2700 mails en 24 h qui a osé ?

[Taltos]

Bonjour !!

voila mon probleme:

les stats que m'envoie Clamcv tous les jours, affichent un nombre de mails considerable pour ma boite:

2700 mails/24 pour 50 personnes.

et je n'arrive pas a vraiment savoir si ils entrent ou sortent et a qui ils sont destinés.

si je regarde le log
Recipients in the best order for mailing lists

il m'indique cela:

...
0.09 29720 remote."<@cdg.fr
0.10 1 local.toto@srv1.cdg.fr
0.12 1 local.alias-localdelivery-prevention@cdg.fr
0.74 27 remote.tat@cdg.fr
0.79 29783 remote.<>@cdg.fr
0.86 15 remote.titi@cdg.fr

ca correspond a quoi ."< et .<> ????

Merci de votre aide !!

parceque la je nage un peu !!

[vanvan]

Si tu arrives à en capter au moins un, les entetes de message ça donne quoi ?

[Franck78]

Il serait pas open relay ton MTA ?

Tu parles des stats de clamcv. Tu dois bien avoir un log ailleurs pour confirmer les dire de ce produit ?


bye

[jibe]

Salut,

Une petite explication et un petit test qui peuvent t'être utiles

[Taltos]

je ne suis pas open relay, je m'en doutais a priori j'en suis presque sur maintenant.

(je tiens par mp a dispo le nom de mon domaine pour qui voudrais retester)


et j'ai toujours autant de mail qui sortent....

Reporting Period : 24.00 hrs
--------------------------------------------------

Total emails rejected : 12 ( 0.36%)
Problems : 0 ( 0.00%)
Quarantined : 12 (100.00%)
Total emails accepted : 3338 ( 99.64%)
-------------------
Total emails processed: 3350 ( 140/hr)


140h /h !!!!!!!!!!! c'est de la folie !!!!

ds les log j'ai ca:

ds le log:

statisitiques relatives aux destinataires

Code: Tout sélectionner

          2648              1           1            2.72            remote.toto@wanadoo.fr
          0                   1           1            10.60          remote.titi@boite.fr
          72535            10         10           2.66           remote.tata@maboite.fr
         0                    32101   32101      2825.15      remote."<@maboite.fr
        1.81519e+10    32177   32177      25816.36    remote.<>@maboite.fr


le nom maboite c'est le nom de mon domaine


statisitiques relatives aux envoyeurs:

Code: Tout sélectionner


9         108085           108085          108085            9         9        2.475616    401/<titi@wanadoo.fr>
9         46242            46242            46242              9         9        2.170716   401/<tat@cleaninter.net>
9         4628612         24382856       24382856        35        35      88.728416       401/<mn@voila.fr>
32209  1.81838e+10  1.81838e+10  1.81838e+10   32209  32209  25891.140757  406/<>
9         4058396         4058396        4058396           9        9         3.646235  406/<#@[]>
32204  1.81422e+10  98977            1.81422e+10   32204  32212  3259.021676  401/<<>>
3         3376557         3376557        3376557          3         3         211.188957  401/<t@maboite.fr>


Vous y comprenez quelque chose ?

les 2 adresses qui envoient tous les messges semblent etre <>@maboite.fr et <@maboite.fr !!

c'est quoi ce binsse ?

Merci de votre aide !!

[guytou]

Salut

AMHA ca ressemble a un virus de type netsky ou assimilé qui tourne sur une machine de ton reseau.



A+

[Taltos]

Salut

AMHA ca ressemble a un virus de type netsky ou assimilé qui tourne sur une machine de ton reseau.



A+

oui mais ds ce cas, je verais des mails sortant avec des adresses ne faisant pas parti de mon reseau ?

et puis je verais sortir sur des dizaines de mails diffrents

et puis en interne j'aurais fini par en chopper (80% de mes postes ont norton) et puis surtout clamv devait me les arreter !


et la il ne choppe que peux de virus !!

donc c'est forcement autre chose !

[Franck78]

Tu ne veux vraiment pas valider les dires de ton outils de stat ou parcourant les logs du serveur de messagerie ?
A défaut tu peux activer tcpdump sur le port 25.

Il faut commencer par déterminer la véracité de ton info, puis trouver la machine source !

Tes stats sont inutiles [pour nous du moins] !


Bye

[jibe]

Salut,

je ne suis pas open relay, je m'en doutais a priori j'en suis presque sur maintenant.

(je tiens par mp a dispo le nom de mon domaine pour qui voudrais retester)

Pourquoi 'presque" et pourquoi retesterions-nous ?
Je ne crois pas non plus à priori que ce soit un problème d'open relay. Pour en être sûr, je t'ai donné un lien sur un test en ligne qui ne prend que quelques secondes et qui te permet d'être sûr à 98% (tout n'est pas testé, mais ce qui ne l'est pas est très peu connu et n'est sûrement pas la cause de tes stats délirantes).

Le dépannage qui se base sur des a-priori, je n'y crois pas. Avec l'expérience, on a un pifomètre qui devient de plus en plus précis et qui permet souvent de découvrir rapidement le problème sans faire un tas de tests et de mesures. On est bien d'accord. Mais quand un problème persiste, il faut adopter une méthode cohérente et faire des tests systématiques.

Donc, prends les quelques minutes nécessaires pour vérifier ce qui t'a été suggéré :

1. T'assurer que tu n'es pas open relay avec le test de Thibaut.
2. Vérifier la validité de tes stats
3. Trouver la ou les bécanes émettrices de tous ces mails
4. T'assurer (pas d'a-priori Norton ou Clamav aurait dû détecter...] que tes postes clients n'ont ni virus ni spyware ou autre "malware".

Non seulement ça permettra au moins que nous n'ayons plus de doutes là dessus, mais en plus en effectuant tout cela tu pourrais remarquer (ou penser à) des choses intéressantes qui ouvriraient quelques pistes. Sans compter que si tu ne résous pas le problème (que les a-priori n'ont jamais empêchés ), le fait d'en avoir cerné l'origine le rendra plus simple à résoudre...

Allez, tiens-nous au courant, on reste à l'écoute.

[guytou]

Salut

@Jibe

Que voila un lien tres didactique.ca merite un grand bravo.

merci


A+

[Taltos]

j'entend, j'entend,....

pour l'open relay:

j'ai evidement fait les tests en open relay qui tu ma proposé. il sont tous negatifs, je ne suis pas open relais.

le "presque" vient de cela:

lorsque je fait nslookup -q=mx mondomaine.fr 194.2.0.20

je ne comprendd pas tout de la reponse...

I:\>nslookup -q=mx mondomaine.fr 194.2.0.20
Serveur : ns-cache0.oleane.net
Address: 194.2.0.20

Réponse ne faisant pas autorité :
mondomaine.fr MX preference = 5, mail exchanger = smtp2.extranet.oleane.net

mondomaine.fr nameserver = ns2.oleane.net
mondomaine.fr nameserver = ns3.oleane.net
smtp2.extranet.oleane.net internet address = 213.56.31.29
smtp2.extranet.oleane.net internet address = 213.56.31.30
ns2.oleane.net internet address = 194.2.0.2
ns3.oleane.net internet address = 194.250.249.14

evidement aucune de ces adresses la n'est celle que j'ai coté WAN...

Avec oleane, c'est paas forcement tres simple....

Voila pour le coté open relais.

pour le reste, je continue a investiguer

[Gandalf]

Salut,

Une petite explication et un petit test qui peuvent t'être utiles

Je profite de ce post et du lien très intéressant que nous donne Jibe : je viens de tester sur mon serveur de mail, avec l'IP publique fixe tous les tests sont négatifs, et avec le nom de domaine il m'annonce que mon serveur est open relay car la règle 26/28 est OK !

Je ne saisis pas tout .....

[jibe]

Salut,

Que voila un lien tres didactique.ca merite un grand bravo.

Oui : à l'auteur Thibaut Maquet

je viens de tester sur mon serveur de mail, avec l'IP publique fixe tous les tests sont négatifs, et avec le nom de domaine il m'annonce que mon serveur est open relay car la règle 26/28 est OK

Effectivement, c'est un peu curieux. Bon, je n'ai plus en tête les tests effectués et il semble qu'il y ait un petit souci ce soir : je n'arrive pas à refaire un test. Bon, en gros, les tests sont de plus en plus sévères et un mauvais résultat sur les derniers n'est pas catastrophique : ce sont des cas un peu vicieux d'utilisation en relais d'un serveur smtp (tu peux voir quel est précisément le test effectué d'après le rapport).

Reste que ton histoire est un peu curieuse... Je vais contacter Thibaut pour lui demander des explications.

@ Taltos : Je ne suis pas assez compétent pour interpréter les résultats effectivement un peu surprenants de nslookup... Ils ont certainement une explication, reste à la connaitre et surtout à savoir si c'est une piste à creuser ou non. Je pense qu'en attendant que quelqu'un lève le voile sur ce mystère, il faut regarder les autres points faciles à vérifier...

[jibe]

Salut,

Je vais contacter Thibaut pour lui demander des explications.

Il vient de m'informer qu'il n'a pas le temps pour le moment et qu'il regardera ça ce week-end. Je tiendrai au courant ici... A moins qu'il ne publie lui-même...

[Gandalf]

Il vient de m'informer qu'il n'a pas le temps pour le moment et qu'il regardera ça ce week-end. Je tiendrai au courant ici... A moins qu'il ne publie lui-même...

Merci Jibe !