Envoie permanent de mails (postfix ou freebox ?)

Le
Aurelien
Salut,

J'ai eu un petit souci ce matin, qui m'a fait vaguement croire à une
intrusion sur ma machine (vous jugerez à l'aune de ce que je vais
expliquer de mes compétences en la matière !!!) :

Ce matin, après une petite heure d'uptime, il était impossible d'envoyer
des mails depuis ma machine, le serveur smtp de Free refusait de me
parler car j'avais envoyé trop de mails depuis cette adresse IP.
Evidemment, je n'en avais pas envoyés beaucoup (voire pas).

J'ai donc directement fait un netstat pour voir si quelqu'un était là,
rien du tout, un ps -edf pour vérifier les processus qui tournaient, et
là encore rien d'anormal, postfix tournait mais ne semblait pas envoyer
de mails en permanence.

Dans le doute, et n'ayant pas le temps, j'ai éteint la machine.

Elle a été rallumée en fin d'après-midi, et, là encore, pas mieux, Free
refusait toujours de parler.
J'ai donc débrancher la Freebox, en me disant qu'il pouvait y avoir un
souci à l'intérieur même de la bête.

Après redémarrage il y a quelques dizaines de minutes, c'est redevenu
bon.

Du coup, je me demande si c'est la freebox qui a craqué (genre un
dialogue avec le smtp de free qui se serait bouclé à l'intérieur), car a
priori, le PC, et donc postfix, ne sont pas à remettre en cause. Je me
demande aussi, s'il est possible à une personne maveillante de détourner
la freebox de son usage afin de la faire envoyer des mails en
permanence.

Vos avis là-dessus ?


PS : Je suis désolé du peu de technicité de mon mail, mais tout cela
s'est passé alors que j'étais à distance, c'est ma cpoine (qui n'y
connait pas grand'chose) qui m'a expliqué, et j'ai dû agir, tant que
bien mal à partir du boulot, en ssh, etc. Je n'ai donc pas les résultats
des commandes que j'ai exécutées sous la main !

--

ORL (alias Yvette H.)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Yves F. Barbier
Le #9781151
Aurelien wrote:
Salut,

J'ai eu un petit souci ce matin, qui m'a fait vaguement croire à une
intrusion sur ma machine (vous jugerez à l'aune de ce que je vais
expliquer de mes compétences en la matière !!!) :

Ce matin, après une petite heure d'uptime, il était impossible d'en voyer
des mails depuis ma machine, le serveur smtp de Free refusait de me
parler car j'avais envoyé trop de mails depuis cette adresse IP.
Evidemment, je n'en avais pas envoyés beaucoup (voire pas).



port 25 resté ouvert avec relais de tous les domaines?

--
Q: Why did the astrophysicist order three hamburgers?
A: Because he was hungry.
mouss
Le #9780891
Aurelien wrote:
Salut,

J'ai eu un petit souci ce matin, qui m'a fait vaguement croire à une
intrusion sur ma machine (vous jugerez à l'aune de ce que je vais
expliquer de mes compétences en la matière !!!) :

Ce matin, après une petite heure d'uptime, il était impossible d'envoyer
des mails depuis ma machine, le serveur smtp de Free refusait de me
parler car j'avais envoyé trop de mails depuis cette adresse IP.
Evidemment, je n'en avais pas envoyés beaucoup (voire pas).

J'ai donc directement fait un netstat pour voir si quelqu'un était là,
rien du tout, un ps -edf pour vérifier les processus qui tournaient, et
là encore rien d'anormal, postfix tournait mais ne semblait pas envoyer
de mails en permanence.

Dans le doute, et n'ayant pas le temps, j'ai éteint la machine.

Elle a été rallumée en fin d'après-midi, et, là encore, pas mieux, Free
refusait toujours de parler.
J'ai donc débrancher la Freebox, en me disant qu'il pouvait y avoir un
souci à l'intérieur même de la bête.

Après redémarrage il y a quelques dizaines de minutes, c'est redevenu
bon.

Du coup, je me demande si c'est la freebox qui a craqué (genre un
dialogue avec le smtp de free qui se serait bouclé à l'intérieur), car a
priori, le PC, et donc postfix, ne sont pas à remettre en cause. Je me
demande aussi, s'il est possible à une personne maveillante de détourner
la freebox de son usage afin de la faire envoyer des mails en
permanence.

Vos avis là-dessus ?




difficile de dire. je viens d'essayer de me connecter à ta machine (en
smtp) et elle ne répond pas. si c'est toujours le cas, alors c'est pas
un "open relay", ce qui est deja bien!


est-ce que tu recuperes tes mail avec fetchmail/getmail/... etc. si oui,
il faut que tu les configures pour qu'ils n'envoient jamais de NDR
(bounce, erreur, ...). idem, si tu fais du filtrage de spam ou de virus,
n'envoie jamais de NDR. sinon, ton système va effectivement spammer le
reste du monde (on parle de backscatter)

regarde tes logs de postfix au cas où (en general, c'est dans
/var/log/maillog).

tu peux loger les paquest smtp sortant sur iptables. comme ça, tu verras
ce qui sort.
tu peux aussi faire une boucle de 'lsof | grep TCP|grep smtp >>
/un/fichier'.

Bien sûr, si la machine est possédée, l'affaire est tout autre. mais il
faut d'abord chercher les voleurs à la sauvette avant de chercher les
braqueurs de banques (ces derniers restent une minorité).





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #9780881
--f2QGlHpHGjS2mn6Y
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Wed, Jun 27, 2007 at 10:57:08PM +0200, mouss wrote:
[...]
difficile de dire. je viens d'essayer de me connecter à ta machine ( en
smtp) et elle ne répond pas. si c'est toujours le cas, alors c'est p as
un "open relay", ce qui est deja bien!




Tu as essayé quelle adresse ? ammd.net ?

--
Franck Joncourt
http://www.debian.org - http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--f2QGlHpHGjS2mn6Y
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFGgtU3xJBTTnXAif4RArUxAJ9BgrkpxAu8Jo+bzxbF97HEhbHD+gCglVnX
rTCCpCX/zvP9ZnKg9/l5fmI =eWsQ
-----END PGP SIGNATURE-----

--f2QGlHpHGjS2mn6Y--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Aurelien
Le #9778551
On Wed, Jun 27, 2007 at 10:57:08PM +0200, mouss wrote :
Aurelien wrote:
>Salut,


[...]
>Vos avis là-dessus ?
>

difficile de dire. je viens d'essayer de me connecter à ta machine (en
smtp) et elle ne répond pas. si c'est toujours le cas, alors c'est pas
un "open relay", ce qui est deja bien!




C'est déjà cool en effet, bien que je n'ai rien fait à mon connaissance
pour cela (si ce n'est que je ne redirige pas le port 25, notamment, de
la freebox où que ce soit, c'est peut-être ça qui aide ?).


est-ce que tu recuperes tes mail avec fetchmail/getmail/... etc. si oui,
il faut que tu les configures pour qu'ils n'envoient jamais de NDR
(bounce, erreur, ...). idem, si tu fais du filtrage de spam ou de virus,
n'envoie jamais de NDR. sinon, ton système va effectivement spammer le
reste du monde (on parle de backscatter)



J'utilise effectivement fetchmail, et j'utilise spamassassin pour le
filtrage de spam. Je vais tenter de voir pour les NDR.


regarde tes logs de postfix au cas où (en general, c'est dans
/var/log/maillog).



OK.


tu peux loger les paquest smtp sortant sur iptables. comme ça, tu verras
ce qui sort.
tu peux aussi faire une boucle de 'lsof | grep TCP|grep smtp >>
/un/fichier'.

Bien sûr, si la machine est possédée, l'affaire est tout autre. mais il
faut d'abord chercher les voleurs à la sauvette avant de chercher les
braqueurs de banques (ces derniers restent une minorité).



Tout à fait ! Merci pour toutes tes infos, je vais mettre ça en oeuvre
le plus vite possible !






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact






--
============================= ORL (alias Yvette H.)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Francois Boisson
Le #9778541
Le Tue, 26 Jun 2007 21:14:11 +0200
Aurelien
Du coup, je me demande si c'est la freebox qui a craqué (genre un
dialogue avec le smtp de free qui se serait bouclé à l'intérieur), car a
priori, le PC, et donc postfix, ne sont pas à remettre en cause. Je me
demande aussi, s'il est possible à une personne maveillante de détourner
la freebox de son usage afin de la faire envoyer des mails en
permanence.




Si ta machine est branchée, vérifie qu'il n'y a pas un envoi de message
d'erreur à un utilisateur qui pour des raisons de configuration mal foutue est
envoyé par le relais de Free. Comme le relais n'est pas fait, le smtp renvoit
une erreur et ta machine recommence, le cycle dure, le SMTP de Free reçoit
plein de mails et te bloque. Avant l'intrusion, je rechercherais un tel
scénario.

Sinon, si tu es en WIFI/WEP change ta clef...,


François Boisson


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mouss
Le #9778511
Franck Joncourt wrote:
On Wed, Jun 27, 2007 at 10:57:08PM +0200, mouss wrote:
[...]

difficile de dire. je viens d'essayer de me connecter à ta machine (en
smtp) et elle ne répond pas. si c'est toujours le cas, alors c'est pas
un "open relay", ce qui est deja bien!





Tu as essayé quelle adresse ? ammd.net ?





celle qui commence par 81 (donc celle qui a passé le mail à free.fr).



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mouss
Le #9778491
Aurelien wrote:

C'est déjà cool en effet, bien que je n'ai rien fait à mon connaissance
pour cela (si ce n'est que je ne redirige pas le port 25, notamment, de
la freebox où que ce soit, c'est peut-être ça qui aide ?).




ah oui, ça aide énormément! si ta machine ne recoit pas de connexions,
elle ne pourra pas être utilisée comme relai. ce qui simplifie les choses.

J'utilise effectivement fetchmail, et j'utilise spamassassin pour le
filtrage de spam. Je vais tenter de voir pour les NDR.




Si tu récupères 100 messages avec fetchmail, et que 50 sont des spams
(ou mal addressés), et si le filtrage est rapide, ton serveur va
renvoyer 50 messages aussi rapidement, et tu dépasses donc le "quota"
(qui est mis en place pour bloquer les virus qui envoient du spam. ce
qui est une bonne idée AMHA).

de toute façon, il ne faut pas envoyer des erreurs suite à la detection
du spam, car le spam utilise des adresses falsifiées, et tu vas donc
envoyer une erreur à un innocent qui ne t'a jamais rien écrit. et dis
tpi que l'innocent en question en reçoit deja beaucoup de ces choses la.
Pour l'histoire, il y a un moment, mon serveur a reçu environ 20000 NDRs
comme ça en 8 heures, la majorité venant de gros ISP (et environ la
moitié venant de wanadoo) que je ne pouvais pas me permettre de bloquer.
Bien sur, c'est arrivé pendant la nuit, et le matin les gars des ISP ont
du se rendre compte des dégats (si j'en ai reçu 20000 à une seule
adresse, combien ont été envoyés à travers chacun des ISPs!). pour plus
d'infos, une recherche tu terme "backscatter" sur google et sur la
wikipedia (:-)


En tout cas, les logs de postfix (ou sendmail au cas où tu aurais un mix
des deux) devraient te dire si tel est le cas ou non.

L'autre truc à regarder est si tu as un serveur web avec un formulaire
php "ouvert".

mais a priori, si ton IP est bien celle qui se finit en .95, elle n'est
pas listée sur les DNSBLs de spam (elle est uniquement listée en adresse
"dynamique"). or, avec un open relay/proxy/formail, on est en général
vite listé (c'est pas 100% sur, mais bon).


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Aurelien
Le #9580271
On Thu, Jun 28, 2007 at 02:53:21PM +0200, mouss wrote :
Aurelien wrote:
>
>C'est déjà cool en effet, bien que je n'ai rien fait à mon connaissance
>pour cela (si ce n'est que je ne redirige pas le port 25, notamment, de
>la freebox où que ce soit, c'est peut-être ça qui aide ?).
>

ah oui, ça aide énormément! si ta machine ne recoit pas de connexions,
elle ne pourra pas être utilisée comme relai. ce qui simplifie les choses.
>
>J'utilise effectivement fetchmail, et j'utilise spamassassin pour le
>filtrage de spam. Je vais tenter de voir pour les NDR.
>

Si tu récupères 100 messages avec fetchmail, et que 50 sont des spams
(ou mal addressés), et si le filtrage est rapide, ton serveur va
renvoyer 50 messages aussi rapidement, et tu dépasses donc le "quota"



[...]

"dynamique"). or, avec un open relay/proxy/formail, on est en général
vite listé (c'est pas 100% sur, mais bon).



OK, merci pour tout ça. Je vais m'y atteler maintenant, pas eu trop le
temps avant.

A plus tard.

--
============================= ORL (alias Yvette H.)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme