OVH Community, your new community space.

Détection de Spam / Port 25 suspendu


dalken
19/01/2015, 15h22
Merci à nouveau nowhat pour ta réponse et désolé pour réponse tardive,
Pour faire simple et efficace et surtout avant que je ne sois admis en HP, j'ai rappelé à mon client adoré que le mieux était de passer par un prestataire spécialisé type Mailchimp etc ... Haaaaaa quel bonheur de se séparer que ce ******* de ***** de serveur de ********

Merci encore !

nowwhat
14/01/2015, 18h02
Citation Envoyé par dalken
....
Ce serveur est bien sur Release 2.
Ne cherche plus. C'est mort.
Citation Envoyé par dalken
Il ne semble pas être hacké mais là encore mes connaissances étant limitées,
Le hackeur ne t'informe pas qu'il utilise ton serveur pour ces propres besoins.
.... OVH t'as informé quel quelque chose ne colle pas (ton serveur est devenu un super zombie spammer) - ce qui est vrai car les destinataires de ce spammeur-hackeur ne sont pas ceux de ta liste.....

Citation Envoyé par dalken
....à moins de recevoir une alerte d'OVH je ne m'en rendrai surement pas compte.
Regarde les chose d'un autre angle - et dit toi-même: C'est fait .....

Citation Envoyé par dalken
Seul l'envoi de mail a été bloqué 2 fois déjà, et à chaque fois au moment où mon client envoi sa newsletter.
Disons que ça marche comme ça: t'as le droit d'envoyer des mails que "OVH" considère comme spam, mais il be faut pas que le compteur monte à des centaines par heure.
Sachant que c'est ton client qui envoi (encore faut il savoir qu'il a respecté TOUTES les règles coté "envoi des mails en masse" et le hackeur, ça bloque rapidement.

ATTENTION: débloquer a troisième fois ne marche pas immédiatement. La période de "réflexion/punission" est chaque fois plus longue.
A la fin ton serveur est coupé (interdit d'envoyer des mails) pendant ses semaines voir mois.[/QUOTE]

Citation Envoyé par dalken
Dans quels fichier exactement je peux retrouver le contenu du message incriminé et précisé par OVH à l'aide du Message-ID :
Message-ID: 36cdae151d08fda1ee9adfdae03628xx@www.mondomaine.co m ... ?
Dans le log de ton serveur mail.
Mais sachant qu'il s'agit un logiciel du siecle dernier (qmail) - j'ai jamais eu le temps, ni le courage, de décortiquer ce serveur mail.
(je ne dit pas que postfix est mieux, mais au moins, lui, est sur développement permanente, et très largement utilisé en ce moment, ce qui fait que le support est enorme]
Quelques astuces: t'as logrotate ? Si oui, t'as regardé dans le sauvegardes de logrotate ?
D'ailleurs, ne cherche pas ceci:
36cdae151d08fda1ee9adfdae03628xx@www.mondomaine.co m
mais ceci:
36cdae151d08fda1ee9adfdae03628
dans tes logs.

Citation Envoyé par dalken
- Peut-on limiter l'envoi de mail à l'aide de Qmail au USER du domaine unique installé sur le serveur ou à notre application de newsletter uniquement ? De cette façon nous serions certain que personne d'autre n'utilise notre SMTP ?
Mauvais idée. ce n'est pas comme ça que ça va marcher. Quoi que je pense qu'il est possible qu'on peut sécuriser qmail comme ça. Si le type est DANS ton serveur, c'est déjà mega trop tard. Quand tu lui va faire chier comme ça, il te fout dehors toi ...... OVH placera ton serveur en mode 'hack' est c'est trop tard pour tout.

C'est plutôt comme ça qu'il faut procéder: Ton SMTP est normalement protégé par mot de passe. Exige une connexion SMTP sur la "465" (le SMTP = Submission sur connexion SSL) - bloque tout dépôt de mail pour relay sur le "25" (ce qui est normalement déjà le cas) - bloque carrément le "587" aussi.
Mais bon, ton hackeur ne entre pas par la porte SMTP - il est déjà SUR ton serveur avec (au moins) un script PHP, au pire bien plus ..... Il injecte ces mails directement dans le 127.0.0.1 (localhost)

Surprise: car on aime bien le séries Rx, OVH a préparé une nouvelle version: le R3. Tu vas adorer.
Même jouer joue encore

dalken
14/01/2015, 16h42
Citation Envoyé par BBR
qmail ? t'es sur une release 2 ?
si oui cherche si tu ne fais pas partie des serveurs hackés et que le serveur est utilisé pour spammer
Merci BBR.
Ce serveur est bien sur Release 2.
Il ne semble pas être hacké mais là encore mes connaissances étant limitées,
à moins de recevoir une alerte d'OVH je ne m'en rendrai surement pas compte.
Seul l'envoi de mail a été bloqué 2 fois déjà, et à chaque fois au moment où mon client envoi sa newsletter.

Mes questions sont les suivantes :

- Dans quels fichier exactement je peux retrouver le contenu du message incriminé et précisé par OVH à l'aide du Message-ID :
Message-ID: 36cdae151d08fda1ee9adfdae03628xx@www.mondomaine.co m ... ?

- Peut-on limiter l'envoi de mail à l'aide de Qmail au USER du domaine unique installé sur le serveur ou à notre application de newsletter uniquement ? De cette façon nous serions certain que personne d'autre n'utilise notre SMTP ?

Merci d'avance à nouveau.

BBR
14/01/2015, 16h22
qmail ? t'es sur une release 2 ?
si oui cherche si tu ne fais pas partie des serveurs hackés et que le serveur est utilisé pour spammer

dalken
14/01/2015, 16h15
Merci nowhat pour ta réponse et ton aide,

Bon j'ai téléchargé et fouillé un peu dans les fichiers logs des répertoires suivants :
/home/log/qmail
/home/log/qmailpop3
/home/log/qmailsmtp

Dans ces fichiers je ne retrouve aucune donnée qui corresponde ou ressemble aux Message-ID envoyé par ovh.
Dans quels fichiers exactement je peux retrouver : Message-ID: 36cdae151d08fda1ee9adfdae03628xx@www.mondomaine.co m ... ?

J'ai contre des lignes de ce type dans les log /qmailsmtp :
@400000005492234310f9ae24 tcpserver: pid 11346 from 118.161.243.48
@400000005492234310fef1cc tcpserver: ok 11346 ns320714.ip-91-121-149.eu:::ffff:91.121.149.205:25 :::ffff:118.161.243.48::3221
@400000005492234412053a54 qmail-smtpd: pid 11346 from 118.161.243.48 Invalid RELAY client: MAIL from: , RCPT TO:
@400000005492234423b5809c tcpserver: end 11346 status 256

Les emails ci-dessus ne font en effet pas parti de notre base de donnée destinataires.

Enfin, mon client utilise uniquement ce serveur pour leur newsletter, et il n'héberge qu'un seul domaine, et une seul application installée
http://www.interspire.com/emailmarketer/
... qui est au passage un superbe logiciel de gestion de newsletter.Il analyse les messages à la recherche de mot-clés risqués, analyse et traite les bounces etc ...
Donc on avait l'impression de faire les choses plutôt bien

Bref du coup, peut-on par exemple limiter l'envoi de mail au USER de ce domaine ou à notre application de newsletter uniquement ?
De cette façon nous serions certain que personne d'autre n'utilise notre SMTP ?

Merci d'avance !

nowwhat
13/01/2015, 09h55
Citation Envoyé par dalken
....
Destination IP: xx.118.208.xx - Message-ID: 36cdae151d08fda1ee9adfdae03628xx@www.mondomaine.co m - Spam score: 320
Comme d'hab, la recherche d'une réponse commence par consulter les logs de ton serveur mail.
C'est là ou tu trouve ce identifiant unique, le "36cdae151d08fda1ee9adfdae03628xx".
Quelque renseignements concernant: vers qui ? (cet adresse mail existe dans ta base,utiliser pour envoyer le newsletter ?)
Qui les envoi ? un processus interne dans ton serveur , le serveur web (avec l'aide d'un script PHP) ?
Je ne connait pas la signification d'un "spam score de 320" mais ce chiffre me semble énorme. Ce mail est donc truffé des mots comme Viagra, Free, Offer, etc etc.

Très souvent, un des tes sites (scripts PHP ou autre) est hacké, un tiers à mis son propre scripts en lace et utilise TON serveur pour envoyer des spams.
T'es bon pour vérifier de très prés TOUT ton site, tout les fichiers, voir l'activité de ton serveur web, les logs de ton serveur web, pour voir ce qui se passe.

Ton serveur accepte des mails venant d'un client mail "lourd" come Outlook ou Thunderbird ?
Va vérifier qu'il n'y pas un PC qui utilise cet accès pour envoyer des mails .

Soit: c'est ton news lettre qui est reconnu comme pure-spam.
Hélas, il n'est pas possible de composer un mail "comme on veut" puis le balancer vers x destinataires à la fois.
L’envoi d'un mail demande certains techniques, l’envoi de mails en gros nombre est carrément un métier.
Commence par lire ici: http://guide.ovh.net/AntiSpamBestPratice

Puis, Google un peu le sujet ... tu va voir.

Visite ce site https://www.mail-tester.com/, copie l'adresse webxxxxxx@mail-tesre.com et envoi lui un mail (ton news letter) puis, vérifie ton score.
Ne t’arrête plus avant qu'il t’affiche 10/10.
Puis, teste avec un autre site .... il en existe beaucoup.


Autre chose à voir: t'as combien de mails don le queue de qmail ?

dalken
12/01/2015, 12h27
Bonjour à tous,

Pour faire bref, sachant que ce sujet est traité régulièrement ...
Nous avons reçu le courrier suivant :
Notre protection Anti-Spam a détecté un envoi important de spam à partir d'une de vos IP: xx.xxx.xxx.xx
Afin d'assurer la sécurité de notre réseau le trafic sortant de votre serveur vers les ports 25 a été suspendu.


J'ai tenté quelques recherches avec mes maigres connaissances et je ne vois rien qui semble clocher.
Ce message est arrivé alors que nous envoyions notre newsletter.

Une question sans doute basique mais impossible de trouver la réponse, comment vérifier le contenu d'un mail à partir du message-ID envoyé par Kimsufi suite au blocage :
Destination IP: xx.118.208.xx - Message-ID: 36cdae151d08fda1ee9adfdae03628xx@www.mondomaine.co m - Spam score: 320

Enfin, tous les messages bloqués dans la Queue email concernent notre newsletter, Kimsufi nous bloqueraient-ils à cause d'une mavaise configuration de notre serveur pour l'envoi ?

Merci d'avance pour votre aide !!
Seb.