Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Windows Windows Serveur Exchange SPAM, blacklist

SPAM, blacklist

6 réponses
Avatar
Akut
Bonjour,

L'ip de mon serveur exchange s'est fait blacklisté plusieurs fois cette
semaine.
J'aimerais avoir votre avis car je n'ai pas encore trouvé d'où ça peut
venir.

. J'ai vérifié que mon serveur n'est pas un relai ouvert :
http://support.microsoft.com/kb/324958/fr
. J'ai changé le psw de tous les comptes AD.
. Mon serveur exchange ainci que les PC de mon LAN sont protégés avec ESET
NOD32. j'ai un FW devant Exchange. Exchange est configuré avec IMF.

Un destinataire ayant reçu un SPAM m'a forwardé le corps de l'email :

> MIME-Version: 1.0
> Content-Type: text/plain;
> charset="Windows-1251"
> Content-Transfer-Encoding: 7bit
> X-Priority: 1
> X-MSMail-Priority: High
> X-Mailer: Microsoft Outlook Express 6.00.2800.1081
> X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081

Cela veut-il dire que l'email a été envoyé depuis un PC avec Outlook Express
?
Ou bien est-ce que le destinataire utilise Outlook express ?

J'ai activé le log d'exchange pour déterminer si un utilisateur authentifié
relaie du courrier électronique, mais je n'ai quasiment aucun eventid
#1708..

Merci pour vos conseils,
Akut
Signaler un problème avec ce contenu

6 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Thierry MILLE [MVP]
"Akut" a écrit dans le message de
news:4776dffe$0$9621$
Bonjour,

L'ip de mon serveur exchange s'est fait blacklisté plusieurs fois cette
semaine.
J'aimerais avoir votre avis car je n'ai pas encore trouvé d'où ça peut
venir.

Regardez dans quelles listes noires vous êtes listés :

=> utilisation de plusieurs listes
http://www.robtex.com/rbl/127.0.0.2.html (changez 127.0.0.2 par votre
adresse IP publique)

=> Spamhaus (très utilisée) :
http://www.spamhaus.org/query/bl?ip7.0.0.2

=> en bloquent beaucoup (les clients qui l'utilisent ne doivent pas recevoir
beaucoup de courriers ... légitimes) :
http://www.mail-abuse.com/lookup.html

=> Dynablock (bof :-)) :
http://dynablock.njabl.org/cgi-bin/lookup.cgi?query7.0.0.2

=> Info sur la connexion :
http://openrbl.org/query?i7.0.0.2 ou http://samspade.org/

Cordialement

--
Thierry MILLE [MVP]

Avatar
Akut
"Thierry MILLE [MVP]" a écrit dans le message de news:


Regardez dans quelles listes noires vous êtes listés :
=> utilisation de plusieurs listes
http://www.robtex.com/rbl/127.0.0.2.html (changez 127.0.0.2 par votre
adresse IP publique)

=> Spamhaus (très utilisée) :
http://www.spamhaus.org/query/bl?ip7.0.0.2

=> en bloquent beaucoup (les clients qui l'utilisent ne doivent pas
recevoir beaucoup de courriers ... légitimes) :
http://www.mail-abuse.com/lookup.html

=> Dynablock (bof :-)) :
http://dynablock.njabl.org/cgi-bin/lookup.cgi?query7.0.0.2

=> Info sur la connexion :
http://openrbl.org/query?i7.0.0.2 ou http://samspade.org/



Mon problème c'est plutôt de trouver la machine qui emet du spam sur mon
réseau.
J'arrive à me désinscrire pour le blacklisting, mais ça revient quelques
heures plus tard..

Akut.

Avatar
Thierry MILLE [MVP]
"Akut" a écrit dans le message de
news:4777ba29$0$4330$
"Thierry MILLE [MVP]" a écrit dans le message de news:


Mon problème c'est plutôt de trouver la machine qui emet du spam sur mon

réseau.
J'arrive à me désinscrire pour le blacklisting, mais ça revient quelques
heures plus tard..


Est ce qu'au niveau du pare feu externe : seul le serveur Exchange peut
envoyer du courrier (SMTP) ?

Eventuellement, commencez par là (ou journalisez les reqûetes provenant de
vos machines internes vers le réseau externe sur le port 25 en TCP).

Demandez aussi les entêtes complètes à votre contact qui a été spammé :
depuis OE => Ctrl + F3
Ctrl +A puis Ctrl +C
Coller le résultat

Si le message passe par votre serveur : recherchez le message par son MID
(si vous aviez activé le suivi des messages au niveau du serveur Exchange).

Cordialement

--
Thierry MILLE [MVP]


Avatar
Akut
"Thierry MILLE [MVP]" a écrit dans le message de news:


Est ce qu'au niveau du pare feu externe : seul le serveur Exchange peut
envoyer du courrier (SMTP) ?

Eventuellement, commencez par là (ou journalisez les reqûetes provenant de
vos machines internes vers le réseau externe sur le port 25 en TCP).


ce n'était pas le cas, je viens de modifier la règle.
à présent, à part le serveur exchange, rien du LAN ne peut accéder vers
l'extérieur sur le port 25.
merci.

Demandez aussi les entêtes complètes à votre contact qui a été spammé :
depuis OE => Ctrl + F3
Ctrl +A puis Ctrl +C
Coller le résultat

Si le message passe par votre serveur : recherchez le message par son MID
(si vous aviez activé le suivi des messages au niveau du serveur
Exchange).


comment savoir si ça passe par exchange ?
voici l'en-tête :

---------------------------
From Mon Dec 17 11:58:54 2007
Return-Path:
Received: from monserveur.com (monserveur.com [MA_PUBLIC_IP])
by w6yx.stanford.edu (8.13.8/8.13.8) with ESMTP id lBHJwm1S015457
or ; Mon, 17 Dec 2007 11:58:54 -0800 (PST)
(envelope-from )
Received: from User ([67.37.18.250]) by monserveur.com with Microsoft
SMTPSVC(6.0.3790.1830);
Mon, 17 Dec 2007 14:58:47 -0500
Reply-To:
From: "Internal Revenue Service"
Subject: SPAM
Date: Mon, 17 Dec 2007 14:58:44 -0500
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
Bcc:
Message-ID:
X-OriginalArrivalTime: 17 Dec 2007 19:58:48.0304 (UTC)
FILETIME=[3CE0AF00:01C840E7]
Status: RO
---------------------------

Merci,
Akut

Avatar
Thierry MILLE [MVP]
"Akut" a écrit dans le message de
news:4777d073$0$8806$

"Thierry MILLE [MVP]" a écrit dans le message de news:


comment savoir si ça passe par exchange ?
voici l'en-tête :


Les entêtes de lisent du bas vers le haut :

Received: from monserveur.com (monserveur.com [MA_PUBLIC_IP])
by w6yx.stanford.edu (8.13.8/8.13.8) with ESMTP id lBHJwm1S015457
or ; Mon, 17 Dec 2007 11:58:54 -0800 (PST)
(envelope-from )
Received: from User ([67.37.18.250]) by monserveur.com with Microsoft
SMTPSVC(6.0.3790.1830);


Qui est User ? un utilisateur sur une machine dont l'utilisateur est
authentifé pour relayer ?
Dans ce courrier :
un utilisateur depuis l'adresse IP 67.37.18.250 a relayé un message vers le
serveur Exchange. Ce message a été ensuite relayé vers le serveur de
l'université de Stanford.

Pourriez vous vérifiez sous l'onglet Connexions de votre serveur SMTP qu'au
niveau Relais : seules les plages d'adresses IP internes (conformes à la
RFC1918) peuvent relayer ?

Eventuellement, envoyez moi votre adresse IP publique à mon adresse "perso".

Cordialement

--
Thierry MILLE [MVP]

Avatar
Akut
Qui est User ? un utilisateur sur une machine dont l'utilisateur est
authentifé pour relayer ?


je ne sais pas. mon serveur n'est pourtant pas un open relay.

Dans ce courrier :
un utilisateur depuis l'adresse IP 67.37.18.250 a relayé un message vers
le serveur Exchange. Ce message a été ensuite relayé vers le serveur de
l'université de Stanford.

Pourriez vous vérifiez sous l'onglet Connexions de votre serveur SMTP
qu'au niveau Relais : seules les plages d'adresses IP internes (conformes
à la RFC1918) peuvent relayer ?


c'est bien le cas oui.

Eventuellement, envoyez moi votre adresse IP publique à mon adresse
"perso".


Ok, merci.

Akut/