Forum Linux.débutant Alerte de spam par spamcop

Posté par doesit le 02 octobre 2015 à 11:03. Licence CC By‑SA.

Étiquettes : aucune

oct.

2015

Bonjour,

je viens de recevoir une alerte concernant mon serveur.
Il semblerait qu'il serve de relais d'envoi de spam.

effectivement j'ai bien des mails qui passent alors que ce n'ai pas moi.

MESSAGE FROM SPAMCOP:

CLICK 'BACK' BUTTON TO RETURN TO SPAMCOP
################################################################################
Received: from MONDOMAINE (MONIP) by admin.jettfuel.net with
 SMTP (EIMS X 3.3.9) for <x>;
 Thu, 1 Oct 2015 22:01:49 -0500
Message-ID: <OKXQ_________________CBLE@163.com>
From: "207.200.17.131" <ycinyjifojgdjf@163.com>
Reply-To: "207.200.17.131" <wpanudluxszf@163.com>
To: x
Subject: BC_207.200.17.131
Date: Fri, 02 Oct 2015 01:54:41 -0100
X-Mailer: Microsoft Outlook Express 5.00.2919.6700
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="--5371860820437407"
X-Priority: 3
X-MSMail-Priority: Normal

----5371860820437407
Content-Type: text/plain;
Content-Transfer-Encoding: quoted-printable



----5371860820437407--

MAIL.LOG:

Oct  2 10:35:01 MONDOMAINE dovecot: pop3-login: Disconnected (no auth attempts): rip=127.0.0.1, lip=127.0.0.1, secured
Oct  2 10:35:01 MONDOMAINE dovecot: imap-login: Disconnected (no auth attempts): rip=127.0.0.1, lip=127.0.0.1, secured
Oct  2 10:35:01 MONDOMAINE postfix/smtpd[27247]: connect from localhost[127.0.0.1]
Oct  2 10:35:02 MONDOMAINE postfix/smtpd[27247]: lost connection after CONNECT from localhost[127.0.0.1]
Oct  2 10:35:02 MONDOMAINE postfix/smtpd[27247]: disconnect from localhost[127.0.0.1]
Oct  2 10:35:14 MONDOMAINE postfix/smtpd[27247]: connect from MONDOMAINE.fr[MONIP]

Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<wqbjdfooetppypa362@163.com> to=<dng293@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>

Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<wqbjdfooetppypa362@163.com> to=<dng293@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>

Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: reject: RCPT from MONDOMAINE.fr[MONIP]: 554 5.7.1 <dng293@ara.seed.net>: Relay access denied; from=<wqbjdfooetppypa362@163.com> to=<dng293@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>

Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<wqbjdfooetppypa362@163.com> to=<hhmoon@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>

Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<wqbjdfooetppypa362@163.com> to=<hhmoon@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>

Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: reject: RCPT from MONDOMAINE.fr[MONIP]: 554 5.7.1 <hhmoon@ara.seed.net>: Relay access denied; from=<wqbjdfooetppypa362@163.com> to=<hhmoon@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>

Oct  2 10:35:16 MONDOMAINE postfix/smtpd[27247]: disconnect from MONDOMAINE.fr[MONIP]

Pour monter mon serveur j'ai suivi le tuto suivant:
https://www.howtoforge.com/perfect-server-ubuntu-12.10-apache2-bind-dovecot-ispconfig-3
Comment faire pour bloquer ce genres de choses ?
Auriez-vous une idée ?
Clamav ne trouve aucun trojan ou virus…

Si je ne trouve pas une solution avec 48h Online coupe mon serveur…

# dans l'ordre

Posté par NeoX le 02 octobre 2015 à 12:58. Évalué à 1.

Comment faire pour bloquer ce genres de choses ?

bloquer les envoies en provenance de machines non authentifiées.

en gros, seul une personne avec un login/pass peut envoyer des emails.
si ton site doit envoyer des emails, lui faire un login/pass specifique plutot que de laisser 127.0.0.1 envoyer des emails tout seul.

# résultat postconf -s

Posté par doesit le 02 octobre 2015 à 14:10. Évalué à 1. Dernière modification le 02 octobre 2015 à 14:34.

Et bien j'ai un system de login/pass pour les comptes mail, mais tu parles peut-être d'un autre système ?
Tu entends par "laisser 127.0.0.1 envoyer des emails tout seul" car dans la conf postfix il y à:
mynetworks = 127.0.0.0/8 [::1]/128 ??

J'avoue n’être particulièrement pas doué avec ce genre de système d'ou l'utilisation du tuto howtoforge pour l'installation.

Voici le résultat d'un postconf -n:

alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
append_dot_mydomain = no
biff = no
body_checks = regexp:/etc/postfix/body_checks
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = amavis:[127.0.0.1]:10024
dovecot_destination_recipient_limit = 1
header_checks = regexp:/etc/postfix/header_checks
html_directory = /usr/share/doc/postfix/html
inet_interfaces = all
inet_protocols = all
mailbox_size_limit = 0
maildrop_destination_concurrency_limit = 1
maildrop_destination_recipient_limit = 1
message_size_limit = 0
mime_header_checks = regexp:/etc/postfix/mime_header_checks
mydestination = localhost, localhost.localdomain
myhostname = MONDOMAINE.fr
mynetworks = 127.0.0.0/8 [::1]/128
myorigin = /etc/mailname
nested_header_checks = regexp:/etc/postfix/nested_header_checks
owner_request_special = no
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks
readme_directory = /usr/share/doc/postfix
receive_override_options = no_address_mappings
recipient_delimiter = +
relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf
relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf
relayhost =
smtp_tls_protocols = !SSLv2,!SSLv3
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_client_message_rate_limit = 100
smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = check_sender_access regexp:/etc/postfix/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf, check_sender_access regexp:/etc/postfix/tag_as_foreign.re
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
transport_maps = hash:/var/lib/mailman/data/transport-mailman, proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
virtual_alias_domains =
virtual_alias_maps = hash:/var/lib/mailman/data/virtual-mailman, proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, proxy:mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /var/vmail
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_transport = dovecot
virtual_uid_maps = static:5000

Peut-être une idée ??

PS: Comment mettre les parties de code entre balise type [code] [/code] pour ne pas faire des postes de 30km.

Cdt,
DOESIT

# permit_mynetworks

Posté par NeoX le 02 octobre 2015 à 14:37. Évalué à 2. Dernière modification le 02 octobre 2015 à 14:43.
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf
[…]
smtpd_sender_restrictions = check_sender_access regexp:/etc/postfix/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf, check_sender_access regexp:/etc/postfix/tag_as_foreign.re

le permit_mynetworks autorise la machine a envoyer, sans controle, des emails.

mais d'apres tes exemples, le relais est bien refusé. "relay denied" dans tes logs.

enfin, pour mettre des balises "code" autour d'extrait de config, ou de ligne de commande il faut utiliser ce qui est suggéré en bas de la page.

par exemple

```sh
echo "mon exemple de code shell"
```
```
echo "mon exemple de code shell"
```
PS : j'ai mis les balises autour de ton code/extrait de log
# les mails passent

Posté par doesit le 02 octobre 2015 à 14:55. Évalué à 1.
Ok mais pourtant des mails partent bien:
```
Oct  2 10:35:15 MONDOMAINE postfix/smtpd[27247]: NOQUEUE: filter: RCPT from MONDOMAINE.fr[MONIP]: <wqbjdfooetppypa362@163.com>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<wqbjdfooetppypa362@163.com> to=<dng293@ara.seed.net> proto=SMTP helo=<MONDOMAINE.fr>
```
Des mails du domaine qui a utilisé mon serveur d'ailleurs "@163.com"

Peut-être un trojan ou un truc de la sorte ?
J'ai fais un "clamscan -r / " et il n'avait rien trouvé !!

J'ai commenté la ligne :
```
#smtp      inet  n       -       -       -       -       smtpd
```
Peut-être qu'ils ne pourront plus passés car j'utilise submission et smtps, donc pas vraiment besoin de cela ?
- [^] # Re: les mails passent
  
  Posté par NeoX le 02 octobre 2015 à 21:18. Évalué à 2.
  
  non et non
  
  là ton email declenche seulement AMAVIS sur le port 10026
  
  et dans les logs precedemment cités, il passe :
  
  - dans amavis port 10026
  - dans amavis port 10024
  - puis est refusé en relais
  - [^] # Re: les mails passent
    
    Posté par doesit le 05 octobre 2015 à 08:51. Évalué à 1.
    
    Ok, au temps pour moi.
    Je vais me faire une bonne formation à la lecture des ces logs toujours trop obscures pour moi.
    - [^] # Re: les mails passent
      
      Posté par NeoX le 05 octobre 2015 à 10:58. Évalué à 2. Dernière modification le 05 octobre 2015 à 10:58.
      bah suffit de lire, dans l'ordre chronologique (ca tombe bien c'est l'ordre par defaut)
      idealement à partir de l'ID de l'email quand il existe.
      
      souvent en 2 grep.
      le premier pour trouver l'email (à partir de l'emetteur par exemple) et son ID (helas ici c'est NOQUEUE)
      puis dans un deuxieme temps, avec l'ID, pour trouver toutes les lignes de logs pour cet email.
      
      exemple de logs "normal" qui nous donne l'ID 3C14967DFE, et qui accepte l'email pour le transmettre à la machine suivante 'relay 192.168.1.99'
      
      Oct 5 10:43:46 proxy01 postfix/smtpd[9079]: connect from mail-lb0-f195.google.com[209.85.217.195] Oct 5 10:43:47 proxy01 postfix/smtpd[9079]: 3C14967DFE: client=mail-lb0-f195.google.com[209.85.217.195] Oct 5 10:43:47 proxy01 postfix/cleanup[9083]: 3C14967DFE: message-id=<CAMtZWb5+DC4kaGrkz5kJbVFxuL9wdxHEutvBaQXVf9818PGukw@mail.gmail.com> Oct 5 10:43:47 proxy01 postfix/qmgr[11393]: 3C14967DFE: from=<EMETTEUR@gmail.com>, size=3632, nrcpt=1 (queue active) Oct 5 10:43:47 proxy01 postfix/smtp[9084]: 3C14967DFE: to=<DESTINATAIRE@example.fr>, relay=192.168.1.99[192.168.1.99]:25, delay=0.23, delays=0.2/0/0.02/0.01, dsn=2.0.0, status=sent (250 Message accepted for delivery) Oct 5 10:43:47 proxy01 postfix/qmgr[11393]: 3C14967DFE: removed Oct 5 10:43:47 proxy01 postfix/smtpd[9079]: disconnect from mail-lb0-f195.google.com[209.85.217.195]

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.