Attaque de spam

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Attaque de spam

Messagepar Micromegas » 11 Oct 2008 11:38

Bonjour,

Je possède un serveur SME serveur de messagerie uniquement.

Je suis l'objet depuis deux jours d'une attaque: je reçois environ 300 messages par heure du type Subject: Delivery Status Notification (Failure) alors que je n'ai pas envoyer de message pendant cette période...

Mon serveur se rempli et est bientôt saturé.

Comment faire face à cette attaque SVP ?

Merci
Micromegas
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 11 Oct 2008 11:32

Messagepar jdh » 11 Oct 2008 11:59

Ceci n'est pas une attaque !

Explication :
- un PC d'un inconscient a un pgm qui envoie des spam,
- ces spam sont forgés avec des adresses aléatoires mais dont le domaine existe (par exemple dans un mail reçu sur ce PC),
- les serveurs qui reçoivent ces spam sont TRES MAL configurés et répondent par exemple "l'adresse n'existe pas" ou "nous n'acceptons pas les spams",
- ces mails retours arrivent dans un alias "collecteur" de type "*@domaine.com".

Solution de base :
Ne pas utiliser d'alias collecteur !

Complément :
Vérifier que l'on ne répond ni à un spam ni à une adresse existante (même si c'est la norme).
Essayer l'adresse ip d'origine et essayer de la marquer dans quelques blacklists (pas de son outlook !).
Nettoyer son serveur mail.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Micromegas » 12 Oct 2008 20:17

Merci jdh pour ces infos très claires et précises.

La majorité de mes messages de retour arrivent à des adresses existantes !!!

Donc:
Comment faire pour ne pas utiliser d'alias collecteur sur mon serveur ?

Comment puis je bloqué ces delivery Status Notification (Failure) pour qu'ils n'arrivent pas dans la boite des utilisateurs ?

Merci beaucoup
Micromegas
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 11 Oct 2008 11:32

Messagepar jdh » 12 Oct 2008 20:42

Je ne suis pas du tout connaisseur de SME. Ce que je sais c'est que le serveur de mail est Qmail.

Une bonne page sur les users de Qmail est http://www.lifewithqmail.org/lwq.html#qmail-users

Maintenant comment utiliser cela ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Micromegas » 13 Oct 2008 17:05

Je n'arrive pas a endiguer le flux de spam...

Pour rappel, les spams que nous recevons sont des réponses automatiques de serveurs recevant des mails à des adresses invalides. Et comme les spammeurs utilisent notre domaine, les serveurs en question nous retournent des mails du genre "vous avez tenté d'envoyer un mail à l'adresse .... mais cette adresse n'existe pas". Ce sont ces mails que nous recevons par milliers.

Si j'ai bien compris, il existe la possibilité de créer un enregistrement SPF pour un domaine. Dans cet enregistrement, il va être possible d'inscrire, par exemple, les IP des serveurs SMTP autorisés à envoyer des mails avec notre domaine. Donc on pourrait enregistrer une plage IP comprenant les serveurs SMTP d'Orange, notre FAI.

Le principe : lorsque qu'un spammeur envoie un spam à une adresse, le serveur réceptionnant le mail, s'il est configuré pour utiliser SPF (de plus en plus le sont, d'après ce que j'ai pu voir), va interroger un serveur DNS pour connaître les IP des serveurs SMTP autorisés à émettre depuis le domaine de l'expéditeur, et si le mail provient d'un SMTP non autorisé, va purement et simplement l'ignorer (et ne va donc pas envoyer un mail comme quoi l'adresse est erroné).

Dans notre cas, cela fonctionnerait, puisque les spams utilisant notre domaine ne sont pas envoyés via les serveur SMT d'Orange, mais depuis des serveurs autres à l'étranger.

Comment implanter cela dans mon SME ?

Merci à tous.

Micromegas
Micromegas
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 11 Oct 2008 11:32

Messagepar jdh » 13 Oct 2008 17:15

Avant de faire des trucs compliqués, il serait mieux de supprimer l'alias collecteur ("catch-all").

Maintenant, comme je ne suis pas spécialiste de SME et de qmail, ...



(En plus, j'espère que SPF ne fonctionne pas comme décrit : on ne risque pas de recevoir beaucoup de mails ...)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar sibsib » 13 Oct 2008 21:36

Micromegas a écrit:Si j'ai bien compris, il existe la possibilité de créer un enregistrement SPF pour un domaine. Dans cet enregistrement, il va être possible d'inscrire, par exemple, les IP des serveurs SMTP autorisés à envoyer des mails avec notre domaine. Donc on pourrait enregistrer une plage IP comprenant les serveurs SMTP d'Orange, notre FAI.
Comment implanter cela dans mon SME ?


Hello,

Ben en fait, un SPF, çà se met dans ton DNS, SME n'est pas concerné. Par contre, il faut être archi sur de ce qu'on fait si on ne met pas en mode soft (et en mode soft, le spf n'est qu'une recommandation !).

Une bonne documentation (on en trouve plein dans Google) et un peu de recherche sont indispensables.

Bon courage,

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar jdh » 13 Oct 2008 22:14

J'ai relu la définition de SPF. J'avais mal lu : ce qui est écrit est correct. Néanmoins, le mieux est de donner un bon lien comme http://fr.wikipedia.org/wiki/Sender_Policy_Framework (au hasard, balthazar, sur wikipedia !).

Quand on lit cette définition, on voit qu'il faut définir un enregistrement DNS (comme indiqué par sibsib). Et puis la suite dépend du serveur SMTP recevant un mail ...

Le minimum serait aussi d'avoir soi-même un serveur mail supportant SPF. Il faut regarder du côté d'un patch SPF pour qmail. Quand à en obtenir pour SME, à voir ...

(SPF n'est pas une norme, entre autres parce que c'est Microsoft qui l'a proposé ...)



Et la piste catch-all /alias collecteur ? Parce que les serveurs ils répondent à une adresse qui n'existe pas ? Comment et pourquoi sont-ils reçus ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité