Forum Linux.débutant Alerte de spam par spamcop

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
0
2
oct.
2015

Bonjour,

je viens de recevoir une alerte concernant mon serveur.
Il semblerait qu'il serve de relais d'envoi de spam.

effectivement j'ai bien des mails qui passent alors que ce n'ai pas moi.

MESSAGE FROM SPAMCOP:

CLICK 'BACK' BUTTON TO RETURN TO SPAMCOP
################################################################################
Received: from MONDOMAINE (MONIP) by admin.jettfuel.net with
 SMTP (EIMS X 3.3.9) for <x>;
 Thu, 1 Oct 2015 22:01:49 -0500
Message-ID: <OKXQ_________________CBLE@163.com>
From: "207.200.17.131" <ycinyjifojgdjf@163.com>
Reply-To: "207.200.17.131" <wpanudluxszf@163.com>
To: x
Subject: BC_207.200.17.131
Date: Fri, 02 Oct 2015 01:54:41 -0100
X-Mailer: Microsoft Outlook Express 5.00.2919.6700
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="--5371860820437407"
X-Priority: 3
X-MSMail-Priority: Normal

----5371860820437407
Content-Type: text/plain;
Content-Transfer-Encoding: quoted-printable



----5371860820437407--

MAIL.LOG:

Oct  2 10:35:01 MONDOMAINE dovecot: pop3-login: Disconnected (no auth attempts): rip=127.0.0.1, lip=127.0.0.1, secured
Oct  2 10:35:01 MONDOMAINE dovecot: imap-login: Disconnected (no auth attempts): rip=127.0.0.1, lip=127.0.0.1, secured
Oct  2 10:35:01 MONDOMAINE postfix/smtpd[27247]: connect from localhost[127.0.0.1]
Oct  2 10:35:02 MONDOMAINE postfix/smtpd[27247]: lost connection after CONNECT from localhost[127.0.0.1]
Oct  2 10:35:02 MONDOMAINE postfix/smtpd[27247]: disconnect from localhost[127.0.0.1]
Oct  2 10:35:14 MONDOMAINE postfix/smtpd[27247]: connect from MONDOMAINE.fr[MONIP]

Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<wqbjdfooetppypa362@163.com> to=<dng293@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>

Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<wqbjdfooetppypa362@163.com> to=<dng293@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>

Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: reject: RCPT from MONDOMAINE.fr[MONIP]: 554 5.7.1 <dng293@ara.seed.net>: Relay access denied; from=<wqbjdfooetppypa362@163.com> to=<dng293@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>
Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<wqbjdfooetppypa362@163.com> to=<hhmoon@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>

Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<wqbjdfooetppypa362@163.com> to=<hhmoon@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>

Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: reject: RCPT from MONDOMAINE.fr[MONIP]: 554 5.7.1 <hhmoon@ara.seed.net>: Relay access denied; from=<wqbjdfooetppypa362@163.com> to=<hhmoon@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>

Oct  2 10:35:16 MONDOMAINE postfix/smtpd[27247]: disconnect from MONDOMAINE.fr[MONIP]

Pour monter mon serveur j'ai suivi le tuto suivant:
https://www.howtoforge.com/perfect-server-ubuntu-12.10-apache2-bind-dovecot-ispconfig-3
Comment faire pour bloquer ce genres de choses ?
Auriez-vous une idée ?
Clamav ne trouve aucun trojan ou virus…

Si je ne trouve pas une solution avec 48h Online coupe mon serveur…

  • # dans l'ordre

    Posté par  . Évalué à 1.

    Comment faire pour bloquer ce genres de choses ?

    bloquer les envoies en provenance de machines non authentifiées.

    en gros, seul une personne avec un login/pass peut envoyer des emails.
    si ton site doit envoyer des emails, lui faire un login/pass specifique plutot que de laisser 127.0.0.1 envoyer des emails tout seul.

  • # résultat postconf -s

    Posté par  . Évalué à 1. Dernière modification le 02 octobre 2015 à 14:34.

    Et bien j'ai un system de login/pass pour les comptes mail, mais tu parles peut-être d'un autre système ?
    Tu entends par "laisser 127.0.0.1 envoyer des emails tout seul" car dans la conf postfix il y à:
    mynetworks = 127.0.0.0/8 [::1]/128 ??

    J'avoue n’être particulièrement pas doué avec ce genre de système d'ou l'utilisation du tuto howtoforge pour l'installation.

    Voici le résultat d'un postconf -n:

    alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
    alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
    append_dot_mydomain = no
    biff = no
    body_checks = regexp:/etc/postfix/body_checks
    broken_sasl_auth_clients = yes
    config_directory = /etc/postfix
    content_filter = amavis:[127.0.0.1]:10024
    dovecot_destination_recipient_limit = 1
    header_checks = regexp:/etc/postfix/header_checks
    html_directory = /usr/share/doc/postfix/html
    inet_interfaces = all
    inet_protocols = all
    mailbox_size_limit = 0
    maildrop_destination_concurrency_limit = 1
    maildrop_destination_recipient_limit = 1
    message_size_limit = 0
    mime_header_checks = regexp:/etc/postfix/mime_header_checks
    mydestination = localhost, localhost.localdomain
    myhostname = MONDOMAINE.fr
    mynetworks = 127.0.0.0/8 [::1]/128
    myorigin = /etc/mailname
    nested_header_checks = regexp:/etc/postfix/nested_header_checks
    owner_request_special = no
    proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks
    readme_directory = /usr/share/doc/postfix
    receive_override_options = no_address_mappings
    recipient_delimiter = +
    relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf
    relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf
    relayhost =
    smtp_tls_protocols = !SSLv2,!SSLv3
    smtp_tls_security_level = may
    smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
    smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
    smtpd_client_message_rate_limit = 100
    smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf
    smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf
    smtpd_sasl_auth_enable = yes
    smtpd_sasl_authenticated_header = yes
    smtpd_sasl_path = private/auth
    smtpd_sasl_type = dovecot
    smtpd_sender_restrictions = check_sender_access regexp:/etc/postfix/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf, check_sender_access regexp:/etc/postfix/tag_as_foreign.re
    smtpd_tls_cert_file = /etc/postfix/smtpd.cert
    smtpd_tls_key_file = /etc/postfix/smtpd.key
    smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
    smtpd_tls_protocols = !SSLv2,!SSLv3
    smtpd_tls_security_level = may
    smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
    smtpd_use_tls = yes
    transport_maps = hash:/var/lib/mailman/data/transport-mailman, proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
    virtual_alias_domains =
    virtual_alias_maps = hash:/var/lib/mailman/data/virtual-mailman, proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, proxy:mysql:/etc/postfix/mysql-virtual_email2email.cf
    virtual_gid_maps = static:5000
    virtual_mailbox_base = /var/vmail
    virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
    virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
    virtual_transport = dovecot
    virtual_uid_maps = static:5000

    Peut-être une idée ??

    PS: Comment mettre les parties de code entre balise type [code] [/code] pour ne pas faire des postes de 30km.

    Cdt,
    DOESIT

  • # permit_mynetworks

    Posté par  . Évalué à 2. Dernière modification le 02 octobre 2015 à 14:43.

    smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf
    […]
    smtpd_sender_restrictions = check_sender_access regexp:/etc/postfix/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf, check_sender_access regexp:/etc/postfix/tag_as_foreign.re

    le permit_mynetworks autorise la machine a envoyer, sans controle, des emails.

    mais d'apres tes exemples, le relais est bien refusé. "relay denied" dans tes logs.

    enfin, pour mettre des balises "code" autour d'extrait de config, ou de ligne de commande il faut utiliser ce qui est suggéré en bas de la page.

    par exemple

    ```sh
    echo "mon exemple de code shell"
    ```

    echo "mon exemple de code shell"

    PS : j'ai mis les balises autour de ton code/extrait de log

  • # les mails passent

    Posté par  . Évalué à 1.

    Ok mais pourtant des mails partent bien:

    Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<wqbjdfooetppypa362@163.com> to=<dng293@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>

    Des mails du domaine qui a utilisé mon serveur d'ailleurs "@163.com"

    Peut-être un trojan ou un truc de la sorte ?
    J'ai fais un "clamscan -r / " et il n'avait rien trouvé !!

    J'ai commenté la ligne :

    #smtp      inet  n       -       -       -       -       smtpd

    Peut-être qu'ils ne pourront plus passés car j'utilise submission et smtps, donc pas vraiment besoin de cela ?

    • [^] # Re: les mails passent

      Posté par  . Évalué à 2.

      non et non

      là ton email declenche seulement AMAVIS sur le port 10026

      et dans les logs precedemment cités, il passe :

      - dans amavis port 10026
      - dans amavis port 10024
      - puis est refusé en relais

      • [^] # Re: les mails passent

        Posté par  . Évalué à 1.

        Ok, au temps pour moi.
        Je vais me faire une bonne formation à la lecture des ces logs toujours trop obscures pour moi.

        • [^] # Re: les mails passent

          Posté par  . Évalué à 2. Dernière modification le 05 octobre 2015 à 10:58.

          bah suffit de lire, dans l'ordre chronologique (ca tombe bien c'est l'ordre par defaut)
          idealement à partir de l'ID de l'email quand il existe.

          souvent en 2 grep.
          le premier pour trouver l'email (à partir de l'emetteur par exemple) et son ID (helas ici c'est NOQUEUE)
          puis dans un deuxieme temps, avec l'ID, pour trouver toutes les lignes de logs pour cet email.

          exemple de logs "normal" qui nous donne l'ID 3C14967DFE, et qui accepte l'email pour le transmettre à la machine suivante 'relay 192.168.1.99'

          Oct  5 10:43:46 proxy01 postfix/smtpd[9079]: connect from mail-lb0-f195.google.com[209.85.217.195]
          
          Oct  5 10:43:47 proxy01 postfix/smtpd[9079]: 3C14967DFE: client=mail-lb0-f195.google.com[209.85.217.195]
          
          Oct  5 10:43:47 proxy01 postfix/cleanup[9083]: 3C14967DFE: message-id=<CAMtZWb5+DC4kaGrkz5kJbVFxuL9wdxHEutvBaQXVf9818PGukw@mail.gmail.com>
          
          Oct  5 10:43:47 proxy01 postfix/qmgr[11393]: 3C14967DFE: from=<EMETTEUR@gmail.com>, size=3632, nrcpt=1 (queue active)
          
          Oct  5 10:43:47 proxy01 postfix/smtp[9084]: 3C14967DFE: to=<DESTINATAIRE@example.fr>, relay=192.168.1.99[192.168.1.99]:25, delay=0.23, delays=0.2/0/0.02/0.01, dsn=2.0.0, status=sent (250 Message accepted for delivery)
          
          Oct  5 10:43:47 proxy01 postfix/qmgr[11393]: 3C14967DFE: removed
          
          Oct  5 10:43:47 proxy01 postfix/smtpd[9079]: disconnect from mail-lb0-f195.google.com[209.85.217.195]

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.