Salut,
Mael a écrit:Pour finir dans le cas d'un poste infecté connecté sur le réseau lors d'un dépannage, si l'option de bloquer le port 25 (contrib Sibsib) est activée, je ne vois pas comment le virus/malware peut deviner qu'il peut utiliser le SMTP de la SME, celui-ci étant inconnu au client. Me trompe-je ?
Tiens, ça j'y pensais justement hier soir...
Détaillons mon cas (pour le peu que j'en sais, assez identique à celui de pbordère... il précisera au besoin en ce qui le concerne) :
- Le port 25 n'est pas bloqué : je viens de tester par un telnet smtp.free.fr 25, le smtp de free me répond bien. Je ne savais pas d'ailleurs que la contrib de sibsib pouvait faire ce blocage, et ne sais pas comment le faire (mais bon, doit suffire de lire la doc !)...
- Les mails ne sont pourtant pas partis directement, je pense à cause du proxy transparent de la SME ? J'avais bien 17000 et quelques mails dans la queue de qmail de SME.
- Comme cela me saturait complètement mon serveur et le faisait planter (le proc atteignait des températures record !), je n'ai ni pu ni voulu trop chercher à comprendre. L'urgent était de remettre ma SME en route pour que je puisse bosser... De plus, comme j'avais des mails utiles qui attendaient leur tout pour partir, il fallait au moins que j'identifie ceux déjà partis et ceux encore coincés...
- J'ai supprimé les 17000 mails, presque tous du spam, et tout est rentré dans l'ordre. SME7admin me prévient si j'ai plus de 4 mails en attente, et je n'ai eu depuis qu'une seule alerte suite à un message diffusé par mailman, donc tout est absolument normal.
- Je n'ai aucune preuve que tout ce spam venait de ce poste vérolé, mais tout porte à le croire...
Mael a écrit:Et dans le cas ou le malware utilise le SMTP de la SME c'est qu'il a récupéré les infos sur le client infecté et là authentification ou pas, il aura accès à tous les paramètres pour se connecter. Certains malwares comportent un proxy SMTP pour remplacer le champ DATA des mails échangés entre le client et le serveur.
Dans ce cas il n'y a pas de parade
Ce que tu dis là m'inquiète beaucoup... Mais je comprends quand même mal comment cela est possible... Le poste infecté étant sous XP, et configuré "normalement", il a obtenu une adresse IP par DHCP, et a ainsi obtenu par la même occasion l'adresse du serveur DNS et de la passerelle. Ok. Mais rien concernant le serveur SMTP ? Les mails ont transité par lui par la fonction proxy transparent, non ? Et dans ce cas, le forçage d'une authentification ne pourrait pas résoudre le problème ? (me restera à trouver comment forcer cette authentification sur SME, mais bon, à partir du moment où je serai sûr qu'elle soit efficace, je devrais bien trouver !
Et cette idée de blacklist ? Il n'y a pas moyen de dire à qmail qu'il ne doit en aucun cas envoyer un mail dont l'expéditeur ne fait pas partie du domaine ? Je pensais d'ailleurs que c'était fait d'office... On refuse le relaying depuis l'extérieur (encore heureux
), mais non seulement on l'autorise de l'intérieur, mais en plus on ne peut pas l'empêcher autrement que par des moyens sophistiqués ? Alors qu'il suffirait d'une règle simple : si la partie d'adresse d'expéditeur après @ n'est pas "mondomaine.tld", le mail part directement vers /dev/nul !
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)