[resolu]Traffic non désiré sur SMTP:25

par **shwing** » 31 Mars 2006 16:45

en suivant ce poste vous pourrer assister à la mort rapide d'une SME...
la mise à mort final est là

Bonjour

En parcourant le forum, je suis un plus rassuré. Depuis 4 jours j'ai un traffic constant sur mon port 25.

J'ai bien lu que par défaut, et cela n'a pas été changé, que le SMTP de SME est bloqué depuis le net (ouf)

Mais lorsque je fais un tcpdump -i eth1 sur mon ipcop j'obtiens ceci:

Code: Tout sélectionner: root@wrapcop:~ # tcpdump -i eth1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 15:50:48.639937 IP mail29.bluewin.ch.50428 > SME.lan.smtp: . 3091581806:3091581807(1) ack 1398972982 win 0 <nop,nop,timestamp 475366314 27781816> 15:50:48.640103 IP SME.lan.smtp > mail29.bluewin.ch.50428: . ack 0 win 0 <nop,nop,timestamp 27785035 475366314> 15:50:49.859943 IP mail30.bluewin.ch.43450 > SME.lan.smtp: . 3316290953:3316290954(1) ack 1112364055 win 0 <nop,nop,timestamp 475357738 27779156> 15:50:49.860063 IP SME.lan.smtp > mail30.bluewin.ch.43450: . ack 0 win 0 <nop,nop,timestamp 27785157 475357738> 15:50:51.399943 IP mail30.bluewin.ch.43442 > SME.lan.smtp: . 2735534099:2735534100(1) ack 1107408932 win 0 <nop,nop,timestamp 475357892 27779310> 15:50:51.400066 IP SME.lan.smtp > mail30.bluewin.ch.43442: . ack 0 win 0 <nop,nop,timestamp 27785311 475357892> 15:50:51.649938 IP mail29.bluewin.ch.48486 > SME.lan.smtp: . 803935762:803935763(1) ack 779938167 win 0 <nop,nop,timestamp 475366615 27779336> 15:50:51.650041 IP SME.lan.smtp > mail29.bluewin.ch.48486: . ack 0 win 0 <nop,nop,timestamp 27785336 475366615> 15:50:53.949948 IP mail30.bluewin.ch.42696 > SME.lan.smtp: . 2699288868:2699288869(1) ack 798122393 win 0 <nop,nop,timestamp 475358147 27779565> 15:50:53.950089 IP SME.lan.smtp > mail30.bluewin.ch.42696: . ack 0 win 0 <nop,nop,timestamp 27785566 475358147> 15:50:55.389942 IP mail29.bluewin.ch.48492 > SME.lan.smtp: . 455515168:455515169(1) ack 779696547 win 0 <nop,nop,timestamp 475366989 27779710> 15:50:55.390064 IP SME.lan.smtp > mail29.bluewin.ch.48492: . ack 0 win 0 <nop,nop,timestamp 27785710 475366989> 15:51:23.199590 IP SME.lan.smtp > mail29.bluewin.ch.50428: . ack 0 win 0 <nop,nop,timestamp 27788491 475366314> 15:51:23.209926 IP mail29.bluewin.ch.50428 > SME.lan.smtp: . ack 1 win 0 <nop,nop,timestamp 475369770 27785035> 15:51:34.679939 IP mail30.bluewin.ch.42698 > SME.lan.smtp: . 2911366896:2911366897(1) ack 785936456 win 0 <nop,nop,timestamp 475362220 27783639> 15:51:34.680110 IP SME.lan.smtp > mail30.bluewin.ch.42698: . ack 0 win 0 <nop,nop,timestamp 27789639 475362220> 15:51:45.390238 arp who-has SME.lan tell 192.168.35.254 15:51:45.390352 arp reply SME.lan is-at 00:50:04:f4:9e:03 15:51:45.390418 IP mail29.bluewin.ch.50771 > SME.lan.smtp: S 1509017454:1509017454(0) win 32850 <mss 1412,nop,wscale 1,nop,nop,timestamp 475371988 0,nop,nop,sackOK> 15:51:45.390613 IP SME.lan.smtp > mail29.bluewin.ch.50771: S 1542999186:1542999186(0) ack 1509017455 win 5792 <mss 1460,sackOK,timestamp 27790710 475371988,nop,wscale 0> 15:51:45.399932 IP mail29.bluewin.ch.50771 > SME.lan.smtp: . ack 1 win 32900 <nop,nop,timestamp 475371989 27790710> 15:51:45.411941 IP SME.lan.smtp > mail29.bluewin.ch.50771: P 1:43(42) ack 1 win 5792 <nop,nop,timestamp 27790711 475371989> 15:51:45.419989 IP mail29.bluewin.ch.50771 > SME.lan.smtp: . ack 43 win 32900 <nop,nop,timestamp 475371991 27790711> 15:51:45.420405 IP mail29.bluewin.ch.50771 > SME.lan.smtp: P 1:25(24) ack 43 win 32900 <nop,nop,timestamp 475371991 27790711>

Et ceci par la suite...

Code: Tout sélectionner: 15:51:46.369591 IP SME.lan.56732 > 64.73.128.23.domain: 51516 A? campeole.com.multi.surbl.org. (46) 15:51:46.381289 IP SME.lan.13094 > a.gtld-servers.net.domain: 20800 NS? campeole.com. (30) 15:51:46.382199 IP SME.lan.42695 > 64-68-11-11.ip.elan.net.domain: 38720[|domain] 15:51:46.382951 IP SME.lan.61285 > 64-68-11-11.ip.elan.net.domain: 3084[|domain] 15:51:46.389600 IP SME.lan.19868 > ns7.njabl.org.domain: 2952 A? 33.131.167.217.combined.njabl.org. (51) 15:51:46.390347 IP SME.lan.natuslink > ns9.njabl.org.domain: 27731 A? 137.231.214.195.combined.njabl.org. (52) 15:51:46.391100 IP SME.lan.6986 > spamcopbl.dws0154.fast.net.domain: 54262 TXT? 33.131.167.217.bl.spamcop.net. (47) 15:51:46.391849 IP SME.lan.cft-4 > spamcop.velocitus.net.domain: 56852 TXT? 137.231.214.195.bl.spamcop.net. (48) 15:51:46.399922 IP SME.lan.52143 > spamcop.velocitus.net.domain: 26678 TXT? 21.19.186.195.bl.spamcop.net. (46) 15:51:46.400587 IP SME.lan.18482 > 64-68-11-11.ip.elan.net.domain: 57613[|domain] 15:51:46.401256 IP SME.lan.llm-pass > ns5.sorbs.net.domain: 50606 A? rbldns4.sorbs.net. (35) 15:51:46.401998 IP SME.lan.osdcp > ns3.mydyndns.org.domain: 11518 A? rbldns4.sorbs.net. (35) 15:51:46.410042 IP SME.lan.wap-push-http > 189-27-251-64.serverpronto.com.domain: 32707[|domain] 15:51:46.419601 IP SME.lan.40751 > ltns2.returnpath.net.domain: 23168[|domain] 15:51:46.420352 IP SME.lan.41704 > rs5s2.datacenter.cha.cantv.net.domain: 37059 A? 137.231.214.195.sbl-xbl.spamhaus.org. (54) 15:51:46.429600 IP SME.lan.12494 > mouth.voxel.net.domain: 23361 TXT? 70.18.186.195.list.dsbl.org. (45) 15:51:46.430351 IP SME.lan.42659 > mouth.voxel.net.domain: 830 TXT? 21.19.186.195.list.dsbl.org. (45) 15:51:46.431017 IP SME.lan.60056 > dsbl.bl.xs4all.nl.domain: 34462 TXT? 137.231.214.195.list.dsbl.org. (47) 15:51:46.431764 IP SME.lan.22312 > spamhaus2.vortechhosting.com.domain: 10442 A? 33.131.167.217.sbl-xbl.spamhaus.org. (53) 15:51:46.450008 IP dsbl.bl.xs4all.nl.domain > SME.lan.60056: 34462 NXDomain*- 0/1/0 (99) 15:51:46.500025 IP a.gtld-servers.net.domain > SME.lan.13094: 20800- 2/0/2 NS[|domain] 15:51:46.510027 IP spamcopbl.dws0154.fast.net.domain > SME.lan.6986: 54262 NXDomain*- 0/1/0 (100) 15:51:46.520019 IP 64.73.128.23.domain > SME.lan.56732: 51516 NXDomain*- 0/1/0 (89) 15:51:46.529714 IP ns7.njabl.org.domain > SME.lan.19868: 2952 NXDomain*- 0/1/0 (96) 15:51:46.530297 IP ns9.njabl.org.domain > SME.lan.natuslink: 27731 NXDomain*- 0/1/0 (97) 15:51:46.539988 IP mouth.voxel.net.domain > SME.lan.12494: 23361 ServFail- 0/0/0 (45) 15:51:46.540145 IP SME.lan.55159 > dsbl.zhwin.ch.domain: 31602 TXT? 70.18.186.195.list.dsbl.org. (45) 15:51:46.541207 IP mouth.voxel.net.domain > SME.lan.42659: 830 ServFail- 0/0/0 (45) 15:51:46.541360 IP SME.lan.52393 > 156.17.5.122.domain: 57634 TXT? 21.19.186.195.list.dsbl.org. (45) 15:51:46.550021 IP 189-27-251-64.serverpronto.com.domain > SME.lan.wap-push-http: 32707 NXDomain*-[|domain] 15:51:46.560031 IP dsbl.zhwin.ch.domain > SME.lan.55159: 31602 NXDomain*- 0/1/0 (97) 15:51:46.570065 IP ltns2.returnpath.net.domain > SME.lan.40751: 23168 NXDomain*- 0/1/0 (103) 15:51:46.570573 IP spamhaus2.vortechhosting.com.domain > SME.lan.22312: 10442 NXDomain*- 0/1/0 (117) 15:51:46.571170 IP 64-68-11-11.ip.elan.net.domain > SME.lan.42695: 38720 NXDomain*-[|domain] 15:51:46.571706 IP 64-68-11-11.ip.elan.net.domain > SME.lan.61285: 3084 NXDomain*-[|domain] 15:51:46.589996 IP 64-68-11-11.ip.elan.net.domain > SME.lan.18482: 57613 NXDomain*-[|domain] 15:51:46.590750 IP ns3.mydyndns.org.domain > SME.lan.osdcp: 11518*- 1/8/7 A predator.sorbs.net (325) 79 packets captured 102 packets received by filter 0 packets dropped by kernel

Le traffic qui en résulte est 'quand même' de ~7ko/s en down et ~4ko/s en up

Je me sens bien impuissant fasse à toutes ces demandes sur mon port 25, et je ne vois pas comment bloquer ceci, sinon je ne recevrai plus rien du tout... ce qui n'est pas idéal non plus. De changer de nom dymanique, mais je me dis que les personnes qui ont une ip fixe doivent aussi avoir ce genre de soucis. Non ?

Ce que je peux assurer, c'est que lorsque j'ai capturé ces logs, personnes n'utilisait le mail sur SME. (si cela peut aider)

Merci.

^^

par **daoud** » 31 Mars 2006 17:22

regarde si ton serveur est configuré en serveur relais , ce qu iest relativement dangereux pour toi !

entre ton adresse mail serveur ici

par **shwing** » 31 Mars 2006 22:54

il est évident que ma SME n'autorise pas le relai smtp.

je pense avoir trouvé la source de mon ennuie, mais là il est trop tard. ....

à demain.

^^

^^

par **shwing** » 04 Avr 2006 10:11

bon j'ai trouvé, j'ai tenté de modifier la taille des pièces jointes et du coup, tous les mails avec pièces jointes étaient refusés par ma SME. Mais les serveurs de mails qui tentaient de me les envoyer, réessayaient maintes et maintes fois... enfin c'est ce que je supose...

donc pour régler mon problème j'ai fais ceci (cela pourra servir... c'est pour la version 6)

Code: Tout sélectionner: /sbin/e-smith/config setprop qmail MaxMessageSize 0 /sbin/e-smith/config smtpfront-qmail MaxMessageSize 500000 /sbin/e-smtih/signal-event email-update 0 = pas de limite de taille 500000 = 50 Mb en réception

Bon il y a quand même quelque chose que je ne comprends pas. Est-il nécessaire de modifier le php.ini ?

ligne 45 "post_max_size =??M"

le time out ?

par **MasterSleepy** » 04 Avr 2006 10:15

Salut,

shwing a écrit:Bon il y a quand même quelque chose que je ne comprends pas. Est-il nécessaire de modifier le php.ini ?

ligne 45 "post_max_size =??M"

le time out ?

Oui si tu utilises le webmail.

A+

par **shwing** » 04 Avr 2006 10:51

arg! la boulette

après plusieurs reboot, il m'est impossible de me connecter à mon webmail:

Code: Tout sélectionner: La connexion est refusée. Il est probable que vos nom d'utilisateur ou mot de passe ont été mal saisis.

Essayé plusieurs accompte, en local ou depuis le net = même effet !

Alors là c'est de pire en pire, ou moins avant je pouvais lire des mails, mais là plus rien.

Si une bonne Ame peux me venir en aide....

par **shwing** » 04 Avr 2006 13:25

Code: Tout sélectionner: tail /var/log/messages Apr 4 13:13:18 sme ntpd[1752]: kernel time discipline status change 41 avr 4 13:13:28 sme httpd: Arrêt de httpd succeeded avr 4 13:13:29 sme httpd: Démarrage de httpd succeeded Apr 4 13:13:36 sme HORDE[2718]: [imp] FAILED LOGIN 192.168.34.240 to localhost: 143[imap/notls] as olivier [on line 287 of "/home/httpd/html/horde/imp/lib/IMP.p hp"] Apr 4 13:13:36 sme HORDE[2718]: PHP Warning: Connection failed to localhost,14 3: Connexion refusée (errflg=2) in Unknown on line 0 Apr 4 13:13:38 sme HORDE[2718]: [imp] FAILED LOGIN 192.168.34.240 to localhost: 143[imap/notls] as olivier [on line 287 of "/home/httpd/html/horde/imp/lib/IMP.p hp"] Apr 4 13:13:38 sme HORDE[2718]: PHP Warning: Connection failed to localhost,14 3: Connexion refusée (errflg=2) in Unknown on line 0 Apr 4 13:13:51 sme HORDE[2748]: [imp] FAILED LOGIN 192.168.34.240 to localhost: 143[imap/notls] as olivier [on line 287 of "/home/httpd/html/horde/imp/lib/IMP.p hp"] Apr 4 13:13:51 sme HORDE[2748]: PHP Warning: Connection failed to localhost,14 3: Connexion refusée (errflg=2) in Unknown on line 0 Apr 4 13:15:01 sme ucd-snmp[2338]: Connection from 127.0.0.1

et si je met mon CD d'install et tente de réparer ?

par **MasterSleepy** » 04 Avr 2006 13:36

Salut,

Peux-tu donner les environs de la ligne 287 du fichier

Code: Tout sélectionner: /home/httpd/html/horde/imp/lib/IMP.php

une question en passant, tu n'aurais pas changer le mot de passe root de mysql??

A+

par **MasterSleepy** » 04 Avr 2006 13:41

oups laisse tombé j'avais mal lu.

Il y a un prob avec tes utilisateurs.
Ces utilisateurs peuvent-ils se connecter sur la sme ?
Au pire réinitialise leurs MDP.

A+

par **shwing** » 04 Avr 2006 13:43

modifier ? jamais ! j'ai vu quelques postes que mon décourager de le faire. Et en plus je ne vois pas l'intérêt.

pour la ligne j'ai ceci:

Code: Tout sélectionner: /** * Attempt to open a connection to the IMAP server using the * information in the $imp session variable. * * @access public * * @param integer $flags (optional) Flags to pass to IMAP_OPEN. Valid values are: * <pre> * OP_READONLY : Open the mailbox read-only. * OP_ANONYMOUS : (NNTP only) Don't use or update a .newrc file. * OP_HALFOPEN : (IMAP and NNTP only) Open a connection, but not a specific mailbox. * CL_EXPUNGE : Expunge the mailbox automatically when the stream is closed. * </pre> * @param boolean $setup (optional) Run IMP::setupSession() first. * * @return mixed True on success, string containing the failure reason on failure. */ function authenticate($flags = 0, $setup = false) { if ($setup) { $retval = IMP::setupSession(); if ($retval !== true) { return $retval; } } global $conf; if (!(isset($_SESSION['imp']) && is_array($_SESSION['imp']))) { if (isset($GLOBALS['prefs'])) { $GLOBALS['prefs']->cleanup(true); } return 'session'; } switch ($_SESSION['imp']['base_protocol']) { case 'pop3': $connstr = IMP::serverString($_SESSION['imp']['protocol']); $flags &= ~OP_ANONYMOUS; $flags &= ~OP_HALFOPEN; $_SESSION['imp']['thismailbox'] = ''; break; default: $flags &= ~OP_ANONYMOUS; $_SESSION['imp']['thismailbox'] = Horde::getFormData('thismailbox', $_SESSION['imp']['mailbox']); if ($_SESSION['imp']['thismailbox'] == '**search') { $aindex = Horde::getFormData('array_index'); if (($aindex !== null) && isset($_SESSION['imp']['searchfolders'])) { $tmp = explode(':', $_SESSION['imp']['messagefolders']); $connstr = IMP::serverString($_SESSION['imp']['protocol']) . $tmp[$aindex]; } else { $connstr = IMP::serverString($_SESSION['imp']['protocol']); $flags |= OP_HALFOPEN; } } else { $connstr = IMP::serverString($_SESSION['imp']['protocol']) . $_SESSION['imp']['thismailbox']; } break; } if ($flags == 0) { $_SESSION['imp']['stream'] = @imap_open($connstr, $_SESSION['imp']['user'], Secret::read(Secret::getKey('imp'), $_SESSION['imp']['pass'])); } else { $_SESSION['imp']['stream'] = @imap_open($connstr, $_SESSION['imp']['user'], Secret::read(Secret::getKey('imp'), $_SESSION['imp']['pass']), $flags); } if (!$_SESSION['imp']['stream']) { if (!empty($_SESSION['imp']['server']) && !empty($_SESSION['imp']['port']) && !empty($_SESSION['imp']['protocol']) && !empty($_SESSION['imp']['user'])) { if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) { $entry = sprintf('FAILED LOGIN %s (forwarded for [%s]) to %s:%s[%s] as %s', $_SERVER['REMOTE_ADDR'], $_SERVER['HTTP_X_FORWARDED_FOR'], $_SESSION['imp']['server'], $_SESSION['imp']['port'], $_SESSION['imp']['protocol'], $_SESSION['imp']['user']); } else { $entry = sprintf('FAILED LOGIN %s to %s:%s[%s] as %s', $_SERVER['REMOTE_ADDR'], $_SESSION['imp']['server'], $_SESSION['imp']['port'], $_SESSION['imp']['protocol'], $_SESSION['imp']['user']); } Horde::logMessage($entry, __FILE__, __LINE__, LOG_ERR); } $_SESSION['imp'] = null; session_unregister('imp'); if (isset($GLOBALS['prefs'])) { $GLOBALS['prefs']->cleanup(true); } return 'failed'; } return true; }

Ceci est la ligne 287: Horde::logMessage($entry, __FILE__, __LINE__, LOG_ERR); ( juste en dessus)

par **shwing** » 04 Avr 2006 13:45

oui j'ai changé mon mot de passe. (d'utilisateur)

j'ai remarqué aussi lorsque je fais un 'top' il y a des services en 'zombie' si je tente de me connecter au webmail.
Jamais auparavant j'avais observé des process en 'mode' zombie.

je me documente sur les process pour voir si je peux les identifier.

par **MasterSleepy** » 04 Avr 2006 13:49

Purée, on dirait que horde n'arrive pas à se connecter au serveur imap.
Alors essaye de voir si le service est toujours active

Code: Tout sélectionner: service imapd status

c'est peut-être imap à la place de imapd :?:

ou

Code: Tout sélectionner: netstat -laputen

Pour voir si qq chose écoute sur le port 143

Ensuite essaye de te connecter avec un autre client mail en imap à ton serveur pour voir si cela ne viendrai pas d'un problème de mdp.

A+

par **shwing** » 04 Avr 2006 13:57

service imap status
=
/service/imap: down 1505 seconds

netstat -laputen
il n'y a rien sur le 143. evidemment.

mais un
/service/imap restart et c'est OK.

Pourquoi lors d'un reboot ce service ne démarre pas automatiquement ? Normal ?

merci beaucoup pour ton soutiens MasterSleepy.

par **MasterSleepy** » 04 Avr 2006 14:00

C'est effectivemment bizarre ca.

Vérifie un peu la valeur dans la db de sme

Code: Tout sélectionner: db configuration print imap

le status devrait être a enabled.

Essaye éventuellement de redémarrer le server et voir dans les logs pour quelles raisons le service n'a pas démarrer.

A+

par **shwing** » 04 Avr 2006 15:02

db configuration print imap
=
imap=service|access|private|status|disabled

si je redemarre je dois relancer imap sinon il est down.

[resolu]Traffic non désiré sur SMTP:25

[resolu]Traffic non désiré sur SMTP:25

Qui est en ligne ?