SME envoie des mails non desirés

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

SME envoie des mails non desirés

Messagepar Laurent.M » 25 Mai 2009 22:42

Bonjour à tous, je suis un peu en panique car cela deux ou trois fois que je reçoie deux mails de la sme en disant ceci :

Le 1er mail :
Code: Tout sélectionner
monserveur.com :Fri May 22 01:33:44 2009
Lors des 5 dernieres minutes, il y a eu 23 e-mails sortants, vous aviez fixe la limite d'alerte a 5 e-mails sortants.
(Causes possibles : envoyez vous du spam ? gerez vous une mailing-list ?)
Si vous avez acces au gestionnaire de serveur, utilisez ce lien pour modifier la limite :
https://monserveur.com/server-manager/cgi-bin/sme7admin?state=conf_alert&alert=MaxMailOut


Le second mail :

Code: Tout sélectionner
monserveur.com :Fri May 22 01:33:44 2009
Lors des 5 dernieres minutes, il y a eu 127 e-mails entrants, vous aviez fixe la limite d'alerte a 5 e-mails entrants.
(Causes possibles : recevez vous du spam ? une mailbomb ?)
Si vous avez acces au gestionnaire de serveur, utilisez ce lien pour modifier la limite :
https://monsrveur.com/server-manager/cgi-bin/sme7admin?state=conf_alert&alert=MaxMailIn


J'ai toutes les mises à jour que sme me demande de faire, un suivi le tuto pour configurer spamassasin : http://smeserver.pialasse.com/index.php/Spam

Je pige pas ce qu'il se passe.
Ne connaissant pas grand chose SME, j'ai besoin d'aide sur ce coup.

J'ai bien trouvé deux ou poste sur ce forum, mais rien qui ressemble à mon cas ...

Merci
Laurent
Laurent.M
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 25 Mai 2009 22:33

Messagepar Franck78 » 26 Mai 2009 08:30

Salut,

La première idée de base serait de vérifier ce que ce surveillant affirme non? SME->serveur SMTP->LOG

Et si log il y a, timestamp, source et destinataire seront inscrits.

Ca peut venir de l'intérieur (machines infectées) ou de l'extérieur (config SME/SMTP bancale conduisant à en faire un relai ouvert).
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar shwing » 26 Mai 2009 11:35

Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar Laurent.M » 26 Mai 2009 19:48

@shwing : Merci je n'avais trouvé ces liens. Il s'agit d'un bug donc par contre dans mon cas, les horaires changent. Une alerte du 20 Mai était à 23h15, celles de ce post à 1h33.

@Frank78 : Je ne trouve pas le chemin que tu me donnes?
Je suis allé dans le serveur manager, ensuite dans les journaux de messagerie et les fichiers journaux ...mais je comprends pas tout.


Merci en tout cas de vos réponses.

Laurent
Laurent.M
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 25 Mai 2009 22:33

Messagepar Franck78 » 27 Mai 2009 21:00

Laurent.M a écrit:@Frank78 : Je ne trouve pas le chemin que tu me donnes?

c'est sur, c'était plus un raisonnement logique, une ligne directrice a suivre pour valider ou infirmer l'information
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar fraedhrim » 27 Mai 2009 21:17

Salut,

Si l'horaire ne correspond pas au logrotate alors il y a lieu de se poser des questions.
Comme dit plus haut soit ton serveur est ouvert au relais et il est utilisé depuis l'extérieur pour spammer soit tu as une machine infectée qui utilise le proxy SMTP de la SME.

Première question : au moment où les alertes ont été levées avais-tu un PC de ton LAN allumé ?
Deuxième question : as-tu regardé les logs via le server-manager ou via SSH : /var/log/maillog, /var/log/qpsmtpd/current, /var/log/qmail/current pour voir les enveloppes des emails aux heures incriminées, histoire de savoir de quoi il retourne ?


A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar Laurent.M » 27 Mai 2009 22:30

Pour commencer, merci de vous interésser à mon cas.

Comme dit plus haut soit ton serveur est ouvert au relais .../...

Comment savoir si mon serveur est ouvert au relais ? Cela peut-il être une mauvaise manip de ma part, et est-il possible d'y remédier sans tout refaire ?


Première question : au moment où les alertes ont été levées avais-tu un PC de ton LAN allumé ?

De mémoire, les PC étaient éteints. Mais il est vrai que parfois je laisse mon poste allumé quand un client torrent est en fonction.
A priori, je n'ai aucun virus. Cela fait d'ailleurs au moins 2 ans que je n'ai pas eu d'alertes. Par sécurité, j'ai fais un scan complet de mon PC avec Nod, il n'a rien trouvé.

as-tu regardé les logs via le server-manager .../...

Oui, je viens de le faire. Je n'ai pas de log aux dates données par le mail ... par contre j'en ai d'autres et apparemment les mails ne sont pas redirigés :

Voici un exemple :
Code: Tout sélectionner
May 26 01:05:25 airwave fetchmail[5856]: Erreur SMTP: 552 spam score exceeded threshold (#5.6.1)
May 26 01:05:25 airwave fetchmail[5856]: message depuis FETCHMAIL-DAEMON@airwave.webtsk.com ayant rebondi sur baltayar@avenirelec.fr
May 26 01:05:25 airwave fetchmail[5856]: Le serveur SMTP a refusé de délivrer le courrier
May 26 13:20:09 airwave fetchmail[15722]: Erreur SMTP: 550 Not supporting null originator (DSN)
May 26 13:20:09 airwave fetchmail[15722]: message depuis FETCHMAIL-DAEMON@airwave.webtsk.com ayant rebondi sur fyuizwysgoev@antronomia.com
May 26 13:20:09 airwave fetchmail[15722]: il n'est même pas possible d'expédier vers postmaster@webtsk.com
May 26 16:01:03 airwave fetchmail[17724]: délai dépassé après 60 secondes d'attente du serveur pop.club-internet.fr.
May 26 16:01:03 airwave fetchmail[17724]: erreur socket durant la réception de pop.club-internet.fr
May 26 16:01:03 airwave fetchmail[17724]: État de la requête=2 (SOCKET)
May 27 15:05:08 airwave fetchmail[3500]: Erreur SMTP: 550 Not supporting null originator (DSN)
May 27 15:05:08 airwave fetchmail[3500]: message depuis FETCHMAIL-DAEMON@airwave.webtsk.com ayant rebondi sur ylybpqaqomymuj@mailAccount.com
May 27 15:05:08 airwave fetchmail[3500]: il n'est même pas possible d'expédier vers postmaster@webtsk.com
May 27 17:05:13 airwave fetchmail[5052]: Erreur SMTP: 552 spam score exceeded threshold (#5.6.1)
May 27 17:05:13 airwave fetchmail[5052]: message depuis FETCHMAIL-DAEMON@airwave.webtsk.com ayant rebondi sur Christian.Swan@epcri.com
May 27 17:05:14 airwave fetchmail[5052]: Le serveur SMTP a refusé de délivrer le courrier




Désolé de ce post un poil long.

Laurent
Dernière édition par Laurent.M le 28 Mai 2009 09:23, édité 1 fois au total.
Laurent.M
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 25 Mai 2009 22:33

Messagepar Franck78 » 27 Mai 2009 23:31

Désolé de ce post un poil long.
surtout quand les extraits de log sont identiques.....
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Laurent.M » 28 Mai 2009 09:23

Oups !! :(
Désolé, j'ai du me louper dans les copier/coller ...

Je supprime la fin du précédent post.
Laurent.M
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 25 Mai 2009 22:33

Messagepar Laurent.M » 29 Mai 2009 20:16

J'ai trouvé un site pour tester si mon serveur fait du relay sur le site d'abuse : http://verify.abuse.net/relay.html

Je suppose que vous connaissez, c'est sûr :
Voici le résultat :
Code: Tout sélectionner
Relay test result
All tests performed, no relays accepted.


Ouf, mon serveur n'est pas mort ...

Par contre dès que le test est fini. J'ai sme7admin qui s'affole et me dis :

Code: Tout sélectionner
airwave.webtsk.com :Fri May 29 20:10:06 2009
Lors des 5 dernieres minutes, il y a eu 13 e-mails sortants, vous aviez fixe la limite d'alerte a 5 e-mails sortants.
(Causes possibles : envoyez vous du spam ? gerez vous une mailing-list ?)
Si vous avez acces au gestionnaire de serveur, utilisez ce lien pour modifier la limite :
https://airwave.webtsk.com/server-manager/cgi-bin/sme7admin?state=conf_alert&alert=MaxMailOut


Donc le rapport n'est pas fiable, comme vous le disiez.

Laurent
Laurent.M
Premier-Maître
Premier-Maître
 
Messages: 56
Inscrit le: 25 Mai 2009 22:33


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité