Un op=C3=A9rateur m'a signal=C3=A9 qu'un (ou plusieurs) utilisateur d'un r=
=C3=A9seau que
j'administre =C3=A9met du spam.
Il y a jusqu'=C3=A0 200 machines sur ce r=C3=A9seau.
Je ne ma=C3=AEtrise pas ce qui est install=C3=A9 sur ces machines.
Mes priorit=C3=A9s sont:
1. identifier rapidement la ou les machines =C3=A9mettrice(s)
2. contr=C3=B4ler durablement le spam car:
- l'activit=C3=A9 de spam semble accaparer une part importante de la bande
passante,
- je voudrai =C3=A9viter que mon adresse IP soit "interdite".
L'architecture est:
Box ADSL (xN) ---- Routeur Debian ---- Points d'acc=C3=A8s WiFi ----- PC ou
smartphones
Tout le trafic transite par le routeur.
Je pensais dans un premier temps, ajouter, dans mon fichier idoine du
r=C3=A9pertoire /etc/network/if-pre-up.d des r=C3=A8gles iptables suppl=C3=
=A9mentaires.
Avant de les codes, je me rends compte qu'il me reste plusieurs questions
en suspend apr=C3=A8s mes recherches sur Internet.
1. Comment un op=C3=A9rateur identifie-t-il un spam ? Est-ce =C3=A0 peu pr=
=C3=A8s comme ce
qui suit ?
"Un destinataire re=C3=A7oit un courriel qu'il qualifie de spam. Il le sign=
ale =C3=A0
son op=C3=A9rateur, qui va lire l'adresse IP source de l'=C3=A9metteur, ide=
ntifier
l'op=C3=A9rateur g=C3=A9rant cette IP, lui signaler l'abus et laisser celui=
-ci y
mettre fin (en informant son propre client ou bien en coupant le lien
Internet)."
En d'autres termes, tout repose sur un signalement humain plut=C3=B4t que s=
ur
des mesures automatiques ?
2. Si j'interdis sur mon routeur le trafic transitant vers le port 25,
vais-je par d=C3=A9faut :
- interrompre tout le spam
- emb=C3=AAter ceux qui ont leur propre serveur de messagerie sur leur PC.
3. Est-il utile de faire quelque chose sur le port 587 ? J'ai compris que
non.
<div dir=3D"ltr"><div><div><div><div><div><div><div><div><div><div><div><di=
v><div><div>Bonjour,<br><br></div>Un op=C3=A9rateur m'a signal=C3=A9 qu=
'un (ou plusieurs) utilisateur d'un r=C3=A9seau que j'administr=
e =C3=A9met du spam.<br>Il y a jusqu'=C3=A0 200 machines sur ce r=C3=A9=
seau.<br>Je ne ma=C3=AEtrise pas ce qui est install=C3=A9 sur ces machines.=
<br><br></div><div>Mes priorit=C3=A9s sont:<br></div><div>1. identifier rap=
idement la ou les machines =C3=A9mettrice(s)<br></div><div>2. contr=C3=B4le=
r durablement le spam car:<br></div><div>- l'activit=C3=A9 de spam semb=
le accaparer une part importante de la bande passante,<br></div><div>- je v=
oudrai =C3=A9viter que mon adresse IP soit "interdite".<br><br></=
div><br></div>L'architecture est:<br></div>Box ADSL (xN) ---- Routeur D=
ebian ---- Points d'acc=C3=A8s WiFi ----- PC ou smartphones<br><br></di=
v>Tout le trafic transite par le routeur.<br><br></div>Je pensais dans un p=
remier temps, ajouter, dans mon fichier idoine du r=C3=A9pertoire /etc/netw=
ork/if-pre-up.d des r=C3=A8gles iptables suppl=C3=A9mentaires.<br></div>Ava=
nt de les codes, je me rends compte qu'il me reste plusieurs questions =
en suspend apr=C3=A8s mes recherches sur Internet.<br><br></div>1. Comment =
un op=C3=A9rateur identifie-t-il un spam ? Est-ce =C3=A0 peu pr=C3=A8s comm=
e ce qui suit ?<br>"Un destinataire re=C3=A7oit un courriel qu'il =
qualifie de spam. Il le signale =C3=A0 son op=C3=A9rateur, qui va lire l=
9;adresse IP source de l'=C3=A9metteur, identifier l'op=C3=A9rateur=
g=C3=A9rant cette IP, lui signaler l'abus et laisser celui-ci y mettre=
fin (en informant son propre client ou bien en coupant le lien Internet).&=
quot;<br></div><div>En d'autres termes, tout repose sur un signalement =
humain plut=C3=B4t que sur des mesures automatiques ?<br></div><div><br></d=
iv>2. Si j'interdis sur mon routeur le trafic transitant vers le port 2=
5, vais-je par d=C3=A9faut :<br></div>- interrompre tout le spam<br></div>-=
emb=C3=AAter ceux qui ont leur propre serveur de messagerie sur leur PC.<b=
r><br></div>3. Est-il utile de faire quelque chose sur le port 587 ? J'=
ai compris que non.<br><br></div>4. Conseils et suggestions ?<br><br></div>=
Slts<br><div><div><div><div><div><div><div><div><div><div><div><div><div><b=
r></div></div></div></div></div></div></div></div></div></div></div></div><=
/div></div>
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Ph. Gras
Le 9 mars 2016 à 19:31, Olivier a écrit :
Bonjour,
Un opérateur m'a signalé qu'un (ou plusieurs) utilisateur d'un réseau que j'administre émet du spam. Il y a jusqu'à 200 machines sur ce réseau. Je ne maîtrise pas ce qui est installé sur ces machines.
Mes priorités sont: 1. identifier rapidement la ou les machines émettrice(s) 2. contrôler durablement le spam car: - l'activité de spam semble accaparer une part importante de la bande passante, - je voudrai éviter que mon adresse IP soit "interdite".
L'architecture est: Box ADSL (xN) ---- Routeur Debian ---- Points d'accès WiFi ----- PC ou smartphones
Tout le trafic transite par le routeur.
Si ce sont des sites qui tourne sur les machines, c'est peut-être la fonction mail() de PHP qui est en cause. Il est possible de la désactiver dans le php.ini
30 secondes de travail pour avoir la paix, avant de mener l'enquête dans les logs
Je pensais dans un premier temps, ajouter, dans mon fichier idoine du répertoire /etc/network/if-pre-up.d des règles iptables supplémentaires.
Quand ce qui cloche et comment ça cloche aura été détecté, c'est effectivement une bonne solution.
Avant de les codes, je me rends compte qu'il me reste plusieurs questions en suspend après mes recherches sur Internet.
1. Comment un opérateur identifie-t-il un spam ? Est-ce à peu près comme ce qui suit ? "Un destinataire reçoit un courriel qu'il qualifie de spam. Il le signale à son opérateur, qui va lire l'adresse IP source de l'émetteur, identifier l'opérateur gérant cette IP, lui signaler l'abus et laisser celui-ci y mettre fin (en informant son propre client ou bien en coupant le lien Internet)." En d'autres termes, tout repose sur un signalement humain plutôt que sur des mesures automatiques ?
Les opérateurs ont des outils qui permettent d'analyser le type de trafic qui passe par chez eux. Je te recommande une conférence de Benjamin Sonntag sur le mail, accessible chez Youtube. Malheureusement, la réponse est à la fin. Mais le reste n'en est pas moins très intéressant.
2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut : - interrompre tout le spam
Oui :-)
- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.
Oui :-(
3. Est-il utile de faire quelque chose sur le port 587 ? J'ai compris que non.
4. Conseils et suggestions ?
Slts
Le 9 mars 2016 à 19:31, Olivier <oza.4h07@gmail.com> a écrit :
Bonjour,
Un opérateur m'a signalé qu'un (ou plusieurs) utilisateur d'un réseau que j'administre émet du spam.
Il y a jusqu'à 200 machines sur ce réseau.
Je ne maîtrise pas ce qui est installé sur ces machines.
Mes priorités sont:
1. identifier rapidement la ou les machines émettrice(s)
2. contrôler durablement le spam car:
- l'activité de spam semble accaparer une part importante de la bande passante,
- je voudrai éviter que mon adresse IP soit "interdite".
L'architecture est:
Box ADSL (xN) ---- Routeur Debian ---- Points d'accès WiFi ----- PC ou smartphones
Tout le trafic transite par le routeur.
Si ce sont des sites qui tourne sur les machines, c'est peut-être la fonction mail() de PHP qui est en cause.
Il est possible de la désactiver dans le php.ini
30 secondes de travail pour avoir la paix, avant de mener l'enquête dans les logs
Je pensais dans un premier temps, ajouter, dans mon fichier idoine du répertoire /etc/network/if-pre-up.d des règles iptables supplémentaires.
Quand ce qui cloche et comment ça cloche aura été détecté, c'est effectivement une bonne solution.
Avant de les codes, je me rends compte qu'il me reste plusieurs questions en suspend après mes recherches sur Internet.
1. Comment un opérateur identifie-t-il un spam ? Est-ce à peu près comme ce qui suit ?
"Un destinataire reçoit un courriel qu'il qualifie de spam. Il le signale à son opérateur, qui va lire l'adresse IP source de l'émetteur, identifier l'opérateur gérant cette IP, lui signaler l'abus et laisser celui-ci y mettre fin (en informant son propre client ou bien en coupant le lien Internet)."
En d'autres termes, tout repose sur un signalement humain plutôt que sur des mesures automatiques ?
Les opérateurs ont des outils qui permettent d'analyser le type de trafic qui passe par chez eux. Je te recommande
une conférence de Benjamin Sonntag sur le mail, accessible chez Youtube. Malheureusement, la réponse est à la
fin. Mais le reste n'en est pas moins très intéressant.
2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut :
- interrompre tout le spam
Oui :-)
- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.
Oui :-(
3. Est-il utile de faire quelque chose sur le port 587 ? J'ai compris que non.
Un opérateur m'a signalé qu'un (ou plusieurs) utilisateur d'un réseau que j'administre émet du spam. Il y a jusqu'à 200 machines sur ce réseau. Je ne maîtrise pas ce qui est installé sur ces machines.
Mes priorités sont: 1. identifier rapidement la ou les machines émettrice(s) 2. contrôler durablement le spam car: - l'activité de spam semble accaparer une part importante de la bande passante, - je voudrai éviter que mon adresse IP soit "interdite".
L'architecture est: Box ADSL (xN) ---- Routeur Debian ---- Points d'accès WiFi ----- PC ou smartphones
Tout le trafic transite par le routeur.
Si ce sont des sites qui tourne sur les machines, c'est peut-être la fonction mail() de PHP qui est en cause. Il est possible de la désactiver dans le php.ini
30 secondes de travail pour avoir la paix, avant de mener l'enquête dans les logs
Je pensais dans un premier temps, ajouter, dans mon fichier idoine du répertoire /etc/network/if-pre-up.d des règles iptables supplémentaires.
Quand ce qui cloche et comment ça cloche aura été détecté, c'est effectivement une bonne solution.
Avant de les codes, je me rends compte qu'il me reste plusieurs questions en suspend après mes recherches sur Internet.
1. Comment un opérateur identifie-t-il un spam ? Est-ce à peu près comme ce qui suit ? "Un destinataire reçoit un courriel qu'il qualifie de spam. Il le signale à son opérateur, qui va lire l'adresse IP source de l'émetteur, identifier l'opérateur gérant cette IP, lui signaler l'abus et laisser celui-ci y mettre fin (en informant son propre client ou bien en coupant le lien Internet)." En d'autres termes, tout repose sur un signalement humain plutôt que sur des mesures automatiques ?
Les opérateurs ont des outils qui permettent d'analyser le type de trafic qui passe par chez eux. Je te recommande une conférence de Benjamin Sonntag sur le mail, accessible chez Youtube. Malheureusement, la réponse est à la fin. Mais le reste n'en est pas moins très intéressant.
2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut : - interrompre tout le spam
Oui :-)
- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.
Oui :-(
3. Est-il utile de faire quelque chose sur le port 587 ? J'ai compris que non.
4. Conseils et suggestions ?
Slts
jdd
Le 09/03/2016 20:02, Ph. Gras a écrit :
2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut : - interrompre tout le spam
Oui :-)
- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.
Oui :-(
la solution, peut-être de faire comme Free: interdire par défaut, autoriser sur demande. Déjà ca vire tous ceux qui n'y connaissent rien et qui doivent être à l'origine de 90% du spam, ensuite ca responsabilise les autres.
peut-être poser la question à celui qui t'a signalé le spam de savoir ce qu'il entends par là (volume ou contenu)
jdd (intéressé par la réponse :-)
Le 09/03/2016 20:02, Ph. Gras a écrit :
2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut :
- interrompre tout le spam
Oui :-)
- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.
Oui :-(
la solution, peut-être de faire comme Free: interdire par défaut,
autoriser sur demande. Déjà ca vire tous ceux qui n'y connaissent rien
et qui doivent être à l'origine de 90% du spam, ensuite ca
responsabilise les autres.
peut-être poser la question à celui qui t'a signalé le spam de savoir ce
qu'il entends par là (volume ou contenu)
2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut : - interrompre tout le spam
Oui :-)
- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.
Oui :-(
la solution, peut-être de faire comme Free: interdire par défaut, autoriser sur demande. Déjà ca vire tous ceux qui n'y connaissent rien et qui doivent être à l'origine de 90% du spam, ensuite ca responsabilise les autres.
peut-être poser la question à celui qui t'a signalé le spam de savoir ce qu'il entends par là (volume ou contenu)
jdd (intéressé par la réponse :-)
Ph. Gras
Le 9 mars 2016 à 20:10, jdd a écrit :
Le 09/03/2016 20:02, Ph. Gras a écrit :
2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut : - interrompre tout le spam
Oui :-)
- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.
Oui :-(
la solution, peut-être de faire comme Free: interdire par défaut, autoriser sur demande. Déjà ca vire tous ceux qui n'y connaissent rien et qui doivent être à l'origine de 90% du spam, ensuite ca responsabilise les autres.
peut-être poser la question à celui qui t'a signalé le spam de savoir ce qu'il entends par là (volume ou contenu)
jdd (intéressé par la réponse :-)
J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs piratés, que des jeunes louaient pour installer un serveur de jeu vidéo.
Ph. Gras=
Le 9 mars 2016 à 20:10, jdd <jdd@dodin.org> a écrit :
Le 09/03/2016 20:02, Ph. Gras a écrit :
2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut :
- interrompre tout le spam
Oui :-)
- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.
Oui :-(
la solution, peut-être de faire comme Free: interdire par défaut, autoriser sur demande. Déjà ca vire tous ceux qui n'y connaissent rien et qui doivent être à l'origine de 90% du spam, ensuite ca responsabilise les autres.
peut-être poser la question à celui qui t'a signalé le spam de savoir ce qu'il entends par là (volume ou contenu)
jdd (intéressé par la réponse :-)
J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais
beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs
piratés, que des jeunes louaient pour installer un serveur de jeu vidéo.
2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut : - interrompre tout le spam
Oui :-)
- embêter ceux qui ont leur propre serveur de messagerie sur leur PC.
Oui :-(
la solution, peut-être de faire comme Free: interdire par défaut, autoriser sur demande. Déjà ca vire tous ceux qui n'y connaissent rien et qui doivent être à l'origine de 90% du spam, ensuite ca responsabilise les autres.
peut-être poser la question à celui qui t'a signalé le spam de savoir ce qu'il entends par là (volume ou contenu)
jdd (intéressé par la réponse :-)
J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs piratés, que des jeunes louaient pour installer un serveur de jeu vidéo.
Ph. Gras=
jdd
Le 09/03/2016 20:38, Ph. Gras a écrit :
J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs piratés, que des jeunes louaient pour installer un serveur de jeu vidéo.
ma question était surtout de savoir comment ils savent que le serveur est piraté, quel est le critère (matériel)
merci jdd
Le 09/03/2016 20:38, Ph. Gras a écrit :
J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais
beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs
piratés, que des jeunes louaient pour installer un serveur de jeu vidéo.
ma question était surtout de savoir comment ils savent que le serveur
est piraté, quel est le critère (matériel)
J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs piratés, que des jeunes louaient pour installer un serveur de jeu vidéo.
ma question était surtout de savoir comment ils savent que le serveur est piraté, quel est le critère (matériel)
J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs piratés, que des jeunes louaient pour installer un serveur de jeu vidéo.
ma question était surtout de savoir comment ils savent que le serveur est piraté, quel est le critère (matériel)
merci jdd
Ils attendent que quelqu'un envoie une réclamation à lé, en fait. Ils ne font rien de spécial. Sur les hébergements, ils analysent le trafic qui passe par certaines fonctions qu'ils ont considéré comme critiques. Il y a plein de témoignages sur les forums : "OVH a désactivé mon site, ils m'ont écrit ça :" Suit une phrase absconse qui est le copié-collé du dump de l'outil d'analyse.
Sur les hébergements, OVH a la main sur tout. Donc on peut placer des scripts en amont du site.
D'après ce que tu décris de ton parc, il pourrait y avoir une ou deux machines passées zombies
Ph. Gras=
Le 9 mars 2016 à 21:10, jdd <jdd@dodin.org> a écrit :
Le 09/03/2016 20:38, Ph. Gras a écrit :
J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais
beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs
piratés, que des jeunes louaient pour installer un serveur de jeu vidéo.
ma question était surtout de savoir comment ils savent que le serveur est piraté, quel est le critère (matériel)
merci
jdd
Ils attendent que quelqu'un envoie une réclamation à légal@ovh.com, en fait. Ils ne font rien de
spécial. Sur les hébergements, ils analysent le trafic qui passe par certaines fonctions qu'ils ont
considéré comme critiques. Il y a plein de témoignages sur les forums :
"OVH a désactivé mon site, ils m'ont écrit ça :"
Suit une phrase absconse qui est le copié-collé du dump de l'outil d'analyse.
Sur les hébergements, OVH a la main sur tout. Donc on peut placer des scripts en amont du site.
D'après ce que tu décris de ton parc, il pourrait y avoir une ou deux machines passées zombies
J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs piratés, que des jeunes louaient pour installer un serveur de jeu vidéo.
ma question était surtout de savoir comment ils savent que le serveur est piraté, quel est le critère (matériel)
merci jdd
Ils attendent que quelqu'un envoie une réclamation à lé, en fait. Ils ne font rien de spécial. Sur les hébergements, ils analysent le trafic qui passe par certaines fonctions qu'ils ont considéré comme critiques. Il y a plein de témoignages sur les forums : "OVH a désactivé mon site, ils m'ont écrit ça :" Suit une phrase absconse qui est le copié-collé du dump de l'outil d'analyse.
Sur les hébergements, OVH a la main sur tout. Donc on peut placer des scripts en amont du site.
D'après ce que tu décris de ton parc, il pourrait y avoir une ou deux machines passées zombies
Ph. Gras=
jdd
Le 09/03/2016 22:49, Ph. Gras a écrit :
D'après ce que tu décris de ton parc, il pourrait y avoir une ou deux machines passées zombies…
c'est pas le mien :-)
jdd
Le 09/03/2016 22:49, Ph. Gras a écrit :
D'après ce que tu décris de ton parc, il pourrait y avoir une ou deux machines passées zombies…
