Attaquer par un site de $%#&! !!!

[fred]

<BR>mon mailler a t' il été utiliser pour expédier des messages a mon insu ? <BR> <BR>j'utilise la smooth pour sécuriser mon petit réseaux et mon serveur frontal linux (http/ftp/qmail) <BR> <BR> <BR> <BR>ce matin j'ai reçu un émail de <!-- BBcode auto-mailto start --><a href="mailto:MAILER-DAEMON@xxx.xxxx.com">MAILER-DAEMON@xxx.xxxx.com</a><!-- BBCode auto-mailto end --> (mon serveur de mail pop et smtp) <BR>me signifiant qu il ne pouvez pas expédier des massages certain messages. <BR>en examinant le corp html de émail je me suis appercu quil sagissait d'un site de $%#&! !! <BR> <BR>en ferment le port 25 le pare feu de SW ne débande plus <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>pare-feu ********** <BR>11:12:49 input ppp0 TCP 195.68.114.2 57134 xx.xx.xx.xx 25(SMTP) <BR>******************* <BR> <BR> <BR> <BR>COMMENT INTERPRÉTÉ LES LOG DE PAR FEU DE SW <BR> <BR>système de détection des intrusions **************** <BR>Date: 04/02 09:57:58 Nom: ICMP Destination Unreachable (Communication Administratively Prohibited) <BR>Priorité: 3 Type: Misc activity <BR>Informations sur l'adresse IP: 217.128.57.47:63915 -> 206.151.165.155:25 <BR>Références: aucune entrée trouvée <BR>***************************************************** <BR> <BR> <BR>que se passe t'il ? comment utilise t'il mon serveur de mail <BR>je n'ose plus ouvrir le port 25 et 110 ! <BR>si je supprime smtp et que je laisse pop, c'est mieux ou pareil ? <BR> <BR><b>comment trouver l' origine de ce problème...</b> <BR>dans "qmail" ou se situe la queue des message a expédier <BR> <BR> <BR> <BR>merci a tous pour votre aide

[bruno]

Oui, à mon avis tu t'es fait pirater ton mailer. <BR>Tout dépend de ton serveur. Quel est le mailer que tu utilises ? sendmail ? postfix ? <BR> <BR>Si tu ouvres le 110, ce n'est pas gênant car ce port est destiné uniquement à lire le courrier et non à en envoyer. <BR> <BR>Il faut être très prudent lorsque tu ouvres ton SMTP vers l'extérieur. En plus, as-tu réellement besoin de l'ouvrir ? <IMG SRC="images/smiles/icon_confused.gif">

[fred]

merci pour cette réponse rapide !! <BR> <BR>j'utilise qmail sous corel linux. <BR> <BR>un assistant somme toute bien fait s'occupe du paramètrage <IMG SRC="images/smiles/icon_smile.gif"> de qmail <BR>du coup je pédale un peut, je préférerais être "Un intellectuel qui marche" <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>comment y font ? <BR>y pirate un compte utilisateur ? <BR> <BR>je ne pense pas pouvoir publier dans ce forum le corps de l'email <BR>expédier a mon issu, mais je peut vous le faire parvenir par émail <BR>le corps du message (une pub pour un site de $%#&!) laisse apparaître 2 adresses émail!! dont notamment celle d'un site que j'ai visiter il'ya 2 jours qui propose un annuaire email et "Émail Forwarding" <BR> <BR> <BR>avant d'ouvrir le port 25 que j'utilise activement pour poster automatiquement a partir de mon site (php4) je voudrait supprimer le message frauduleux et la liste des destinataire <BR>le rep de qmail contient bien un dossier "queue" mais d'autre dossier sont contenue a l'interieur. <BR>ou sont stocker les adresse des destinataire ? comment les supprimer ? <BR> <BR> <BR> <BR>

[mac]

Je pense que ton serveur relaie simplement les mails du site incriminé car ton serveur qmail le permet et que le site a réussit a chopper ton adresse (soit en scannant tout ce qu'il trouve, soit parce que tu t'es connecté quelquepart). <BR>Je pense que si tu n'autorise pas ton serveur a relayer les mails venant d'autres domaines que le tien, tu n'auras plus ce probleme. <BR>En théorie, les configurations par défaut des serveurs de mails n'autorisent plus ce relayage , mais je ne sais pas comment Corel Linux configure Qmail. <BR>Je n'utilise pas qmail donc je ne peux pas te dire quoi modifier pour empecher le relai, mais ça doit se trouver. <BR>

[MousseFromParis]

Oops. <BR>Si j'etais toi j'interdirais le relai sur mon Serveur Smtp; Car si il est utilisé à des fins de Spam il risque d'etre Blacklisté. Et certain de tes mails pourrait etre refusé. <BR> <BR>Certain serveurs refusent automatiquement tous mails provenant des serveurs de cette Blacklist. <BR> <BR>Ce qui peut etre génant !!!! <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>A+

[lgermain]

Pour relayer uniquement ton domaine dans qmail il faut créer un fichier nommer smtproutes contenant le nom de ton domaine. Ce fichier est placé dans le répertoire /var/qmail/controls (Ca dépend ou tu as installé qmail). <BR>C'est vrai qu'il faut faire attention à cela sinon ton domaine sera en blacklist.

[OXO90]

Je confirme, si tu relais tu n'as pas besoin d'un compte, pour envoyer des messages à partir de ton serveur SMTP. <BR> <BR>Pour te donner un ordre d'idée, je suis en train de tester Interscan VirusWAll de Trend pour ne pas les citer, et en une journée, j'ai eu 1000 tentatives de relai sur le SMTP. <BR> <BR>Et c'est pas forcément des petits malins, il y a des sîtes comerciaux dans l'histoire, Lycos, Caramail et compagnie.... <BR> <BR>Si tu dispose d'une IP fixe qui plus est alors c'est pratique courante, des robots scans en permanence les port 25 et essaie de relayer dessus. <BR> <BR>J'ai connaissance d'une expérience plus dramatique, avec une ligne RNIS qui s'ouvrait en permanence, car elle faisait du relais de messagerie, et 24h/24h, la facture a été salé pour l'entreprise en question. <IMG SRC="images/smiles/icon_cussing.gif"> <BR> <BR>On ne parle pas assez de ce problème, mais pourtant à titre personnel je le trouve pire que le spam. <IMG SRC="images/smiles/icon_frown.gif">

[micj]

En fait, le spam se base souvent sur des smtprelay... tous les serveurs de mail anonyme et autres sont les pires merdes qu'on a créé sur Internet, cela peut être pratique pour te permettre de lire ton mail même lorsque tu n'as pas accés à ta machine mais cela permet tous les abus. <BR>

[fred]

C'est toujours moi, merci a tous de ce pencher sur mon petit <BR>problème <IMG SRC="images/smiles/icon_biggrin.gif"><br> <BR><br> <BR>la configuration générer par l'assistant de corel linux ce décompose <BR>comme ceci:<br> <BR><br> <BR>- defaultdomaine<br> <BR>- local<br> <BR>- mailServerSetupInfo<br> <BR>- plusdomaine<br> <BR>- tcp.smtp<br> <BR><br> <BR><strong>le fichier tcp.smtp contient seulement<br> <BR></strong><font color="#800080"><strong>:allow </strong></font><br> <BR><br> <BR>:allow quoi, ya rien <IMG SRC="images/smiles/icon_smile.gif"><br> <BR>en tout cas avec cette config une bande de trou du c.. (c'est le <BR>cas de le dire <IMG SRC="images/smiles/icon_smile.gif"> le spameur est un site ce $%#&! américain) me <BR>bombe la guérite <IMG SRC="images/smiles/icon_frown.gif"><br> <BR><br> <BR><font color="#FF0000">la doc générale de qmail recommande pour <BR>éviter le relais la création d'un fichier "rcpthost" <BR>contenant mon nom de domaine uniquement<br> <BR>ce fichier n'existe pas dans la configuration de la corel linux !</font><br> <BR><br> <BR><strong>si j'ajoute un fichier "rcpthost" je fait quoi <BR>du fichier "tcp.smtp" ??????</strong>