SPAM, blacklist

Le
Akut
Bonjour,

L'ip de mon serveur exchange s'est fait blacklisté plusieurs fois cette
semaine.
J'aimerais avoir votre avis car je n'ai pas encore trouvé d'où ça peut
venir.

. J'ai vérifié que mon serveur n'est pas un relai ouvert :
http://support.microsoft.com/kb/324958/fr
. J'ai changé le psw de tous les comptes AD.
. Mon serveur exchange ainci que les PC de mon LAN sont protégés avec ESET
NOD32. j'ai un FW devant Exchange. Exchange est configuré avec IMF.

Un destinataire ayant reçu un SPAM m'a forwardé le corps de l'email :

> MIME-Version: 1.0
> Content-Type: text/plain;
> charset="Windows-1251"
> Content-Transfer-Encoding: 7bit
> X-Priority: 1
> X-MSMail-Priority: High
> X-Mailer: Microsoft Outlook Express 6.00.2800.1081
> X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081

Cela veut-il dire que l'email a été envoyé depuis un PC avec Outlook Express
?
Ou bien est-ce que le destinataire utilise Outlook express ?

J'ai activé le log d'exchange pour déterminer si un utilisateur authentifié
relaie du courrier électronique, mais je n'ai quasiment aucun eventid
#1708..

Merci pour vos conseils,
Akut
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thierry MILLE [MVP]
Le #895366
"Akut" news:4776dffe$0$9621$
Bonjour,

L'ip de mon serveur exchange s'est fait blacklisté plusieurs fois cette
semaine.
J'aimerais avoir votre avis car je n'ai pas encore trouvé d'où ça peut
venir.

Regardez dans quelles listes noires vous êtes listés :

=> utilisation de plusieurs listes
http://www.robtex.com/rbl/127.0.0.2.html (changez 127.0.0.2 par votre
adresse IP publique)

=> Spamhaus (très utilisée) :
http://www.spamhaus.org/query/bl?ip7.0.0.2

=> en bloquent beaucoup (les clients qui l'utilisent ne doivent pas recevoir
beaucoup de courriers ... légitimes) :
http://www.mail-abuse.com/lookup.html

=> Dynablock (bof :-)) :
http://dynablock.njabl.org/cgi-bin/lookup.cgi?query7.0.0.2

=> Info sur la connexion :
http://openrbl.org/query?i7.0.0.2 ou http://samspade.org/

Cordialement

--
Thierry MILLE [MVP]

Akut
Le #895179
"Thierry MILLE [MVP]"

Regardez dans quelles listes noires vous êtes listés :
=> utilisation de plusieurs listes
http://www.robtex.com/rbl/127.0.0.2.html (changez 127.0.0.2 par votre
adresse IP publique)

=> Spamhaus (très utilisée) :
http://www.spamhaus.org/query/bl?ip7.0.0.2

=> en bloquent beaucoup (les clients qui l'utilisent ne doivent pas
recevoir beaucoup de courriers ... légitimes) :
http://www.mail-abuse.com/lookup.html

=> Dynablock (bof :-)) :
http://dynablock.njabl.org/cgi-bin/lookup.cgi?query7.0.0.2

=> Info sur la connexion :
http://openrbl.org/query?i7.0.0.2 ou http://samspade.org/



Mon problème c'est plutôt de trouver la machine qui emet du spam sur mon
réseau.
J'arrive à me désinscrire pour le blacklisting, mais ça revient quelques
heures plus tard..

Akut.

Thierry MILLE [MVP]
Le #895178
"Akut" news:4777ba29$0$4330$
"Thierry MILLE [MVP]"

Mon problème c'est plutôt de trouver la machine qui emet du spam sur mon

réseau.
J'arrive à me désinscrire pour le blacklisting, mais ça revient quelques
heures plus tard..


Est ce qu'au niveau du pare feu externe : seul le serveur Exchange peut
envoyer du courrier (SMTP) ?

Eventuellement, commencez par là (ou journalisez les reqûetes provenant de
vos machines internes vers le réseau externe sur le port 25 en TCP).

Demandez aussi les entêtes complètes à votre contact qui a été spammé :
depuis OE => Ctrl + F3
Ctrl +A puis Ctrl +C
Coller le résultat

Si le message passe par votre serveur : recherchez le message par son MID
(si vous aviez activé le suivi des messages au niveau du serveur Exchange).

Cordialement

--
Thierry MILLE [MVP]


Akut
Le #895177
"Thierry MILLE [MVP]"

Est ce qu'au niveau du pare feu externe : seul le serveur Exchange peut
envoyer du courrier (SMTP) ?

Eventuellement, commencez par là (ou journalisez les reqûetes provenant de
vos machines internes vers le réseau externe sur le port 25 en TCP).


ce n'était pas le cas, je viens de modifier la règle.
à présent, à part le serveur exchange, rien du LAN ne peut accéder vers
l'extérieur sur le port 25.
merci.

Demandez aussi les entêtes complètes à votre contact qui a été spammé :
depuis OE => Ctrl + F3
Ctrl +A puis Ctrl +C
Coller le résultat

Si le message passe par votre serveur : recherchez le message par son MID
(si vous aviez activé le suivi des messages au niveau du serveur
Exchange).


comment savoir si ça passe par exchange ?
voici l'en-tête :

---------------------------
From Mon Dec 17 11:58:54 2007
Return-Path: Received: from monserveur.com (monserveur.com [MA_PUBLIC_IP])
by w6yx.stanford.edu (8.13.8/8.13.8) with ESMTP id lBHJwm1S015457
or (envelope-from )
Received: from User ([67.37.18.250]) by monserveur.com with Microsoft
SMTPSVC(6.0.3790.1830);
Mon, 17 Dec 2007 14:58:47 -0500
Reply-To: From: "Internal Revenue Service" Subject: SPAM
Date: Mon, 17 Dec 2007 14:58:44 -0500
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
Bcc:
Message-ID: X-OriginalArrivalTime: 17 Dec 2007 19:58:48.0304 (UTC)
FILETIME=[3CE0AF00:01C840E7]
Status: RO
---------------------------

Merci,
Akut

Thierry MILLE [MVP]
Le #895176
"Akut" news:4777d073$0$8806$

"Thierry MILLE [MVP]"

comment savoir si ça passe par exchange ?
voici l'en-tête :


Les entêtes de lisent du bas vers le haut :

Received: from monserveur.com (monserveur.com [MA_PUBLIC_IP])
by w6yx.stanford.edu (8.13.8/8.13.8) with ESMTP id lBHJwm1S015457
or (envelope-from )
Received: from User ([67.37.18.250]) by monserveur.com with Microsoft
SMTPSVC(6.0.3790.1830);


Qui est User ? un utilisateur sur une machine dont l'utilisateur est
authentifé pour relayer ?
Dans ce courrier :
un utilisateur depuis l'adresse IP 67.37.18.250 a relayé un message vers le
serveur Exchange. Ce message a été ensuite relayé vers le serveur de
l'université de Stanford.

Pourriez vous vérifiez sous l'onglet Connexions de votre serveur SMTP qu'au
niveau Relais : seules les plages d'adresses IP internes (conformes à la
RFC1918) peuvent relayer ?

Eventuellement, envoyez moi votre adresse IP publique à mon adresse "perso".

Cordialement

--
Thierry MILLE [MVP]

Akut
Le #895174
Qui est User ? un utilisateur sur une machine dont l'utilisateur est
authentifé pour relayer ?


je ne sais pas. mon serveur n'est pourtant pas un open relay.

Dans ce courrier :
un utilisateur depuis l'adresse IP 67.37.18.250 a relayé un message vers
le serveur Exchange. Ce message a été ensuite relayé vers le serveur de
l'université de Stanford.

Pourriez vous vérifiez sous l'onglet Connexions de votre serveur SMTP
qu'au niveau Relais : seules les plages d'adresses IP internes (conformes
à la RFC1918) peuvent relayer ?


c'est bien le cas oui.

Eventuellement, envoyez moi votre adresse IP publique à mon adresse
"perso".


Ok, merci.

Akut/

Publicité
Poster une réponse
Anonyme