L'ip de mon serveur exchange s'est fait blacklisté plusieurs fois cette
semaine.
J'aimerais avoir votre avis car je n'ai pas encore trouvé d'où ça peut
venir.
. J'ai vérifié que mon serveur n'est pas un relai ouvert :
http://support.microsoft.com/kb/324958/fr
. J'ai changé le psw de tous les comptes AD.
. Mon serveur exchange ainci que les PC de mon LAN sont protégés avec ESET
NOD32. j'ai un FW devant Exchange. Exchange est configuré avec IMF.
Un destinataire ayant reçu un SPAM m'a forwardé le corps de l'email :
> MIME-Version: 1.0
> Content-Type: text/plain;
> charset="Windows-1251"
> Content-Transfer-Encoding: 7bit
> X-Priority: 1
> X-MSMail-Priority: High
> X-Mailer: Microsoft Outlook Express 6.00.2800.1081
> X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
Cela veut-il dire que l'email a été envoyé depuis un PC avec Outlook Express
?
Ou bien est-ce que le destinataire utilise Outlook express ?
J'ai activé le log d'exchange pour déterminer si un utilisateur authentifié
relaie du courrier électronique, mais je n'ai quasiment aucun eventid
#1708..
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Thierry MILLE [MVP]
"Akut" a écrit dans le message de news:4776dffe$0$9621$
Bonjour,
L'ip de mon serveur exchange s'est fait blacklisté plusieurs fois cette semaine. J'aimerais avoir votre avis car je n'ai pas encore trouvé d'où ça peut venir.
Regardez dans quelles listes noires vous êtes listés :
=> utilisation de plusieurs listes http://www.robtex.com/rbl/127.0.0.2.html (changez 127.0.0.2 par votre adresse IP publique)
=> en bloquent beaucoup (les clients qui l'utilisent ne doivent pas recevoir beaucoup de courriers ... légitimes) : http://www.mail-abuse.com/lookup.html
=> Info sur la connexion : http://openrbl.org/query?i7.0.0.2 ou http://samspade.org/
Cordialement
-- Thierry MILLE [MVP]
"Akut" <akut@nyc.rr.com> a écrit dans le message de
news:4776dffe$0$9621$4c368faf@roadrunner.com...
Bonjour,
L'ip de mon serveur exchange s'est fait blacklisté plusieurs fois cette
semaine.
J'aimerais avoir votre avis car je n'ai pas encore trouvé d'où ça peut
venir.
Regardez dans quelles listes noires vous êtes listés :
=> utilisation de plusieurs listes
http://www.robtex.com/rbl/127.0.0.2.html (changez 127.0.0.2 par votre
adresse IP publique)
=> en bloquent beaucoup (les clients qui l'utilisent ne doivent pas recevoir
beaucoup de courriers ... légitimes) :
http://www.mail-abuse.com/lookup.html
"Akut" a écrit dans le message de news:4776dffe$0$9621$
Bonjour,
L'ip de mon serveur exchange s'est fait blacklisté plusieurs fois cette semaine. J'aimerais avoir votre avis car je n'ai pas encore trouvé d'où ça peut venir.
Regardez dans quelles listes noires vous êtes listés :
=> utilisation de plusieurs listes http://www.robtex.com/rbl/127.0.0.2.html (changez 127.0.0.2 par votre adresse IP publique)
=> en bloquent beaucoup (les clients qui l'utilisent ne doivent pas recevoir beaucoup de courriers ... légitimes) : http://www.mail-abuse.com/lookup.html
=> Info sur la connexion : http://openrbl.org/query?i7.0.0.2 ou http://samspade.org/
Cordialement
-- Thierry MILLE [MVP]
Akut
"Thierry MILLE [MVP]" a écrit dans le message de news:
Regardez dans quelles listes noires vous êtes listés : => utilisation de plusieurs listes http://www.robtex.com/rbl/127.0.0.2.html (changez 127.0.0.2 par votre adresse IP publique)
=> en bloquent beaucoup (les clients qui l'utilisent ne doivent pas recevoir beaucoup de courriers ... légitimes) : http://www.mail-abuse.com/lookup.html
=> Info sur la connexion : http://openrbl.org/query?i7.0.0.2 ou http://samspade.org/
Mon problème c'est plutôt de trouver la machine qui emet du spam sur mon réseau. J'arrive à me désinscrire pour le blacklisting, mais ça revient quelques heures plus tard..
Akut.
"Thierry MILLE [MVP]" <msnews@lab-os.com> a écrit dans le message de news:
B2A77DF1-0EE7-40C4-9112-DC7A55971548@microsoft.com...
Regardez dans quelles listes noires vous êtes listés :
=> utilisation de plusieurs listes
http://www.robtex.com/rbl/127.0.0.2.html (changez 127.0.0.2 par votre
adresse IP publique)
=> en bloquent beaucoup (les clients qui l'utilisent ne doivent pas
recevoir beaucoup de courriers ... légitimes) :
http://www.mail-abuse.com/lookup.html
=> Info sur la connexion :
http://openrbl.org/query?i7.0.0.2 ou http://samspade.org/
Mon problème c'est plutôt de trouver la machine qui emet du spam sur mon
réseau.
J'arrive à me désinscrire pour le blacklisting, mais ça revient quelques
heures plus tard..
"Thierry MILLE [MVP]" a écrit dans le message de news:
Regardez dans quelles listes noires vous êtes listés : => utilisation de plusieurs listes http://www.robtex.com/rbl/127.0.0.2.html (changez 127.0.0.2 par votre adresse IP publique)
=> en bloquent beaucoup (les clients qui l'utilisent ne doivent pas recevoir beaucoup de courriers ... légitimes) : http://www.mail-abuse.com/lookup.html
=> Info sur la connexion : http://openrbl.org/query?i7.0.0.2 ou http://samspade.org/
Mon problème c'est plutôt de trouver la machine qui emet du spam sur mon réseau. J'arrive à me désinscrire pour le blacklisting, mais ça revient quelques heures plus tard..
Akut.
Thierry MILLE [MVP]
"Akut" a écrit dans le message de news:4777ba29$0$4330$
"Thierry MILLE [MVP]" a écrit dans le message de news:
Mon problème c'est plutôt de trouver la machine qui emet du spam sur mon
réseau. J'arrive à me désinscrire pour le blacklisting, mais ça revient quelques heures plus tard..
Est ce qu'au niveau du pare feu externe : seul le serveur Exchange peut envoyer du courrier (SMTP) ?
Eventuellement, commencez par là (ou journalisez les reqûetes provenant de vos machines internes vers le réseau externe sur le port 25 en TCP).
Demandez aussi les entêtes complètes à votre contact qui a été spammé : depuis OE => Ctrl + F3 Ctrl +A puis Ctrl +C Coller le résultat
Si le message passe par votre serveur : recherchez le message par son MID (si vous aviez activé le suivi des messages au niveau du serveur Exchange).
Cordialement
-- Thierry MILLE [MVP]
"Akut" <akut@nyc.rr.com> a écrit dans le message de
news:4777ba29$0$4330$4c368faf@roadrunner.com...
"Thierry MILLE [MVP]" <msnews@lab-os.com> a écrit dans le message de news:
B2A77DF1-0EE7-40C4-9112-DC7A55971548@microsoft.com...
Mon problème c'est plutôt de trouver la machine qui emet du spam sur mon
réseau.
J'arrive à me désinscrire pour le blacklisting, mais ça revient quelques
heures plus tard..
Est ce qu'au niveau du pare feu externe : seul le serveur Exchange peut
envoyer du courrier (SMTP) ?
Eventuellement, commencez par là (ou journalisez les reqûetes provenant de
vos machines internes vers le réseau externe sur le port 25 en TCP).
Demandez aussi les entêtes complètes à votre contact qui a été spammé :
depuis OE => Ctrl + F3
Ctrl +A puis Ctrl +C
Coller le résultat
Si le message passe par votre serveur : recherchez le message par son MID
(si vous aviez activé le suivi des messages au niveau du serveur Exchange).
"Akut" a écrit dans le message de news:4777ba29$0$4330$
"Thierry MILLE [MVP]" a écrit dans le message de news:
Mon problème c'est plutôt de trouver la machine qui emet du spam sur mon
réseau. J'arrive à me désinscrire pour le blacklisting, mais ça revient quelques heures plus tard..
Est ce qu'au niveau du pare feu externe : seul le serveur Exchange peut envoyer du courrier (SMTP) ?
Eventuellement, commencez par là (ou journalisez les reqûetes provenant de vos machines internes vers le réseau externe sur le port 25 en TCP).
Demandez aussi les entêtes complètes à votre contact qui a été spammé : depuis OE => Ctrl + F3 Ctrl +A puis Ctrl +C Coller le résultat
Si le message passe par votre serveur : recherchez le message par son MID (si vous aviez activé le suivi des messages au niveau du serveur Exchange).
Cordialement
-- Thierry MILLE [MVP]
Akut
"Thierry MILLE [MVP]" a écrit dans le message de news:
Est ce qu'au niveau du pare feu externe : seul le serveur Exchange peut envoyer du courrier (SMTP) ?
Eventuellement, commencez par là (ou journalisez les reqûetes provenant de vos machines internes vers le réseau externe sur le port 25 en TCP).
ce n'était pas le cas, je viens de modifier la règle. à présent, à part le serveur exchange, rien du LAN ne peut accéder vers l'extérieur sur le port 25. merci.
Demandez aussi les entêtes complètes à votre contact qui a été spammé : depuis OE => Ctrl + F3 Ctrl +A puis Ctrl +C Coller le résultat
Si le message passe par votre serveur : recherchez le message par son MID (si vous aviez activé le suivi des messages au niveau du serveur Exchange).
comment savoir si ça passe par exchange ? voici l'en-tête :
--------------------------- From Mon Dec 17 11:58:54 2007 Return-Path: Received: from monserveur.com (monserveur.com [MA_PUBLIC_IP]) by w6yx.stanford.edu (8.13.8/8.13.8) with ESMTP id lBHJwm1S015457 or ; Mon, 17 Dec 2007 11:58:54 -0800 (PST) (envelope-from ) Received: from User ([67.37.18.250]) by monserveur.com with Microsoft SMTPSVC(6.0.3790.1830); Mon, 17 Dec 2007 14:58:47 -0500 Reply-To: From: "Internal Revenue Service" Subject: SPAM Date: Mon, 17 Dec 2007 14:58:44 -0500 MIME-Version: 1.0 Content-Type: text/plain; charset="Windows-1251" Content-Transfer-Encoding: 7bit X-Priority: 1 X-MSMail-Priority: High X-Mailer: Microsoft Outlook Express 6.00.2800.1081 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081 Bcc: Message-ID: X-OriginalArrivalTime: 17 Dec 2007 19:58:48.0304 (UTC) FILETIME=[3CE0AF00:01C840E7] Status: RO ---------------------------
Merci, Akut
"Thierry MILLE [MVP]" <msnews@lab-os.com> a écrit dans le message de news:
D6DF24A0-E8AE-41E3-962D-A37DB559D4D0@microsoft.com...
Est ce qu'au niveau du pare feu externe : seul le serveur Exchange peut
envoyer du courrier (SMTP) ?
Eventuellement, commencez par là (ou journalisez les reqûetes provenant de
vos machines internes vers le réseau externe sur le port 25 en TCP).
ce n'était pas le cas, je viens de modifier la règle.
à présent, à part le serveur exchange, rien du LAN ne peut accéder vers
l'extérieur sur le port 25.
merci.
Demandez aussi les entêtes complètes à votre contact qui a été spammé :
depuis OE => Ctrl + F3
Ctrl +A puis Ctrl +C
Coller le résultat
Si le message passe par votre serveur : recherchez le message par son MID
(si vous aviez activé le suivi des messages au niveau du serveur
Exchange).
comment savoir si ça passe par exchange ?
voici l'en-tête :
---------------------------
From refund@irs.gov Mon Dec 17 11:58:54 2007
Return-Path: <refund@irs.gov>
Received: from monserveur.com (monserveur.com [MA_PUBLIC_IP])
by w6yx.stanford.edu (8.13.8/8.13.8) with ESMTP id lBHJwm1S015457
or <usenet@w6yx.stanford.edu>; Mon, 17 Dec 2007 11:58:54 -0800 (PST)
(envelope-from refund@irs.gov)
Received: from User ([67.37.18.250]) by monserveur.com with Microsoft
SMTPSVC(6.0.3790.1830);
Mon, 17 Dec 2007 14:58:47 -0500
Reply-To: <do-not-reply@irs.gov>
From: "Internal Revenue Service"<refund@irs.gov>
Subject: SPAM
Date: Mon, 17 Dec 2007 14:58:44 -0500
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
Bcc:
Message-ID: <SBS2003g7ZoNxbxfiIB0000222d@monserveur.com>
X-OriginalArrivalTime: 17 Dec 2007 19:58:48.0304 (UTC)
FILETIME=[3CE0AF00:01C840E7]
Status: RO
---------------------------
"Thierry MILLE [MVP]" a écrit dans le message de news:
Est ce qu'au niveau du pare feu externe : seul le serveur Exchange peut envoyer du courrier (SMTP) ?
Eventuellement, commencez par là (ou journalisez les reqûetes provenant de vos machines internes vers le réseau externe sur le port 25 en TCP).
ce n'était pas le cas, je viens de modifier la règle. à présent, à part le serveur exchange, rien du LAN ne peut accéder vers l'extérieur sur le port 25. merci.
Demandez aussi les entêtes complètes à votre contact qui a été spammé : depuis OE => Ctrl + F3 Ctrl +A puis Ctrl +C Coller le résultat
Si le message passe par votre serveur : recherchez le message par son MID (si vous aviez activé le suivi des messages au niveau du serveur Exchange).
comment savoir si ça passe par exchange ? voici l'en-tête :
--------------------------- From Mon Dec 17 11:58:54 2007 Return-Path: Received: from monserveur.com (monserveur.com [MA_PUBLIC_IP]) by w6yx.stanford.edu (8.13.8/8.13.8) with ESMTP id lBHJwm1S015457 or ; Mon, 17 Dec 2007 11:58:54 -0800 (PST) (envelope-from ) Received: from User ([67.37.18.250]) by monserveur.com with Microsoft SMTPSVC(6.0.3790.1830); Mon, 17 Dec 2007 14:58:47 -0500 Reply-To: From: "Internal Revenue Service" Subject: SPAM Date: Mon, 17 Dec 2007 14:58:44 -0500 MIME-Version: 1.0 Content-Type: text/plain; charset="Windows-1251" Content-Transfer-Encoding: 7bit X-Priority: 1 X-MSMail-Priority: High X-Mailer: Microsoft Outlook Express 6.00.2800.1081 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081 Bcc: Message-ID: X-OriginalArrivalTime: 17 Dec 2007 19:58:48.0304 (UTC) FILETIME=[3CE0AF00:01C840E7] Status: RO ---------------------------
Merci, Akut
Thierry MILLE [MVP]
"Akut" a écrit dans le message de news:4777d073$0$8806$
"Thierry MILLE [MVP]" a écrit dans le message de news:
comment savoir si ça passe par exchange ? voici l'en-tête :
Les entêtes de lisent du bas vers le haut :
Received: from monserveur.com (monserveur.com [MA_PUBLIC_IP]) by w6yx.stanford.edu (8.13.8/8.13.8) with ESMTP id lBHJwm1S015457 or ; Mon, 17 Dec 2007 11:58:54 -0800 (PST) (envelope-from ) Received: from User ([67.37.18.250]) by monserveur.com with Microsoft SMTPSVC(6.0.3790.1830);
Qui est User ? un utilisateur sur une machine dont l'utilisateur est authentifé pour relayer ? Dans ce courrier : un utilisateur depuis l'adresse IP 67.37.18.250 a relayé un message vers le serveur Exchange. Ce message a été ensuite relayé vers le serveur de l'université de Stanford.
Pourriez vous vérifiez sous l'onglet Connexions de votre serveur SMTP qu'au niveau Relais : seules les plages d'adresses IP internes (conformes à la RFC1918) peuvent relayer ?
Eventuellement, envoyez moi votre adresse IP publique à mon adresse "perso".
Cordialement
-- Thierry MILLE [MVP]
"Akut" <akut@nyc.rr.com> a écrit dans le message de
news:4777d073$0$8806$4c368faf@roadrunner.com...
"Thierry MILLE [MVP]" <msnews@lab-os.com> a écrit dans le message de news:
D6DF24A0-E8AE-41E3-962D-A37DB559D4D0@microsoft.com...
comment savoir si ça passe par exchange ?
voici l'en-tête :
Les entêtes de lisent du bas vers le haut :
Received: from monserveur.com (monserveur.com [MA_PUBLIC_IP])
by w6yx.stanford.edu (8.13.8/8.13.8) with ESMTP id lBHJwm1S015457
or <usenet@w6yx.stanford.edu>; Mon, 17 Dec 2007 11:58:54 -0800 (PST)
(envelope-from refund@irs.gov)
Received: from User ([67.37.18.250]) by monserveur.com with Microsoft
SMTPSVC(6.0.3790.1830);
Qui est User ? un utilisateur sur une machine dont l'utilisateur est
authentifé pour relayer ?
Dans ce courrier :
un utilisateur depuis l'adresse IP 67.37.18.250 a relayé un message vers le
serveur Exchange. Ce message a été ensuite relayé vers le serveur de
l'université de Stanford.
Pourriez vous vérifiez sous l'onglet Connexions de votre serveur SMTP qu'au
niveau Relais : seules les plages d'adresses IP internes (conformes à la
RFC1918) peuvent relayer ?
Eventuellement, envoyez moi votre adresse IP publique à mon adresse "perso".
"Akut" a écrit dans le message de news:4777d073$0$8806$
"Thierry MILLE [MVP]" a écrit dans le message de news:
comment savoir si ça passe par exchange ? voici l'en-tête :
Les entêtes de lisent du bas vers le haut :
Received: from monserveur.com (monserveur.com [MA_PUBLIC_IP]) by w6yx.stanford.edu (8.13.8/8.13.8) with ESMTP id lBHJwm1S015457 or ; Mon, 17 Dec 2007 11:58:54 -0800 (PST) (envelope-from ) Received: from User ([67.37.18.250]) by monserveur.com with Microsoft SMTPSVC(6.0.3790.1830);
Qui est User ? un utilisateur sur une machine dont l'utilisateur est authentifé pour relayer ? Dans ce courrier : un utilisateur depuis l'adresse IP 67.37.18.250 a relayé un message vers le serveur Exchange. Ce message a été ensuite relayé vers le serveur de l'université de Stanford.
Pourriez vous vérifiez sous l'onglet Connexions de votre serveur SMTP qu'au niveau Relais : seules les plages d'adresses IP internes (conformes à la RFC1918) peuvent relayer ?
Eventuellement, envoyez moi votre adresse IP publique à mon adresse "perso".
Cordialement
-- Thierry MILLE [MVP]
Akut
Qui est User ? un utilisateur sur une machine dont l'utilisateur est authentifé pour relayer ?
je ne sais pas. mon serveur n'est pourtant pas un open relay.
Dans ce courrier : un utilisateur depuis l'adresse IP 67.37.18.250 a relayé un message vers le serveur Exchange. Ce message a été ensuite relayé vers le serveur de l'université de Stanford.
Pourriez vous vérifiez sous l'onglet Connexions de votre serveur SMTP qu'au niveau Relais : seules les plages d'adresses IP internes (conformes à la RFC1918) peuvent relayer ?
c'est bien le cas oui.
Eventuellement, envoyez moi votre adresse IP publique à mon adresse "perso".
Ok, merci.
Akut/
Qui est User ? un utilisateur sur une machine dont l'utilisateur est
authentifé pour relayer ?
je ne sais pas. mon serveur n'est pourtant pas un open relay.
Dans ce courrier :
un utilisateur depuis l'adresse IP 67.37.18.250 a relayé un message vers
le serveur Exchange. Ce message a été ensuite relayé vers le serveur de
l'université de Stanford.
Pourriez vous vérifiez sous l'onglet Connexions de votre serveur SMTP
qu'au niveau Relais : seules les plages d'adresses IP internes (conformes
à la RFC1918) peuvent relayer ?
c'est bien le cas oui.
Eventuellement, envoyez moi votre adresse IP publique à mon adresse
"perso".
Qui est User ? un utilisateur sur une machine dont l'utilisateur est authentifé pour relayer ?
je ne sais pas. mon serveur n'est pourtant pas un open relay.
Dans ce courrier : un utilisateur depuis l'adresse IP 67.37.18.250 a relayé un message vers le serveur Exchange. Ce message a été ensuite relayé vers le serveur de l'université de Stanford.
Pourriez vous vérifiez sous l'onglet Connexions de votre serveur SMTP qu'au niveau Relais : seules les plages d'adresses IP internes (conformes à la RFC1918) peuvent relayer ?
c'est bien le cas oui.
Eventuellement, envoyez moi votre adresse IP publique à mon adresse "perso".