 13 04:35:37 ns2291060 smtp_auth[30570]: Invalid mail address 'test'
Dec 13 04:35:37 ns2291060 smtp_auth[30570]: FAILED: test - password incorrect from dedic869.hidehost.net [91.200.12.121]

dedic869.hidehost.net ???
Je vais pas baisser les bras, mais j'ai surement pas le niveau pour agir seul.

RKHunter ne trouve rien.
Spamd ne bloque pas tous les spams.
Comment je peux trouver le fichier qui envoie tout ça ?

FabriceC 2016-12-15 23:22:58 UTC #20

Avec les SPF et toutes les opérations menées je remarque que le spam ne sait plus partir de domaines non hébergés.
Cela n'empêche pas le spammeur d'utiliser les domaines existants.

J'essaye toujours de comprendre d'où ça vient.
Il faut absolument que cela cesse ... personne n'a une dernière idée ?

C'est tout de même malheureux... bientôt les hackers feront tout ce qu'ils veulent sur la planète juste parce que les systèmes actuels sont pleins de faille ?
Et le pire, c'est que je ne sais toujours pas qui est assez bête de nos jours pour ouvrir un spam ... (je pars du principe que si personne ne les ouvrait, personne n'aurait encore l'envie d'en envoyer, si ?).

Aîe,
Fabrice

Fritz2cat 2016-12-17 20:27:45 UTC #21

Bon, avec ce bon vieux Qmail poussiéreux sur ton serveur, il va être temps de virer ta cuti ou trouver un barbu sympa qui veut bien t'aider.

Cependant il y a un truc à vérifier c'est ceci:

Received: from localhost (HELO User) (127.0.0.1) by localhost with ESMTPA;

Ce mail n'a pas été injecté par une connexion venant de l'extérieur.
Ce mail a utilisé ESMTPA et le "A" a toute son importance.
Il semble bien qu'une connexion depuis ton serveur se soit authentifiée en SMTP. C'est pas bien, ça.

FabriceC 2016-12-23 13:41:16 UTC #22

Apparemment, après une semaine, il n'y a plus eu de spam.

Je note ici un récapitulatif des opérations menées, en espérant qu'un jour cela puisse servir à quelqu'un d'autre que moi .

Des champs SPF ont étés ajoutés aux DNS.
Des champs DKIM ont étés ajoutés aux DNS, ainsi que leurs clés à tous les domaines du serveur.
QMail a été remplacé par Postfix.
Courier a été remplacé par Dovecot.
Le firewall de Plesk a été activé (attention qu'il faut alors ajouter des exceptions pour les ports passifs des connexions FTP).
Tous les composants suivants ont étés mis à jour (Plesk, PHP, Apache, Xine, Postfix, Dovecot, CentOs, Dr.web et ses composants RKHunter).
Les vérifications des virus ont étés activées sur les emails (entrants et sortants) de toutes les adresses emails hébergées sur le serveur.
Un reverse DNS a été créé sur les adresses IP V4 et V6 du serveur.
L'anti-spam (SpamAssassin) a été activé pour toutes les adresses emails.
Une limite d'emails sortants a été spécifiée (20 emails par heure / par domaine).
Les adresses IP locales (par défaut) ont étés supprimés de la liste blanche des paramètres de la messagerie dans Plesk.
Les mot de passes des adresses emails doivent maintenant être chiffrées via le client de messagerie pour accepter la reception et l'envoi d'emails.

J'aimerais enregistré mon certificat SSL aussi (j'ai souvent un message comme quoi, il n'est pas correct car expiré), ce sera encore ça de plus.

Combattre les spams m'a pris plus d'un mois au total.
J'espère que ce message pourra épargner du temps (et des cheveux) à d'autres .

Merci beaucoup à tous ceux qui m'ont aidés !

Bien à vous,
Fabrice

Buddy 2016-12-23 15:11:49 UTC #23

Bonjour,

Tant mieux si ça a stoppé

Pour le certificat tu ne peux pas générer un certificat gratuit et signé via letsencrypt ? Normalement il se renouvelle tout seul tous les 3 mois. (les certificats auto signés créent des messages d'erreur)

Fritz2cat 2016-12-24 12:43:02 UTC #24

Pour Postfix, Dovecot ou ton site web ?

Dans le dernier cas c'est super simple à installer (mais avec Plesk je n'ai pas d'expérience)

DidierM 2016-12-24 15:15:04 UTC #25

on peut tricher un peu pour installer les certificats Let's Encrypt pour un serveur email.

Si tu as besoin d'un certificat LE pour ton serveur email sortant, et pour les emails entrant

mail.monserveur.fr
pop3.monserveur.fr
imap.monserveur.fr

tu peux créer un site Web Apache bidon avec :

<VirtualHost *:443>
 ServerName mail.monserveur.fr
ServerAlias pop3.monserveur.fr
ServerAlias imap.monserveur.fr
...

Ensuite, tu lances le script standard Let's Encrypt pour créer le certificat SSL (HTTPS) sur ce serveur, en incluant tous les noms (mail... pop3, pop3s, imap, imaps, smtp... tout ce que tu as définis dans ton virtualhost Apache).
Let's Encrypt te fera les certificats.

Il te suffit ensuite d'indiquer la position du certificat dans ta config Postfix / Dovecot, etc

un truc du genre

/etc/letsencrypt/live/mail.monserver.be/fullchain.pem (ou le certificat ou la privkey.pem)

ça doit fonctionner.

Buddy 2016-12-25 10:14:30 UTC #26

Bonjour,

tu n'es pas non plus obligé de créer mail.monserveur.com
et
pop3.monserveur.com
pop3s.monserveur.com
imap.monserveur.com et etc ...

Tu peux ne créer que mail.monserveur.com
et mettre dans Thunderbird/outlook/etc ... mail.monserveur.com comme serveur SMTP(S)/POP(S)/imap(S) .. ce n'est pas obligatoire de créer les autres.

Fritz2cat 2016-12-25 22:19:35 UTC #27

@DidierM @Buddy Tout-à-fait , si le certificat est émis pour la vaditation d'un serveur ça doit être bon. Il faut un serveur web sur le port 80 pour la génération et le renouvellement du certificat.
+1 ou -1 pour ne créer qu'un nom, un certificat, ça ne fonctionne que si le SMTP et le IMAP sont sur la même machine car le CN est unique.

DidierM 2016-12-26 02:19:24 UTC #28

Entièrement d'accord @Buddy
On crée ce dont on a besoin...

@Fritz2cat oui le certificat est unique.
Mais si le serveur email n'est pas sur la même machine que le serveur Web,
ou si le Webmail est sur un serveur différent du SMTP et IMAP, etc etc, on peut appliquer la même méthode
et créer un "site web" bidon Apache2 sur le serveur pour pouvoir créer le ou les certificats avec Let's Encrypt

VirtuBox 2016-12-26 13:38:42 UTC #29

@FabriceC Pour le spam n'hésite pas à installer l'extension MagicSpam qui fait très bien son travail avec le niveau gratuit.

@DidierM oui tout à fait, et au final le plus simple pour Plesk, c'est de générer un certificat pour le hostname du serveur, du style server.yourdomain.com, et de l'utiliser à la fois pour sécuriser l'accès à Plesk mais également pour le serveur pop/imap et smtp.

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.