Identifier et limiter le spam émis depuis son réseau local vers Internet

Le
Olivier
--001a114123d256d928052da1e9e2
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour,

Un opérateur m'a signalé qu'un (ou plusieurs) utilisateur d'un r=
éseau que
j'administre émet du spam.
Il y a jusqu'à 200 machines sur ce réseau.
Je ne maîtrise pas ce qui est installé sur ces machines.

Mes priorités sont:
1. identifier rapidement la ou les machines émettrice(s)
2. contrôler durablement le spam car:
- l'activité de spam semble accaparer une part importante de la bande
passante,
- je voudrai éviter que mon adresse IP soit "interdite".


L'architecture est:
Box ADSL (xN) - Routeur Debian - Points d'accès WiFi -- PC ou
smartphones

Tout le trafic transite par le routeur.

Je pensais dans un premier temps, ajouter, dans mon fichier idoine du
répertoire /etc/network/if-pre-up.d des règles iptables supplÃ=
©mentaires.
Avant de les codes, je me rends compte qu'il me reste plusieurs questions
en suspend après mes recherches sur Internet.

1. Comment un opérateur identifie-t-il un spam ? Est-ce à peu pr=
ès comme ce
qui suit ?
"Un destinataire reçoit un courriel qu'il qualifie de spam. Il le sign=
ale à
son opérateur, qui va lire l'adresse IP source de l'émetteur, ide=
ntifier
l'opérateur gérant cette IP, lui signaler l'abus et laisser celui=
-ci y
mettre fin (en informant son propre client ou bien en coupant le lien
Internet)."
En d'autres termes, tout repose sur un signalement humain plutôt que s=
ur
des mesures automatiques ?

2. Si j'interdis sur mon routeur le trafic transitant vers le port 25,
vais-je par défaut :
- interrompre tout le spam
- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.

3. Est-il utile de faire quelque chose sur le port 587 ? J'ai compris que
non.

4. Conseils et suggestions ?

Slts

--001a114123d256d928052da1e9e2
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><div><div><div><div><div><div><div><div><div><div><div><di=
v><div><div>Bonjour,<br><br></div>Un opérateur m&#39;a signalé qu=
&#39;un (ou plusieurs) utilisateur d&#39;un réseau que j&#39;administr=
e émet du spam.<br>Il y a jusqu&#39;à 200 machines sur ce ré=
seau.<br>Je ne maîtrise pas ce qui est installé sur ces machines.=
<br><br></div><div>Mes priorités sont:<br></div><div>1. identifier rap=
idement la ou les machines émettrice(s)<br></div><div>2. contrôle=
r durablement le spam car:<br></div><div>- l&#39;activité de spam semb=
le accaparer une part importante de la bande passante,<br></div><div>- je v=
oudrai éviter que mon adresse IP soit &quot;interdite&quot;.<br><br></=
div><br></div>L&#39;architecture est:<br></div>Box ADSL (xN) - Routeur D=
ebian - Points d&#39;accès WiFi -- PC ou smartphones<br><br></di=
v>Tout le trafic transite par le routeur.<br><br></div>Je pensais dans un p=
remier temps, ajouter, dans mon fichier idoine du répertoire /etc/netw=
ork/if-pre-up.d des règles iptables supplémentaires.<br></div>Ava=
nt de les codes, je me rends compte qu&#39;il me reste plusieurs questions =
en suspend après mes recherches sur Internet.<br><br></div>1. Comment =
un opérateur identifie-t-il un spam ? Est-ce à peu près comm=
e ce qui suit ?<br>&quot;Un destinataire reçoit un courriel qu&#39;il =
qualifie de spam. Il le signale à son opérateur, qui va lire l&#3=
9;adresse IP source de l&#39;émetteur, identifier l&#39;opérateur=
gérant cette IP, lui signaler l&#39;abus et laisser celui-ci y mettre=
fin (en informant son propre client ou bien en coupant le lien Internet).&=
quot;<br></div><div>En d&#39;autres termes, tout repose sur un signalement =
humain plutôt que sur des mesures automatiques ?<br></div><div><br></d=
iv>2. Si j&#39;interdis sur mon routeur le trafic transitant vers le port 2=
5, vais-je par défaut :<br></div>- interrompre tout le spam<br></div>-=
embêter ceux qui ont leur propre serveur de messagerie sur leur PC.<b=
r><br></div>3. Est-il utile de faire quelque chose sur le port 587 ? J&#39;=
ai compris que non.<br><br></div>4. Conseils et suggestions ?<br><br></div>=
Slts<br><div><div><div><div><div><div><div><div><div><div><div><div><div><b=
r></div></div></div></div></div></div></div></div></div></div></div></div><=
/div></div>

--001a114123d256d928052da1e9e2--
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Ph. Gras
Le #26392086
Le 9 mars 2016 à 19:31, Olivier
Bonjour,

Un opérateur m'a signalé qu'un (ou plusieurs) utilisateur d'un réseau que j'administre émet du spam.
Il y a jusqu'à 200 machines sur ce réseau.
Je ne maîtrise pas ce qui est installé sur ces machines.

Mes priorités sont:
1. identifier rapidement la ou les machines émettrice(s)
2. contrôler durablement le spam car:
- l'activité de spam semble accaparer une part importante de la bande passante,
- je voudrai éviter que mon adresse IP soit "interdite".


L'architecture est:
Box ADSL (xN) ---- Routeur Debian ---- Points d'accès WiFi ----- PC ou smartphones

Tout le trafic transite par le routeur.



Si ce sont des sites qui tourne sur les machines, c'est peut-être la fonction mail() de PHP qui est en cause.
Il est possible de la désactiver dans le php.ini

30 secondes de travail pour avoir la paix, avant de mener l'enquête dans les logs…

Je pensais dans un premier temps, ajouter, dans mon fichier idoine du répertoire /etc/network/if-pre-up.d des règles iptables supplémentaires.



Quand ce qui cloche et comment ça cloche aura été détecté, c'est effectivement une bonne solution.

Avant de les codes, je me rends compte qu'il me reste plusieurs questions en suspend après mes recherches sur Internet.

1. Comment un opérateur identifie-t-il un spam ? Est-ce à peu près comme ce qui suit ?
"Un destinataire reçoit un courriel qu'il qualifie de spam. Il le signale à son opérateur, qui va lire l'adresse IP source de l'émetteur, identifier l'opérateur gérant cette IP, lui signaler l'abus et laisser celui-ci y mettre fin (en informant son propre client ou bien en coupant le lien Internet)."
En d'autres termes, tout repose sur un signalement humain plutôt que sur des mesures automatiques ?



Les opérateurs ont des outils qui permettent d'analyser le type de trafic qui passe par chez eux. Je te recommande
une conférence de Benjamin Sonntag sur le mail, accessible chez Youtube. Malheureusement, la réponse est à la
fin. Mais le reste n'en est pas moins très intéressant.

2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut :
- interrompre tout le spam


Oui :-)
- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.


Oui :-(

3. Est-il utile de faire quelque chose sur le port 587 ? J'ai compris que non.

4. Conseils et suggestions ?

Slts

jdd
Le #26392088
Le 09/03/2016 20:02, Ph. Gras a écrit :

2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut :
- interrompre tout le spam


Oui :-)
- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.


Oui :-(



la solution, peut-être de faire comme Free: interdire par défaut,
autoriser sur demande. Déjà ca vire tous ceux qui n'y connaissent rien
et qui doivent être à l'origine de 90% du spam, ensuite ca
responsabilise les autres.

peut-être poser la question à celui qui t'a signalé le spam de savoir ce
qu'il entends par là (volume ou contenu)

jdd (intéressé par la réponse :-)
Ph. Gras
Le #26392089
Le 9 mars 2016 à 20:10, jdd
Le 09/03/2016 20:02, Ph. Gras a écrit :

2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut :
- interrompre tout le spam


Oui :-)
- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.


Oui :-(



la solution, peut-être de faire comme Free: interdire par défaut, autoriser sur demande. Déjà ca vire tous ceux qui n'y connaissent rien et qui doivent être à l'origine de 90% du spam, ensuite ca responsabilise les autres.

peut-être poser la question à celui qui t'a signalé le spam de savoir ce qu'il entends par là (volume ou contenu)

jdd (intéressé par la réponse :-)




J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais
beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs
piratés, que des jeunes louaient pour installer un serveur de jeu vidéo.

Ph. Gras=
jdd
Le #26392092
Le 09/03/2016 20:38, Ph. Gras a écrit :

J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais
beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs
piratés, que des jeunes louaient pour installer un serveur de jeu vidéo.



ma question était surtout de savoir comment ils savent que le serveur
est piraté, quel est le critère (matériel)

merci
jdd
fra-duf-no-spam
Le #26392097
Le 16869ième jour après Epoch,
Olivier écrivait:

Mes priorités sont:



Tu peux rajouter comme priorité 0 l'étude d'un de ces pourriels s i tu
peux t'en procurer un "propre", c'est à dire avec copie conforme des
en-têtes, afin de valider si c'est du relai de spam, de l'usurpation
d'identité ou de l'usurpation de domaine.

1. identifier rapidement la ou les machines émettrice(s)



Tu peux faire un tcpdump du port 25 sur le routeur, en affinant les
règles selon que ça transite par l'opérateur de ta box ou pa s.

1. Comment un opérateur identifie-t-il un spam ? Est-ce à peu p rès comme ce
qui suit ?
"Un destinataire reçoit un courriel qu'il qualifie de spam. Il le si gnale à
son opérateur, qui va lire l'adresse IP source de l'émetteur, i dentifier
l'opérateur gérant cette IP, lui signaler l'abus et laisser cel ui-ci y
mettre fin (en informant son propre client ou bien en coupant le lien
Internet)."
En d'autres termes, tout repose sur un signalement humain plutôt que sur
des mesures automatiques ?



C'est à peu près ça, avec toutefois la possibilité que ce soit
automatique. J'avais mis en place il y a longtemps un mécanisme qui
envoyait automatiquement un mail dénonçant le spam que je pouvais
recevoir... C'est vite devenu un flooder ;-)

2. Si j'interdis sur mon routeur le trafic transitant vers le port 25,
vais-je par défaut :
- interrompre tout le spam



Oui. Mais aussi tout le mail, sauf si tu penses à autoriser la
destination mail "normale", c'est à dire le SMTP de ton opérateur , ou
alors le SMTP venant de ton routeur si c'est lui qui transite le mail
sortant.

- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.



Oui et non. Il suffit de les prévenir que dorénavant le mail sort ant
devra respecter telle ou telle règle.

3. Est-il utile de faire quelque chose sur le port 587 ? J'ai compris que
non.



Je ne crois pas, effectivement. Ce port est probablement pas utilisé p ar
les logiciels de pourriels, et je crois qu'il nécessite une
authentification que les logiciels en question n'ont donc pas.

4. Conseils et suggestions ?



Bloque le port 25 et attends que tes utilisateurs se manifestent, si tu
es en bon rapport avec eux. Ça sera rapide et évitera que ton IP soit
blacklistée. ;-) ... Tu vas passer pour un admin faschiste, donc un bon
admin :-P ...
Ph. Gras
Le #26392102
Le 9 mars 2016 à 21:10, jdd
Le 09/03/2016 20:38, Ph. Gras a écrit :

J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais
beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs
piratés, que des jeunes louaient pour installer un serveur de jeu vidéo.



ma question était surtout de savoir comment ils savent que le serveur est piraté, quel est le critère (matériel)

merci
jdd



Ils attendent que quelqu'un envoie une réclamation à lé, en fait. Ils ne font rien de
spécial. Sur les hébergements, ils analysent le trafic qui passe par certaines fonctions qu'ils ont
considéré comme critiques. Il y a plein de témoignages sur les forums :
"OVH a désactivé mon site, ils m'ont écrit ça :"
Suit une phrase absconse qui est le copié-collé du dump de l'outil d'analyse.

Sur les hébergements, OVH a la main sur tout. Donc on peut placer des scripts en amont du site.

D'après ce que tu décris de ton parc, il pourrait y avoir une ou deux machines passées zombies…

Ph. Gras=
jdd
Le #26392101
Le 09/03/2016 22:49, Ph. Gras a écrit :

D'après ce que tu décris de ton parc, il pourrait y avoir une ou deux machines passées zombies…



c'est pas le mien :-)

jdd
Ph. Gras
Le #26392104
Le 9 mars 2016 à 22:53, jdd
Le 09/03/2016 22:49, Ph. Gras a écrit :

D'après ce que tu décris de ton parc, il pourrait y avoir une ou deux machines passées zombies…



c'est pas le mien :-)

jdd



Non, car sinon on aurait pu te donner un des pourriels dont parlait François.

Ça aurait pu t'avancer :-P

OK, je sors ->[]

Ph. Gras=
Publicité
Poster une réponse
Anonyme