postfix : piratage ?

Jean-Michel Schelcher

04/12/2006 à 14:30

On 04/12 12:47, herve thibaud wrote :

bonjour

J'utilise smtp.free.fr pour envoyer mon courrier mais de temps en temps
il refuse mes courriers

ci-dessous un échantillon de ce que je trouve dans le syslog d'un serve ur
Est-ce que ça veux dire qu'on se sert de mon serveur pour envoyer du
courrier ?
Je ne comprends pas bien ce que je dois mettre dans postfix pour
interdire ce genre d'utilisation

A première vue, ce serait du spam qui provient de chez toi. Cela peut se
produire si ton serveur est en open relay. Après un rapide test, il
semblerait qu'il ne l'est pas, dans le doute vérifie qu'il n'accepte le
courrier que depuis ton réseau (mynetworks) et à destination de tes
domaines (mydestination, ou autre si tu utilises des domaines
virtuels...).

Cela pourrait aussi être du spam envoyé par un virus sur une machine de ton
réseau...

Ce que je ferais à ta place:
- voir dans les mêmes logs d'où viennent ces mails.
- sniffer sur toutes les interfaces de cette machine et traquer tout ce
qui semble suspect

a+

Jm

merci de m'aider

[...]
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 4F6E732949:
>to=, relay=none, delayu19,
>delaysu18/0.95/0/0, dsn=4.0.0, status�ferred (delivery tempora rily
>suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
>smtp4-g19.free.fr Error: too many connections from 81.56.198.85)
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 4BCB43272E:
>to=, relay=none, delay%1626,
>delays%1625/0.99/0/0, dsn=4.0.0, status�ferred (delivery
>temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
>to me: 421 smtp4-g19.free.fr Error: too many connections from
>81.56.198.85)
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 59F0132C8E:
>to=, relay=none, delay124,
>delays123/1/0/0, dsn=4.0.0, status�ferred (delivery temporari ly
>suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
>smtp4-g19.free.fr Error: too many connections from 81.56.198.85)
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 54BEE329C8:
>to=, relay=none, delay734,
>delays733/1.1/0/0, dsn=4.0.0, status�ferred (delivery tempora rily
>suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
>smtp4-g19.free.fr Error: too many connections from 81.56.198.85)
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 597313238C:
>to=, relay=none, delay#4436,
>delays#4435/1.1/0/0, dsn=4.0.0, status�ferred (delivery
>temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
>to me: 421 smtp4-g19.free.fr Error: too many connections from
>81.56.198.85)
>[...]

On 04/12 12:47, herve thibaud wrote :

bonjour

J'utilise smtp.free.fr pour envoyer mon courrier mais de temps en temps
il refuse mes courriers

ci-dessous un échantillon de ce que je trouve dans le syslog d'un serve ur
Est-ce que ça veux dire qu'on se sert de mon serveur pour envoyer du
courrier ?
Je ne comprends pas bien ce que je dois mettre dans postfix pour
interdire ce genre d'utilisation

A première vue, ce serait du spam qui provient de chez toi. Cela peut se
produire si ton serveur est en open relay. Après un rapide test, il
semblerait qu'il ne l'est pas, dans le doute vérifie qu'il n'accepte le
courrier que depuis ton réseau (mynetworks) et à destination de tes
domaines (mydestination, ou autre si tu utilises des domaines
virtuels...).

Cela pourrait aussi être du spam envoyé par un virus sur une machine de ton
réseau...

Ce que je ferais à ta place:
- voir dans les mêmes logs d'où viennent ces mails.
- sniffer sur toutes les interfaces de cette machine et traquer tout ce
qui semble suspect

a+

Jm

merci de m'aider

[...]
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 4F6E732949:
>to=<daggete@macgregor-nte.com>, relay=none, delay=7519,
>delays=7518/0.95/0/0, dsn=4.0.0, status=deferred (delivery tempora rily
>suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
>smtp4-g19.free.fr Error: too many connections from 81.56.198.85)
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 4BCB43272E:
>to=<1erdeclasse.com@kiwischool.com>, relay=none, delay=251626,
>delays=251625/0.99/0/0, dsn=4.0.0, status=deferred (delivery
>temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
>to me: 421 smtp4-g19.free.fr Error: too many connections from
>81.56.198.85)
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 59F0132C8E:
>to=<dbachmannuasw@sblcs.com>, relay=none, delay=12124,
>delays=12123/1/0/0, dsn=4.0.0, status=deferred (delivery temporari ly
>suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
>smtp4-g19.free.fr Error: too many connections from 81.56.198.85)
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 54BEE329C8:
>to=<gotlongevity.net@radiocompa.com>, relay=none, delay=16734,
>delays=16733/1.1/0/0, dsn=4.0.0, status=deferred (delivery tempora rily
>suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
>smtp4-g19.free.fr Error: too many connections from 81.56.198.85)
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 597313238C:
>to=<homeincrete.com@quakepimp.com>, relay=none, delay=234436,
>delays=234435/1.1/0/0, dsn=4.0.0, status=deferred (delivery
>temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
>to me: 421 smtp4-g19.free.fr Error: too many connections from
>81.56.198.85)
>[...]

Vous avez filtré cet utilisateur ! Consultez son message

On 04/12 12:47, herve thibaud wrote :

bonjour

J'utilise smtp.free.fr pour envoyer mon courrier mais de temps en temps
il refuse mes courriers

ci-dessous un échantillon de ce que je trouve dans le syslog d'un serve ur
Est-ce que ça veux dire qu'on se sert de mon serveur pour envoyer du
courrier ?
Je ne comprends pas bien ce que je dois mettre dans postfix pour
interdire ce genre d'utilisation

A première vue, ce serait du spam qui provient de chez toi. Cela peut se
produire si ton serveur est en open relay. Après un rapide test, il
semblerait qu'il ne l'est pas, dans le doute vérifie qu'il n'accepte le
courrier que depuis ton réseau (mynetworks) et à destination de tes
domaines (mydestination, ou autre si tu utilises des domaines
virtuels...).

Cela pourrait aussi être du spam envoyé par un virus sur une machine de ton
réseau...

Ce que je ferais à ta place:
- voir dans les mêmes logs d'où viennent ces mails.
- sniffer sur toutes les interfaces de cette machine et traquer tout ce
qui semble suspect

a+

Jm

merci de m'aider

[...]
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 4F6E732949:
>to=, relay=none, delayu19,
>delaysu18/0.95/0/0, dsn=4.0.0, status�ferred (delivery tempora rily
>suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
>smtp4-g19.free.fr Error: too many connections from 81.56.198.85)
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 4BCB43272E:
>to=, relay=none, delay%1626,
>delays%1625/0.99/0/0, dsn=4.0.0, status�ferred (delivery
>temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
>to me: 421 smtp4-g19.free.fr Error: too many connections from
>81.56.198.85)
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 59F0132C8E:
>to=, relay=none, delay124,
>delays123/1/0/0, dsn=4.0.0, status�ferred (delivery temporari ly
>suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
>smtp4-g19.free.fr Error: too many connections from 81.56.198.85)
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 54BEE329C8:
>to=, relay=none, delay734,
>delays733/1.1/0/0, dsn=4.0.0, status�ferred (delivery tempora rily
>suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
>smtp4-g19.free.fr Error: too many connections from 81.56.198.85)
>Dec 4 11:35:16 vega postfix/qmgr[4632]: 597313238C:
>to=, relay=none, delay#4436,
>delays#4435/1.1/0/0, dsn=4.0.0, status�ferred (delivery
>temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
>to me: 421 smtp4-g19.free.fr Error: too many connections from
>81.56.198.85)
>[...]

Jacques L'helgoualc'h

04/12/2006 à 15:20

Jean-Michel Schelcher a écrit, lundi 4 décembre 2006, à 14:16 :

On 04/12 12:47, herve thibaud wrote :

> bonjour

bonjour.

> J'utilise smtp.free.fr pour envoyer mon courrier mais de temps en temps
> il refuse mes courriers
> [...]

A première vue, ce serait du spam qui provient de chez toi. [...]
Cela pourrait aussi être du spam envoyé par un virus sur une machine de ton
réseau...

Les virus passent peu par le « smarthost » du fournisseur d'accès, et le
refus n'est que temporaire.

Ce que je ferais à ta place:
- voir dans les mêmes logs d'où viennent ces mails.
- sniffer sur toutes les interfaces de cette machine et traquer tout ce
qui semble suspect
> [...]
> >Dec 4 11:35:16 vega postfix/qmgr[4632]: 4F6E732949:
> >to=, relay=none, delayu19,
> >delaysu18/0.95/0/0, dsn=4.0.0, statusÞferred (delivery temporarily
> >suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
> >smtp4-g19.free.fr Error: too many connections from 81.56.198.85)

______________________________^^^^^^^^^^^^^^^^^^^^

Combien y a-t-il de machines/programmes qui tentent simultanément
d'expédier du courrier via smtp.free.fr depuis ton IP ?
--
Jacques L'helgoualc'h

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Jean-Michel Schelcher

04/12/2006 à 16:10

On 04/12 14:53, Jacques L'helgoualc'h wrote :

> > J'utilise smtp.free.fr pour envoyer mon courrier mais de temps en tem ps
> > il refuse mes courriers

A tout hasard, tu héberges des mailings-lists ? des grandes ?
Si oui, il y a de fortes chances que c'est ça.
La solution serait de les envoyer directement sans relay_host (attention
à la bande passante consommée dans ce cas, le mail partant alors pour
chaque domaine de destination au lieu d'une fois.), et éventuellement
avec smtp.free.fr comme relais pour les quelques MX qui ne veulent pas
de toi directement (aol entre autre) (jouer avec transport pour ça).

> A première vue, ce serait du spam qui provient de chez toi. [...]
> Cela pourrait aussi être du spam envoyé par un virus sur une machin e de ton
> réseau...

Les virus passent peu par le « smarthost » du fournisseur d'acc ès,

Oui, c'est vrai, mais ne sait-on jamais...

> > >Dec 4 11:35:16 vega postfix/qmgr[4632]: 4F6E732949:
> > >to=, relay=none, delayu19,
> > >delaysu18/0.95/0/0, dsn=4.0.0, status�ferred (delivery tem porarily
> > >suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
> > >smtp4-g19.free.fr Error: too many connections from 81.56.198.85)
______________________________^^^^^^^^^^^^^^^^^^^^

Combien y a-t-il de machines/programmes qui tentent simultanément
d'expédier du courrier via smtp.free.fr depuis ton IP ?

Au moins 5 en 1 s. ;-)

a+

Jm

Alexandre Mackow

04/12/2006 à 17:00

herve thibaud wrote:

bonjour

J'utilise smtp.free.fr pour envoyer mon courrier mais de temps en
temps il refuse mes courriers

ci-dessous un échantillon de ce que je trouve dans le syslog d'un serveur
Est-ce que ça veux dire qu'on se sert de mon serveur pour envoyer du
courrier ?
Je ne comprends pas bien ce que je dois mettre dans postfix pour
interdire ce genre d'utilisation

merci de m'aider

[...]

Dec 4 11:35:16 vega postfix/qmgr[4632]: 4F6E732949:
to=, relay=none, delayu19,
delaysu18/0.95/0/0, dsn=4.0.0, statusÞferred (delivery
temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
to me: 421 smtp4-g19.free.fr Error: too many connections from
81.56.198.85)
Dec 4 11:35:16 vega postfix/qmgr[4632]: 4BCB43272E:
to=, relay=none, delay%1626,
delays%1625/0.99/0/0, dsn=4.0.0, statusÞferred (delivery
temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
to me: 421 smtp4-g19.free.fr Error: too many connections from
81.56.198.85)
Dec 4 11:35:16 vega postfix/qmgr[4632]: 59F0132C8E:
to=, relay=none, delay124,
delays123/1/0/0, dsn=4.0.0, statusÞferred (delivery temporarily
suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
smtp4-g19.free.fr Error: too many connections from 81.56.198.85)
Dec 4 11:35:16 vega postfix/qmgr[4632]: 54BEE329C8:
to=, relay=none, delay734,
delays733/1.1/0/0, dsn=4.0.0, statusÞferred (delivery
temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
to me: 421 smtp4-g19.free.fr Error: too many connections from
81.56.198.85)
Dec 4 11:35:16 vega postfix/qmgr[4632]: 597313238C:
to=, relay=none, delay#4436,
delays#4435/1.1/0/0, dsn=4.0.0, statusÞferred (delivery
temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
to me: 421 smtp4-g19.free.fr Error: too many connections from
81.56.198.85)
[...]

Bonjour,
toutes les adresses de ton log sont ils des destinataires que tu connais
ou qui sont connus par des users?
A ma connaissance Free refuse de relayer au bout d'un certains nombre de
requetes.... Donc si tu es relay (ooops), securise ton postfix...
Si ces destinataires te sont connus....Change de SMTP...Tu effectues
trop de requetes et Free bloque...

++

--
----------------
Alexandre Mackow
Service OSI
Groupe millet
05-49-75-55-67

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

herve thibaud wrote:

bonjour

J'utilise smtp.free.fr pour envoyer mon courrier mais de temps en
temps il refuse mes courriers

ci-dessous un échantillon de ce que je trouve dans le syslog d'un serveur
Est-ce que ça veux dire qu'on se sert de mon serveur pour envoyer du
courrier ?
Je ne comprends pas bien ce que je dois mettre dans postfix pour
interdire ce genre d'utilisation

merci de m'aider

[...]

Dec 4 11:35:16 vega postfix/qmgr[4632]: 4F6E732949:
to=<daggete@macgregor-nte.com>, relay=none, delayu19,
delaysu18/0.95/0/0, dsn=4.0.0, statusÞferred (delivery
temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
to me: 421 smtp4-g19.free.fr Error: too many connections from
81.56.198.85)
Dec 4 11:35:16 vega postfix/qmgr[4632]: 4BCB43272E:
to=<1erdeclasse.com@kiwischool.com>, relay=none, delay%1626,
delays%1625/0.99/0/0, dsn=4.0.0, statusÞferred (delivery
temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
to me: 421 smtp4-g19.free.fr Error: too many connections from
81.56.198.85)
Dec 4 11:35:16 vega postfix/qmgr[4632]: 59F0132C8E:
to=<dbachmannuasw@sblcs.com>, relay=none, delay124,
delays123/1/0/0, dsn=4.0.0, statusÞferred (delivery temporarily
suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
smtp4-g19.free.fr Error: too many connections from 81.56.198.85)
Dec 4 11:35:16 vega postfix/qmgr[4632]: 54BEE329C8:
to=<gotlongevity.net@radiocompa.com>, relay=none, delay734,
delays733/1.1/0/0, dsn=4.0.0, statusÞferred (delivery
temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
to me: 421 smtp4-g19.free.fr Error: too many connections from
81.56.198.85)
Dec 4 11:35:16 vega postfix/qmgr[4632]: 597313238C:
to=<homeincrete.com@quakepimp.com>, relay=none, delay#4436,
delays#4435/1.1/0/0, dsn=4.0.0, statusÞferred (delivery
temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
to me: 421 smtp4-g19.free.fr Error: too many connections from
81.56.198.85)
[...]

Bonjour,
toutes les adresses de ton log sont ils des destinataires que tu connais
ou qui sont connus par des users?
A ma connaissance Free refuse de relayer au bout d'un certains nombre de
requetes.... Donc si tu es relay (ooops), securise ton postfix...
Si ces destinataires te sont connus....Change de SMTP...Tu effectues
trop de requetes et Free bloque...

++

--
----------------
Alexandre Mackow
Service OSI
Groupe millet
05-49-75-55-67

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

herve thibaud wrote:

bonjour

J'utilise smtp.free.fr pour envoyer mon courrier mais de temps en
temps il refuse mes courriers

ci-dessous un échantillon de ce que je trouve dans le syslog d'un serveur
Est-ce que ça veux dire qu'on se sert de mon serveur pour envoyer du
courrier ?
Je ne comprends pas bien ce que je dois mettre dans postfix pour
interdire ce genre d'utilisation

merci de m'aider

[...]

Dec 4 11:35:16 vega postfix/qmgr[4632]: 4F6E732949:
to=, relay=none, delayu19,
delaysu18/0.95/0/0, dsn=4.0.0, statusÞferred (delivery
temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
to me: 421 smtp4-g19.free.fr Error: too many connections from
81.56.198.85)
Dec 4 11:35:16 vega postfix/qmgr[4632]: 4BCB43272E:
to=, relay=none, delay%1626,
delays%1625/0.99/0/0, dsn=4.0.0, statusÞferred (delivery
temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
to me: 421 smtp4-g19.free.fr Error: too many connections from
81.56.198.85)
Dec 4 11:35:16 vega postfix/qmgr[4632]: 59F0132C8E:
to=, relay=none, delay124,
delays123/1/0/0, dsn=4.0.0, statusÞferred (delivery temporarily
suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
smtp4-g19.free.fr Error: too many connections from 81.56.198.85)
Dec 4 11:35:16 vega postfix/qmgr[4632]: 54BEE329C8:
to=, relay=none, delay734,
delays733/1.1/0/0, dsn=4.0.0, statusÞferred (delivery
temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
to me: 421 smtp4-g19.free.fr Error: too many connections from
81.56.198.85)
Dec 4 11:35:16 vega postfix/qmgr[4632]: 597313238C:
to=, relay=none, delay#4436,
delays#4435/1.1/0/0, dsn=4.0.0, statusÞferred (delivery
temporarily suspended: host smtp.free.fr[212.27.48.4] refused to talk
to me: 421 smtp4-g19.free.fr Error: too many connections from
81.56.198.85)
[...]

Bonjour,
toutes les adresses de ton log sont ils des destinataires que tu connais
ou qui sont connus par des users?
A ma connaissance Free refuse de relayer au bout d'un certains nombre de
requetes.... Donc si tu es relay (ooops), securise ton postfix...
Si ces destinataires te sont connus....Change de SMTP...Tu effectues
trop de requetes et Free bloque...

++

--
----------------
Alexandre Mackow
Service OSI
Groupe millet
05-49-75-55-67

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

herve thibaud

04/12/2006 à 17:20

Jean-Michel Schelcher wrote:

On 04/12 14:53, Jacques L'helgoualc'h wrote :

J'utilise smtp.free.fr pour envoyer mon courrier mais de temps en temps
il refuse mes courriers

A tout hasard, tu héberges des mailings-lists ? des grandes ?
Si oui, il y a de fortes chances que c'est ça.
La solution serait de les envoyer directement sans relay_host (attention
à la bande passante consommée dans ce cas, le mail partant alors pour
chaque domaine de destination au lieu d'une fois.), et éventuellement
avec smtp.free.fr comme relais pour les quelques MX qui ne veulent pas
de toi directement (aol entre autre) (jouer avec transport pour ça).

A première vue, ce serait du spam qui provient de chez toi. [...]
Cela pourrait aussi être du spam envoyé par un virus sur une machine de ton
réseau...

Les virus passent peu par le « smarthost » du fournisseur d'accès,

Oui, c'est vrai, mais ne sait-on jamais...

Dec 4 11:35:16 vega postfix/qmgr[4632]: 4F6E732949:
to=, relay=none, delayu19,
delaysu18/0.95/0/0, dsn=4.0.0, statusÞferred (delivery temporarily
suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
smtp4-g19.free.fr Error: too many connections from 81.56.198.85)

______________________________^^^^^^^^^^^^^^^^^^^^

Combien y a-t-il de machines/programmes qui tentent simultanément
d'expédier du courrier via smtp.free.fr depuis ton IP ?

Au moins 5 en 1 s. ;-)

a+

Jm

Je ne pouvais plus envoyer de courrier.
Voilà, je suis un amateur en retraite et tout ça c'est très ténébreux
pour moi.
En tout il y a 4 machines, 3 debian (dont un serveur web et mail en
utilisation) 1 windows.
Actuellement il n'y a que la debian serveur qui tourne et une debian
poste de travail.
j'ai mis relay_host=smtp.nul.fr pour stopper tout envoi vers
smtp.free.fr et j'ai arrêté apache
Je ne fais pas d'envoi directe car fut un temps j'envoyai quelques
mailings et des serveurs refusaient les messages.
Normalement l'envoi de courrier provient seulement du serveur, tous les
postes utilisant l'expédition directe vers smtp.free.fr
Le serveur n'héberge pas de mailing list, l'envoi de courrier est rare
(quelques messages par semaines).

Qu'est ce que je peux faire comme test pour voir si une machine est
habitée (surtout le serveur qui me semble compromis)

Vous avez l'air d'en savoir beaucoup plus que moi sur ce qui sort de
chez moi et sur ce qui s'y passe.

merci

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Jean-Michel Schelcher wrote:

On 04/12 14:53, Jacques L'helgoualc'h wrote :

J'utilise smtp.free.fr pour envoyer mon courrier mais de temps en temps
il refuse mes courriers

A tout hasard, tu héberges des mailings-lists ? des grandes ?
Si oui, il y a de fortes chances que c'est ça.
La solution serait de les envoyer directement sans relay_host (attention
à la bande passante consommée dans ce cas, le mail partant alors pour
chaque domaine de destination au lieu d'une fois.), et éventuellement
avec smtp.free.fr comme relais pour les quelques MX qui ne veulent pas
de toi directement (aol entre autre) (jouer avec transport pour ça).

A première vue, ce serait du spam qui provient de chez toi. [...]
Cela pourrait aussi être du spam envoyé par un virus sur une machine de ton
réseau...

Les virus passent peu par le « smarthost » du fournisseur d'accès,

Oui, c'est vrai, mais ne sait-on jamais...

Dec 4 11:35:16 vega postfix/qmgr[4632]: 4F6E732949:
to=<daggete@macgregor-nte.com>, relay=none, delayu19,
delaysu18/0.95/0/0, dsn=4.0.0, statusÞferred (delivery temporarily
suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
smtp4-g19.free.fr Error: too many connections from 81.56.198.85)

______________________________^^^^^^^^^^^^^^^^^^^^

Combien y a-t-il de machines/programmes qui tentent simultanément
d'expédier du courrier via smtp.free.fr depuis ton IP ?

Au moins 5 en 1 s. ;-)

a+

Jm

Je ne pouvais plus envoyer de courrier.
Voilà, je suis un amateur en retraite et tout ça c'est très ténébreux
pour moi.
En tout il y a 4 machines, 3 debian (dont un serveur web et mail en
utilisation) 1 windows.
Actuellement il n'y a que la debian serveur qui tourne et une debian
poste de travail.
j'ai mis relay_host=smtp.nul.fr pour stopper tout envoi vers
smtp.free.fr et j'ai arrêté apache
Je ne fais pas d'envoi directe car fut un temps j'envoyai quelques
mailings et des serveurs refusaient les messages.
Normalement l'envoi de courrier provient seulement du serveur, tous les
postes utilisant l'expédition directe vers smtp.free.fr
Le serveur n'héberge pas de mailing list, l'envoi de courrier est rare
(quelques messages par semaines).

Qu'est ce que je peux faire comme test pour voir si une machine est
habitée (surtout le serveur qui me semble compromis)

Vous avez l'air d'en savoir beaucoup plus que moi sur ce qui sort de
chez moi et sur ce qui s'y passe.

merci

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

Jean-Michel Schelcher wrote:

On 04/12 14:53, Jacques L'helgoualc'h wrote :

J'utilise smtp.free.fr pour envoyer mon courrier mais de temps en temps
il refuse mes courriers

A tout hasard, tu héberges des mailings-lists ? des grandes ?
Si oui, il y a de fortes chances que c'est ça.
La solution serait de les envoyer directement sans relay_host (attention
à la bande passante consommée dans ce cas, le mail partant alors pour
chaque domaine de destination au lieu d'une fois.), et éventuellement
avec smtp.free.fr comme relais pour les quelques MX qui ne veulent pas
de toi directement (aol entre autre) (jouer avec transport pour ça).

A première vue, ce serait du spam qui provient de chez toi. [...]
Cela pourrait aussi être du spam envoyé par un virus sur une machine de ton
réseau...

Les virus passent peu par le « smarthost » du fournisseur d'accès,

Oui, c'est vrai, mais ne sait-on jamais...

Dec 4 11:35:16 vega postfix/qmgr[4632]: 4F6E732949:
to=, relay=none, delayu19,
delaysu18/0.95/0/0, dsn=4.0.0, statusÞferred (delivery temporarily
suspended: host smtp.free.fr[212.27.48.4] refused to talk to me: 421
smtp4-g19.free.fr Error: too many connections from 81.56.198.85)

______________________________^^^^^^^^^^^^^^^^^^^^

Combien y a-t-il de machines/programmes qui tentent simultanément
d'expédier du courrier via smtp.free.fr depuis ton IP ?

Au moins 5 en 1 s. ;-)

a+

Jm

Je ne pouvais plus envoyer de courrier.
Voilà, je suis un amateur en retraite et tout ça c'est très ténébreux
pour moi.
En tout il y a 4 machines, 3 debian (dont un serveur web et mail en
utilisation) 1 windows.
Actuellement il n'y a que la debian serveur qui tourne et une debian
poste de travail.
j'ai mis relay_host=smtp.nul.fr pour stopper tout envoi vers
smtp.free.fr et j'ai arrêté apache
Je ne fais pas d'envoi directe car fut un temps j'envoyai quelques
mailings et des serveurs refusaient les messages.
Normalement l'envoi de courrier provient seulement du serveur, tous les
postes utilisant l'expédition directe vers smtp.free.fr
Le serveur n'héberge pas de mailing list, l'envoi de courrier est rare
(quelques messages par semaines).

Qu'est ce que je peux faire comme test pour voir si une machine est
habitée (surtout le serveur qui me semble compromis)

Vous avez l'air d'en savoir beaucoup plus que moi sur ce qui sort de
chez moi et sur ce qui s'y passe.

merci

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Jacques L'helgoualc'h

04/12/2006 à 17:40

Alexandre Mackow a écrit, lundi 4 décembre 2006, à 16:51 :

herve thibaud wrote:

[...]

Bonjour,
toutes les adresses de ton log sont ils des destinataires que tu connais
ou qui sont connus par des users?
A ma connaissance Free refuse de relayer au bout d'un certains nombre de
requetes.... Donc si tu es relay (ooops), securise ton postfix...
Si ces destinataires te sont connus....Change de SMTP...Tu effectues
trop de requetes et Free bloque...

Ah oui, j'aurais dû regarder d'un peu plus près ; c'est bien postfix qui
émet en rafale --- mais smtp.free.fr ne détecte pas le spam, il se
contente de le freiner.

$ nmap -p 25 81.56.198.85

Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2006-12-04 17:23 CET
Interesting ports on lns-th2-5f-81-56-198-85.adsl.proxad.net (81.56.198.85):
PORT STATE SERVICE
25/tcp open smtp

Nmap finished: 1 IP address (1 host up) scanned in 0.832 seconds

Achtung Minen, le port 25 est ouvert :/
--
Jacques L'helgoualc'h

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

herve thibaud

05/12/2006 à 16:50

Jacques L'helgoualc'h wrote:

Alexandre Mackow a écrit, lundi 4 décembre 2006, à 16:51 :

herve thibaud wrote:

[...]

Bonjour,
toutes les adresses de ton log sont ils des destinataires que tu connais
ou qui sont connus par des users?
A ma connaissance Free refuse de relayer au bout d'un certains nombre de
requetes.... Donc si tu es relay (ooops), securise ton postfix...
Si ces destinataires te sont connus....Change de SMTP...Tu effectues
trop de requetes et Free bloque...

Ah oui, j'aurais dû regarder d'un peu plus près ; c'est bien postfix qui
émet en rafale --- mais smtp.free.fr ne détecte pas le spam, il se
contente de le freiner.

$ nmap -p 25 81.56.198.85

Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2006-12-04 17:23 CET
Interesting ports on lns-th2-5f-81-56-198-85.adsl.proxad.net (81.56.198.85):
PORT STATE SERVICE
25/tcp open smtp

Nmap finished: 1 IP address (1 host up) scanned in 0.832 seconds

Achtung Minen, le port 25 est ouvert :/

Bonjour,
Non les adresses en expédition dans syslog me sont inconnues. Je ne
comprends pas pourquoi tu dis que mon adresse émet en rafale en faisant
un test nmap -p

J'ai mis "reject net fw tcp smpt" dans shorewall du serveur.
Pour l'instant relayhost=smtp.null.fr
Mais dès que je remets relayhost=smtp.free.fr la diffusion des spams
reprend.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Yann Lejeune

05/12/2006 à 17:10

On 2006/12/05-16:40(+0100), herve thibaud wrote :

Non les adresses en expédition dans syslog me sont inconnues. Je ne
comprends pas pourquoi tu dis que mon adresse émet en rafale en faisant
un test nmap -p

J'ai mis "reject net fw tcp smpt" dans shorewall du serveur.
Pour l'instant relayhost=smtp.null.fr
Mais dès que je remets relayhost=smtp.free.fr la diffusion des spams
reprend.

Il a utilisé nmap pour savoir si ton port 25 était ouvert. En l'occurence
oui.
Il y a de forte chance pour que ton serveur soit open relay. Remets ta conf
qui pose probleme, et test via les liens que tu pourras trouver sur [1].

Etant donné que free te limite lorsque tu en émets trop, ce tests sera plus
ou moins parlant...

Si tu ne veux pas que ton serveur soit utilisé depuis internet configure
correctement :
1. Ton firewall : si j'étais toi j'opérais en whitelist, j'interdis tout
puis j'ouvre au cas par cas.

2. ton postfix: regardes les options inet_interfaces dans ton main.conf
pour spécifier les adresses surlesquelles il doit écoute. Si tu veux
juste un smarthost (et rien depuis internet) mets juste 127.0.0.1 et
l'adresse de ton LAN.

Avec ces 2 points, personne sur internet ne pourra utiliser ton postfix
pour relayer des mails.

3. Ensuite lis un minimun la doc de postfix pour le configurer
correctement en smarthost.

[1] http://spamlinks.net/prevent-secure-relay-test.htm

--
Yann Lejeune

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

François Boisson

05/12/2006 à 17:20

Le Tue, 05 Dec 2006 16:40:23 +0100
herve thibaud a écrit:

J'ai mis "reject net fw tcp smpt" dans shorewall du serveur.
Pour l'instant relayhost=smtp.null.fr
Mais dès que je remets relayhost=smtp.free.fr la diffusion des spams
reprend.

N'as tu pas une machine windows dans ton réseau avec un virus dessus?
Ça y ressemble furieusement. Je te suggère d'écouter sur le réseau pour
voir de quelle machine viennent ces mails ou bien de consulter les logs
de postfix. A titre indicatif, une machine windows avec un virus est
capable d'envoyer près de 3000 à 4000 mails dans la journée.

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

fra-duf-no-spam

05/12/2006 à 18:00

Le Tue, 05 Dec 2006 16:40:23 +0100
herve thibaud a Ã©crit:

J'ai mis "reject net fw tcp smpt" dans shorewall du serveur.
Pour l'instant relayhost=smtp.null.fr
Mais dÃ¨s que je remets relayhost=smtp.free.fr la diffusion des sp ams
reprend.

N'as tu pas une machine windows dans ton rÃ©seau avec un virus dessus?
Ãa y ressemble furieusement. Je te suggÃ¨re d'Ã©couter sur l e rÃ©seau pour
voir de quelle machine viennent ces mails ou bien de consulter les logs
de postfix. A titre indicatif, une machine windows avec un virus est
capable d'envoyer prÃ¨s de 3000 Ã 4000 mails dans la journÃ© e.

Et pourquoi pas un virus sur le Debian lui-mÃªme ? Essayer chkrootkit
c'est l'adopter.

postfix : piratage ?

10 réponses

Veuillez sélectionner un problème