Forum Linux.debian/ubuntu Envoi de mail : IP blacklisté par Spamhaus.org

Posté par . Licence CC by-sa
1
7
oct.
2014

Hello la linuxsphere,

Je rencontre un problème d'envoi de mail avec un de mes serveurs.

Il y a des tâches CRON qui tournent dessus, et donc un mail est envoyé à la fin de l'exécution de chaque tâche vers une adresse de mon domaine principal.

Jusqu'à il y a peu, les mails partaient tranquillement, mais depuis quelques semaines, le serveur de mail du domaine principal rejettent les mails parce que l'IP du serveur de CRON se retrouve dans la CBL de spamhaus.

Alors on dé-blackliste l'IP chez spamhaus, mais à force ca va plus trop fonctionner ça.

Et un peu de technique :
- le serveur de CRON est un container openvz en Debian 7 avec un postfix installé dedans. Mais à un nom de domaine très générique et pas déployé en DNS
- le serveur de mail du domaine principal est un Exchange hosté chez Microsoft (solution Office 365). Pour les aigris non c'est pas le serveur Exchange le problème, pour ceux que ca intéresse non je ne peux pas changer facilement la config des serveurs de MS :-)

Dans les réponses au bounce, on à un lien vers spamhaus dans lequel on trouve l'information suivante :

This IP address is HELO'ing as "localhost.localdomain" which violates the relevant standards (specifically: RFC5321).

The CBL does not list for RFC violations per-se. This particular behaviour, however, correlates strongly to spambot infections. In other words, out of thousands upon thousands of IP addresses HELO'ing this way, all but a handful are infected and spewing junk. Even if it isn't an infection, it's a misconfiguration that should be fixed, because many spam filtering mechanisms operate with the same rules, and it's best to fix it regardless of whether the CBL notices it or not.

Cependant, le serveur n'est pas contactable depuis l'extérieur, il peut seulement envoyer des mails depuis l'intérieur. (port 25 bloqué par iptables).

Nous avons quand même testé d'envoyer un mail à l'adresse mail indiqué chez eux (helocheck@helocheck.abuseat.org), afin qu'il nous retourne le EHLO du serveur. Et il s'avère qu'il a une bonne syntaxe :

Oct 7 14:56:57 m2m-srv02-www postfix/qmgr[1746]: 2DF56279C723: from=root@m2m-srv02-www.ovh.net, size=461, nrcpt=1 (queue active)
Oct 7 14:57:21 m2m-srv02-www postfix/smtp[21160]: 2DF56279C723: to=helocheck@helocheck.abuseat.org, relay=helocheck.abuseat.org[54.245.112.115]:25, delay=24, delays=0.01/0/24/0.38, dsn=5.0.0, status=bounced (host helocheck.abuseat.org[54.245.112.115] said: 550 *** The HELO for IP address 37.187.153.207 was 'm2m-srv02-www.ovh.net' (valid syntax) *** (in reply to RCPT TO command))

Voici la configuration actuelle du serveur postfix (main.cf) :

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
readme_directory = no
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
myhostname = m2m-srv02-www.ovh.net
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = m2m-srv02-www.ovh.net, localhost.ovh.net, , localhost
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

Alors je suis pas vraiment un pro du mail (raison qui a fait que j'ai fais hosté nos mails à l'extérieur), et je ne comprends pas trop d'où viens ce blacklistage de l'IP.
Surtout que j'ai un autre serveur avec des containers dessus qui envoient des mails au même domaine principale (hosté par Exchange) et que je n'ai aucun problème.

Est-ce que ça parle à quelqu'un ce genre de problème ?

Et comment le résoudre ?

Merci d'avance !

  • # DNS -> SPF

    Posté par (page perso) . Évalué à 4.

    Ton serveur doit être autorisé à envoyé des e-mails, cela se fait généralement avec un enregistrement TXT contenant un champs SPF.

    C'est au niveau du serveur DNS que ça se joue.

    A+

    • [^] # Re: DNS -> SPF

      Posté par . Évalué à 1.

      Ah je me doutais que c'était quelque chose comme ça … mais j'ai plusieurs containers qui envoie des mails et comme tu as pu le voir le nom de domaine est tout ce qu'il y a de plus générique et n'est pas déployé sur un DNS.

      Mais merci, on va creuser dans cette direction.

  • # Spamhaus et les RBL

    Posté par . Évalué à 2.

    said: 550 *** The HELO for IP address
    RBL: Realtime Black List/Liste noires en temps réel.
    Les RBL sont des serveurs DNS qui maintiennent à jour (ou non !) des listes d’adresses IP connues pour mettre du SPAM.

    550 Too many errors from your IP
    Explication

    Vous avez ce message car votre serveur SMTP a généré un nombre d'erreurs trop important lors du dialogue avec les serveurs de XXX.fr (typiquement des connexions interrompues avant la bonne transmission d'un mail). Il est également possible que le comportement de votre serveur nous laisse l'impression d'être sous le coup d'une attaque dictionnaire (qu'il s'agisse d'envoi de mails ou de validation d'email). Votre IP a donc été bloqué temporairement.
    Solution

    Si vous avez votre propre serveur SMTP : en attendant l'expiration de ce delai nous vous conseillons de vérifier votre configuration (êtes vous relais ouvert ?). Si vous utilisez la technique “Sender Verify” qui consiste à se connecter sur nos serveurs pour vérifier que le mail from qu'on vous a donné est bien valide nous vous conseillons de désactiver cette fonctionnalité. Il est également possible que votre serveur renvoie des notifications automatiques (mail non délivrable, autorépondeur, etc.) sur du spam. Dans ce cas, il est conseillé de refuser les mails au plus tôt (lors de la reception) pour éviter d'avoir à générer des notifications de mail non délivrable et/ou de s'abstenir de faire des réponses automatique sur les mails qui sont detectés comme étant des spams.

    Si vous utilisez un relais SMTP : contactez au plus vite votre prestataire pour qu'il prenne les mesures appropriées pour ne plus être bloqué à l'avenir.

    Pour toute solution j'ai modifié :
    smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks
    smtpd_relay_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination

    • [^] # Re: Spamhaus et les RBL

      Posté par . Évalué à 1.

      Merci Guy.

      En fait on ne fait qu'envoyer des mails (des CRON qui tournent sur les containers), on en recoit pas (sur ces serveurs là tout du moins).

      Mais on a un peu mieux configurer les MX et les reverses, en y ajoutant une dose de SPF.

      On verra bien ce que ca donne.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.