Serveur Pirater ???
Le
Scottmat
Bonjour à tous.
Je m'apercois que des emails sont envoyer à partir de ma plate forme SMTP
sous windows 2003 !!! recherchant l'adresse IP, ca proviendrai Taiwan
avec des adresse email du style fgdfhtagiun@gfergerf.com ! :(
L'accès étant protéger par un mot de passe et pseudo je ne comprend pas
comment cette personne peut s'en servir ! Comment peut-on savoir quel compte
as t'il utiliser pour l'utiliser ?
L'authentification configurer est une authentif. windows.
J'ai activer les logs mais il n'affiche pas le compte utilisé pour l'envoi
des emails !
Si je connaisais le compte je pourrais immédiatement le supprimer ou
modifier le mot de passe ! j'utilise les comptes dans active directory.
installé depuis peu il y'a beaucoup de compte par default ! je n'ai pas
envie de supprimer un mauvais compte.
J'ai tenter de bloquer son ip ! mais bon c'est jamais le même donc sa
sert à rien
Merci d'avance
Je m'apercois que des emails sont envoyer à partir de ma plate forme SMTP
sous windows 2003 !!! recherchant l'adresse IP, ca proviendrai Taiwan
avec des adresse email du style fgdfhtagiun@gfergerf.com ! :(
L'accès étant protéger par un mot de passe et pseudo je ne comprend pas
comment cette personne peut s'en servir ! Comment peut-on savoir quel compte
as t'il utiliser pour l'utiliser ?
L'authentification configurer est une authentif. windows.
J'ai activer les logs mais il n'affiche pas le compte utilisé pour l'envoi
des emails !
Si je connaisais le compte je pourrais immédiatement le supprimer ou
modifier le mot de passe ! j'utilise les comptes dans active directory.
installé depuis peu il y'a beaucoup de compte par default ! je n'ai pas
envie de supprimer un mauvais compte.
J'ai tenter de bloquer son ip ! mais bon c'est jamais le même donc sa
sert à rien
Merci d'avance
Poser une question
Un extrait de log serait le bienvenue (nettoyé de l'IP du serveur bien
entendu).
Sous IIS, dans la partie sécurité sortante, propriétés de relais n'autoriser
que 127.0.0.1 et vôtre réseau local à relayer.
A moins que vous ne souhaitiez que des utilisateurs externes à vôtre réseau
local puisse envoyer des mail vi vôtre smtp, auquel cas, la restriction de
relais par IP n'est pas la solution ;-(
Attention également s'il est fait usage d'un smart host (serveur par qui
relayer) pour tout le courrier sortant à ce que dans les propriétés de ce
dernier ne soit pas autoriser le relais.
Perso je n'ai jamais coché la case "autoriser tout utilisateur authentifié à
relayer" et ne peut donc pas dire ce qui se passe dans ce cas, bien que
logiquement on puisse penser qu'il faut être authentifié
(domain/login/password) pour pouvoir relayer.
As-tu essayé en Telnet d'envoyer un email en t'adressant à ton serveur smtp
et en mettant en émetteur un domaine non local (par Exemple une adresse que
tu as chez un FAI) et en destinataire la même adresse non locale, sans
t'authentifier ?
par exemple :
smtp 127.0.0.1 25
ehlo fri.fr
mail from: rcpt to: data
Texte de test
.
Ps: ne pas oublier après le texte du mail la dernière ligne avec un point
suivi de la touche entrée.
bonjour et merci de votre réponse.
voici le log :
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2008-06-10 23:43:12
#Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port
cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes
cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer)
2008-06-10 23:43:12 118.160.32.253 L'IP.DE.MON.SERVEUR SMTPSVC3 S15294131
L'IP.DE.MON.SERVEUR 0 HELO - +L'IP.DE.MON.SERVEUR 250 0 52 18 0 SMTP - - - -
2008-06-10 23:43:12 118.160.32.253 L'IP.DE.MON.SERVEUR SMTPSVC3 S15294131
L'IP.DE.MON.SERVEUR 0 MAIL - +FROM:+ 0 SMTP - - - -
2008-06-10 23:43:12 118.160.32.253 L'IP.DE.MON.SERVEUR SMTPSVC3 S15294131
L'IP.DE.MON.SERVEUR 0 QUIT - L'IP.DE.MON.SERVEUR 240 937 40 38 312
SMTP - - - -
2008-06-11 11:17:18 61.224.200.205 L'IP.DE.MON.SERVEUR SMTPSVC3 S15294131
L'IP.DE.MON.SERVEUR 0 HELO - +L'IP.DE.MON.SERVEUR 250 0 52 18 0 SMTP - - - -
2008-06-11 11:17:18 61.224.200.205 L'IP.DE.MON.SERVEUR SMTPSVC3 S15294131
L'IP.DE.MON.SERVEUR 0 MAIL - +FROM:+ SMTP - - - -
2008-06-11 11:17:18 61.224.200.205 L'IP.DE.MON.SERVEUR SMTPSVC3 S15294131
L'IP.DE.MON.SERVEUR 0 QUIT - L'IP.DE.MON.SERVEUR 240 1250 40 25 407
SMTP - - - -
des adresse emails bizarre ??? des ip provenant toute de taiwan en vérifiant
sur des sites comme celui-ci http://www.ip-adress.com/ipaddresstolocation/
j'ai fait telnet sous dos il n'y a aucun souci les messages s'envoi bien.
Note : ce serveur sert de relais à distance !
j'ai tous activé dans le log et ne voit pas le compte utilisateur.
dans ce log l'email n'est pas envoyer visiblement
Euh, si ce n'est pas de la panique ça y ressemble, respires ;-)
Merci de rerereregarder le code sc-status renvoyé par ton serveur à la
commande mail from
Pour info: "530 authentication required"
Concernant le format des logs, il peut être judicieux de supprimer tout ce
qui ne sera jamais renseigné (les entrées systématiquement marquées d'un
tiret), et tout ce qui ne présente aucun intérêt, comme l'IP de ton serveur,
à moins que tu fasse tourner plusieurs SERVEURS smtp virtuels (si, si c'est
possible avec IIS)...
Pour le test en telnet, si il est fait depuis le serveur ce n'est pas un
test concluant, il faut faire le test depuis une autre machine en
s'assurant que son IP n'est pas ajoutée à la liste des machines autorisées à
relayer.
Bonjour et encore merci de m'aider !
dsl pour le retard j'étais en déplacement et je n'avais pas internet.
Oui je respire mais bon, c'est toujours embêtant, ce n'est jamais agréable
:)
Il me donne ce numéro :
530 5.7.3 Client was not authenticated
Le test est fait à partir d'une machine à distance
Supprimer tout ce qui ne sera jamais renseigné, vous voulez dire ces lignes
par exemple :
date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method
cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes
time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer) ?
encore Merci de votre aide
Non, tous les champs possibles ne sont pas tous applicables au protocole
smtp.
Par exemple les champs
cs(User-Agent) = client utilisé, récupéré dans le header envoyé par un
navigateur, n'existe pas dans un client de mail
cs(Cookie) = un cookie, n'existe pas en smtp
cs(Referer) = site depuis lequel un navigateur est arrivé sur vôtre serveur,
n'existe pas en smtp
n'ont aucune utilité dans un log smtp.
Pour savoir tous les champs à ne pas loguer, regarder les champs
systématiquement remplacés par un tiret -
N'hésites pas si tu avais d'autres questions/soucis