probleme avec abuse@orange.fr

[benjy31]

Bonjour,

J'ai un probleme avec orange j'ai recu un premier mail de abuse@orange.fr pour me dire que mon PC contenait des virus et des spams que j'envoyai sur internet sauf que j'ai fait analyse antivirus sur tout les pc et que je n'ai aucun virus.

J'ai un serveur sous SME-SERVEUR 7 et que je m'en sert comme serveur web et serveur de messagerie j'ai donc sur ma livebox les port 110, 25, 80 et 21 ouvert (juste en TCP) pour la reception de mail et l'envoie ainsi que pour le site internet et le FTP.

Pour moi je pense que c'est a cause des port ouvert mais si je les ferme sa ne marchera plus.

J'aimerai savoir se que je doit faire?

Je vous decris mon installation :

LIVEBOX ----------> IPCop 1.4.11 -----> SME-SERVEUR 7
_____________|_____________|------> PCs
_____________|---> PCs


Ma SME-SERVEUR 7 est en DMZ derriere la IPCop.
J'ai des PC en reseau juste derrière le livebox et apres la IPCop en zone vert.

Merci d'avance.

[Franck78]

Pour moi je pense que c'est a cause des port ouvert mais si je les ferme sa ne marchera plus.

Ben c'est encore heureux non

J'aimerai savoir se que je doit faire?

Croire orange! Comme tu associes 110 au serveur de messagerie et qu'il est ouvert ce port, j'en conclue que tu ne maitrises pas vraiment la situation.

Tu es surement relais ouvert ou autre joyeuseté du genre si vraiment tu n'as aucun virus/malware.

=> http://assiste.com
=> http://christian.caleca.free.fr


Bye

[jdh]

Il y a 2 ans j'ai écrit à plusieurs reprises à mon fournisseur (Neuf) pour leur signaler les mails avec virus (le même) que m'envoyait un autre client Neuf situé à Bordeaux. J'ai donc fourni les entêtes de mails (répétés) où apparaissant la même adresse ip situé à Bordeaux (traceroute). Il n'ont rien voulu savoir. (Je préfère écrire ça plutôt que de parler d'incompétence). En plus les mails reçus arrivaient à une adresse mail qui n'est pas exactement la mienne (une lettre d'écart). Cela s'est arreté au bout de 3 à 4 mois. Mais depuis je reçois une foule de spam avec cette adresse (et j'en reçois beaucoup moins avec ma vraie adresse).

Donc déjà c'est une chance qu'Orange écrive et qu'il est certain que ce soit vrai.

Comme l'écrit Franck78, il y a 2 explications simples :

- soit ton serveur SME7 (serveur de mail) est en "open-relay" (ce qui est "mal"),
- soit un PC héberge un virus qui spamme à ton insu (ce qui est aussi "mal").

Dans le deuxième cas, tu passes sérieusement un antivirus, antispy, antiadware, ...

Dans le premier cas un peu de recherche ("mail relay testing") donne plusieurs sites où tu testeras cette situation. Je suppose que c'est le cas. Donc soit tu fermes le forwarding SMTP (TCP/25) soit tu verrouilles le serveur mail (de la SME7) pourqu'il ne soit pas en "open-relay". (Je considère que cela ne sert à rien ou pas grand chose d'héberger son propre domaine mail pour un particulier même si l'"effort" de le créer est intéressant). Cf paramêtres de QMail qui est le serveur mail de SME7.

(Il parait assez étrange que QMail de SME7 soit configuré de base pour fonctionner en open-relay.)

Enfin tu configures le serveur mail pour qu'il utilise smtp.orange.fr comme relais ("prophylaxie" générale pour les utilisateurs ADSL qui hébergent des mails ou qui utilisent un serveur mail interne).

NB : je confirme qu'il y a des ports ouverts en trop : http=TCP/80, ftp=TCP/21, smtp=TCP/25 (inutile ?), pop3=TCP/110 (inutile !).

[Gaston]

Salut,

(Il parait assez étrange que QMail de SME7 soit configuré de base pour fonctionner en open-relay.)

Non, non je te rassure, c'est pas le cas (je crois que c'était sur abuse.net)

Code: Tout sélectionner

Relay test result All tests performed, no relays accepted.

Donc si pour benjy31 c'est pas le cas, c'est qu'il a bidouillé la config sans savoir

"]Enfin tu configures le serveur mail pour qu'il utilise smtp.orange.fr comme relais ("prophylaxie" générale pour les utilisateurs ADSL qui hébergent des mails ou qui utilisent un serveur mail interne).

tout à fait d'accord

G.

[jdh]

Gaston, tu as bien compris le sens de ma réflexion : je suis certain que la config initiale de QMail est bien prévu pour qu'il n'y ait pas d'"open-relay".

[antolien]

Ma SME-SERVEUR 7 est en DMZ derriere la IPCop.

J'ai des PC en reseau juste derrière le livebox

et apres la IPCop en zone vert.

je ne suis pas sur d'avoir compris la configuration.

Si tu as des pc juste derrière la livebox où même juste derrière ipcop, il faut faire attention car tout est ouvert vers internet.
il suffit d'un virus où spyware qui a son propre moteur smtp pour tout envoyer directement vers internet.

en attendant, je serait toi, je bloquerait le smtp port 25 en forward sur ipcop , et déplacerait les pc "directement derrière la livebox" en zone verte ipcop.

Et je demanderais aussi des logs/preuves entêtes de la part d'orange car j'ai déjà vu ce genre de problème jusqu'au bloquage de la ligne internet alors qu'il n'y avait aucun virus, protégé par un firewall.
quelques commandes iptables te seront utiles si tu as besoin, demande.
bien regarder tes ip publiques en fonction des horraires, et logger tout le traffic smtp.
et insister auprès d'orange pour qu'ils prouvent leur dire avec des données précises. en leur donnant tes logs.
a savoir que le service abuse chez wanadoo a tout les droits et n'est pas joignable.

bon courage.

[benjy31]

Merci de vos reponces

Si je ferme les ports 110 et 25 le serveur mail ne pourra plus ni envoyer ni recevoir les mails ?

DSL je suis un peut newbi.

Et se serveur mail et se site internet est pour une association et non par pour un particulier.


Ou est le fichier pour mettre le smtp de orange dans ma sme ?


Merci a vous tous

[fraedhrim]

Salut,

En fait un serveur de mail n'utilise pas le port TCP 110 qui correspond au POP3. Il utilise pour envoyer et recevoir le port TCP 25. C'est à dire que pour envoyer un mail à un serveur il se connecte sur le port TCP 25 de ce serveur et que quand il reçoit un mail le serveur qui lui envoie se connecte sur son port TCP 25 à lui.

Quand au serveur SMTP de Orange ça se positionne dans une page de l'interface web d'administration le champ est un truc du genre "Serveur SMTP du FAI". Attention il faut utiliser les DNS de Orange pour que ça marche (il y a des sujets récents dans le forum là-dessus et je n'ai pas encore envie de me répéter).

Quoiqu'il en soit à moins que tu sois attaché à IPCOP pour des raisons techniques et/ou de fonctionnalités pour débuter je te conseillerais plutôt d'utiliser seulement la SME en serveur/gateway et de mettre tout tes PC derrière ça sera plus simple. Tu pourras toujours monter une archi IPCOP+SME plus tard.
Ou alors si tu y tiens vraiment tu peux mettre la SME en server only et le tout derriere IPCOP dans le green avec les PC. Mettre des PC en orange et en green ne va t'apporter que des ennuis.

Et pour finir es-tu vraiment sur de l'inocuité de tes postes clients ? Pasque la SME servant de relais je n'y crois pas trop. En général c'est plutôt un poste client vérolé.

A+

[benjy31]

Merci pour toute ses infos, je vai commencer par ferme le port 110 qui ne me sert a rien et tester comme sa avant et pour mon nom de domaine j'utilise xname pour me fournir les DNS donc si je comprend bien j'ai juste a prendre ceux d'orange pour les mettre dans mon registrar et mettre en smtp orange dans mon sme et tout est nikel.


Je te remercie pour ses infos

[jdh]

Voilà la sagesse ! Merci Fraedhim.

Le relais mail serait possible que si tu as bricolé la config. C'est surement le plus grave.

Un PC infecté est la cause la plus probable même si c'est la conséquence d'une certaine inconscience et qu'il n'y a pas de quoi être fier. On l'a tous été une fois alors ce n'est pas très grave.

(Tu seras bien aimable de conclure avec ce que tu auras trouvé.)


Sinon cela confirme qu'un firewall (même IPCOP) qui ne fait pas de filtrage en sortie est une source de problème. Ici le filtrage nécessaire est (ou était) "seul le serveur de mail est autorisé à envoyer des mails=TCP/25". (Je sais je radote Franck78 )

[benjy31]

je vien de fermer le port 110 donc je pense que sa ira deja mieux

Merci tout le monde pour cette aide maintenant il faut que j'utilise les DNS d'orange pour mettre dans mon registrar et non celle de xname

[jdh]

Tu n'as rien compris : il FAUT fermer le port TCP/25 si tu n'héberges pas de mails accessibles d'internet.

De toute façon c'est d'ABORD ce qu'il faut faire quitte à ne pas recevoir de mails le temps de nettoyer.

Puis il FAUT vérifier CHACUN de tes micros internes.


C'est à cause d'inconscience de ce type que l'on reçoit de plus en plus de spam !!!



Bien sur qu'il faut fermer le port TCP/110 dont on ne voit pas bien l'intéret (puisque c'est le protocole de récupération de mails à partir d'un logiciel tel Thunderbird ou Outlook) !

Fraedhrim a tout écrit ...

[Gaston]

pour mon nom de domaine j'utilise xname pour me fournir les DNS donc si je comprend bien j'ai juste a prendre ceux d'orange pour les mettre dans mon registrar

Mon dieu non !!! ! ! ! !! !
Il faut que tu comprennes qu'il existe différents réseaux plus ou moins "disjoint" (enfin on essaie de les garder les plus hermétiques possibles) :
- ton réseau interne, derriere ta SME
- le réseau privé (pour les clients) Orange entre toi et l'Internet, devant ta SME
- Internet, de l'autre côté d'Orange

xname te sert à configurer la résolution d'adresse pour ton nom de domaine sur INTERNET. C'est cette configuration qui est utilisé de l'autre côté d'Orange et sur le réseau que j'ai appelé privé d'Orange.
C'est grace à cette configuration chez ton registar, que la communauté est à même de visiter ton site, de t'envoyer du mail, ... si la config est bonne aujourdh'ui ne la change pas

Orange utilise (comme tu le ferras bientôt) deux système de résolution d'@IP:
- d'un côté les DNS qui connaissent les adresses publiques des serveurs Orange : celle que tout le monde, sur Internet, doit connaitre pour correspondre avec eux
- de l'autre côté des DNS qui connaissent les adresses privées des serveurs Orange : celle que tous les clients Orange doivent utiliser si ils veulent utiliser les ressources mises à leur disposition et les serveurs SMTP en particulier.

les @IP de ces serveurs DNS privés te sont fournies en même temps que ton adresse IP par le DHCP d'Orange (c'est peut-etre aussi dans un courrier que tu a reçu un jour ou l'autre).

C'est cette information que tu dois renseigner dans le server manager de SME
Ainsi, lorsque tu tapes "smtp.orange.fr" en étant connecté chez toi, tu obtiens l'adresse privée des serveurs SMTP : celle que tu as le droit d'utiliser en tant que client Orange.

Sur ton LAN, tu as besoin de connaitre la résolution des adresses de tes serveurs, en conformité avec ton adressage réseau. Ce service t'es rendu par le DNS qui fonctionne sur le SME (sans avoir quoi que ce soit à changer!)

En résumé :
- tu laisses xname s'occuper de ton nom de domaine sur Internet,
- tu configures le DNS Orange fournit par le DHCP dans le server manager de la SME
- tu configures dans la partie "Mail" du server Manager, "smtp.orange.fr" comme serveur mail relay (Messagerie électronique / Adresse du serveur de messagerie du FAI (ISP) )
- tu configures tes postes clients avec l'@IP de ton serveur SME comme DNS (si tu utilises le DHCP de SME, c'est fait automatiquement)
- tu configures tes clients de messagerie avec ton SME comme serveur de messagerie (si tu as été intelligent et que tu as sut configurer ton poste, mettre "mail" - sans domaine, ni tld - devrait focntionner également).

G.

[benjy31]

Merci je pense avoir compris

Dans ma config d'outlook j'ai deja mi en serveur smtp.orange.fr pour les envoyer car j'ai lu dans le forum que sinon chez certain FAI il le metai comme courrier indésirable.

Merci de m'avoir répondu.


Je vais mettre smtp.orange.fr dans la config mail de sme et est ce qu'il fait que je mette un compte orange dans la config ou c'est pas la peine.

Merci

[jdh]

Tu penses avoir compris !

"Dans ma config d'outlook j'ai deja mi en serveur smtp.orange.fr pour les envoyer" alors que Gaston écrit "tu configures tes clients de messagerie avec ton SME comme serveur de messagerie" !

Les postes ont-il été vérifiés ? Et avec quels outils ? C'est pourtant la cause la plus probable ! Mais rien sur ce sujet !!