Probleme sur un serveur, adresse IP blacklistée - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 21-10-2005 à 15:38:11
en fait au lieu de blacklister IP par IP, ils blacklistent une plage d'adresse IP (et oui c'est plus facile à gérer). Donc dans ta classe d'IP, il y a eu un spammeur (volontaire ou non).
Marsh Posté le 21-10-2005 à 15:50:30
T'es sur ce que que tu avances !!???
Mais c'est n'importe quoi !!! C'est surtout tres grave parce que ca veut dire que si je me desinscrit de la liste (on peut le demander), mais que le spammeur persiste, je serais a nouveau blacklisté ! Et au bout d'un certain nombre de fois, on ne peut plus se desinscrire de la liste....
Marsh Posté le 21-10-2005 à 15:51:19
Et sais tu comment ils remplissent leur liste ? Qui leur envoit une IP ?
Marsh Posté le 21-10-2005 à 15:57:29
La victime du spam renvoie l'IP de la machine zombie
-> ex: http://spam-rbl.com/ ou d'autre organisme.
Marsh Posté le 21-10-2005 à 16:04:25
jlighty a écrit : La victime du spam renvoie l'IP de la machine zombie |
Bon, ok, la question maintenant, c'est comment la victime, ou plutot le serveur de la victime (car j'imagine que c'est automatique) a detecté qu'on etait des spammeurs.
En tout cas, ce que je sais, c'est que certains virus se propagent en utilsant comme adresse d'expediteur des adresses aleatoires ou piochées a droite et a gauche dans les carnets d'adresses des victimes. Et donc certains virus utilisent notre nom de domaine comme expediteur. Resultat je recois pas mal de messages d'erreurs en retour, sur des mails que je n'ai jamais envoyé !
Du coup si ca se trouve, c'est comme ca qu'on a été blacklisté. Mais le gros souci, c'est que ca ne s'arretera pas de sitôt si des virus continuent a utiliser notre domaine comme domaine expediteur.
Que faire ?
Et dire que c'est la faute a windaube !!
Marsh Posté le 21-10-2005 à 16:08:44
quand je parle de la victime, c'est la personne qui a reçu un spam dans son mail. En analysant l'entête du mail, elle en a déduit l'adresse IP de la machine zombie.
Citation : Et dire que c'est la faute a windaube !! |
pas forcément, en configurant mal son serveur SMTP, on peut le transformer en open relay que ce soit sous Win ou tout autre OS.
Marsh Posté le 21-10-2005 à 16:39:17
nlc a écrit : Bon, ok, la question maintenant, c'est comment la victime, ou plutot le serveur de la victime (car j'imagine que c'est automatique) a detecté qu'on etait des spammeurs. |
c'est aussi ce que j'observe dans les maillog de mon serveur et je ne vois pas
trop où est la fuite.
et même depuis un certain temps, nous sommes blacklisté par AOL.
alors que j'ai mis en place un systeme de filtre en refusant certains
domaines et entete de mails (viaggra, cash...)...
nous ne serons jamais déblacklisté par aol et apparemment
aucun de nos fournisseurs ne peuvent intervenir...
bref, personne pour aider.
Marsh Posté le 21-10-2005 à 17:50:23
Tiens, tu pourrais jeter un oeil si tu apparais sur ce site : http://www.mail-abuse.com/cgi-bin/lookup
Sur ce site, ils blacklistent carrement des zones de 256 adresses d'un coup (Comme le soulignait jlighty )
Marsh Posté le 21-10-2005 à 17:55:45
super je suis blacklisté (IP Free dégroupé) par leur site
Marsh Posté le 21-10-2005 à 18:25:58
Ouais mais pour toi c'est pas genant si t'envois ton courrier en passant par smtp.free.fr
C'est quand meme dingue ce truc, je sens que c'est encore un truc qui va me gonfler...
Marsh Posté le 21-10-2005 à 19:54:42
jlighty a écrit : |
ah oui mais ça c'est ce que tlm répond a tout le monde
sans pour autant donner de conseils pour bien configurer son smtp.
genre des conseils sur ce qu'il faut eviter, mais non même nos
fournisseurs d'acces nous laisse nous debrouiller tout seul.
et pourtant tout cela est vraiment très mal documenter.
a part utiliser aussi des blacklistes et des filtres a dico, je n'ai
toujours pas trouver de solution ou de corrections à apporter
au smtp.
ps : ne te sens pas specialement viser. c'etait juste une remarque
globale.
Marsh Posté le 21-10-2005 à 20:05:26
Citation : ps : ne te sens pas specialement viser. c'etait juste une remarque |
non du tout , je comprend ton point de vue, surtout quand je vois la config d'un sendmail.
Marsh Posté le 21-10-2005 à 20:28:25
jlighty a écrit :
|
C'est pour ca que moi j'ai mis postfix !
C'est "assez" facile a configurer correctement
sendmail c'est l'usine a gaz !
Marsh Posté le 21-10-2005 à 20:35:47
memaster a écrit : ah oui mais ça c'est ce que tlm répond a tout le monde |
Ben :
- ne relayer que des machines de ton reseau, dont tu es sur
- si tu ne peux pas etre sur de toutes les machines : antivirus/antispam meme en sortie, ou alors SMTP auth obligatoire (le top)
- avoir des enregistrement DNS et reverse de ton serveur sortant
c'est tout
Marsh Posté le 21-10-2005 à 20:40:02
e_esprit a écrit : Ben : |
Justement ! Quoi mettre dans les DNS pour qu'il soient corrects au niveau du reverse ?
Tu sais comment verfier si la config est bonne ?
Par exemple, mon serveur c'est www.a3ip.com, comment savoir si tout est OK au niveau des DNS ?
Marsh Posté le 21-10-2005 à 20:40:19
nlc a écrit : Ouais mais pour toi c'est pas genant si t'envois ton courrier en passant par smtp.free.fr |
Pas forcement. Une fois (d'accord ce n'est arrivé qu'une fois ) je n'ai pas pu envoyer un message à quelqu'un car son antispam avait blacklisté un smtp free
Marsh Posté le 21-10-2005 à 20:46:43
arf Y'en a qui chipotent
Marsh Posté le 21-10-2005 à 20:47:16
nlc a écrit : Justement ! Quoi mettre dans les DNS pour qu'il soient corrects au niveau du reverse ? |
"host-t any www.a3ip.com" doit te donner l'adresse IP de la machine, ou alors si c'est un alias, vers quel nom il pointe.
"host -t any adresse_ip" doit te donner le nom de la machine
Faut eviter d'utiliser un HELO qui donne un nom different du nom renvoyé par le reverse DNS par exemple.
Marsh Posté le 21-10-2005 à 20:50:13
Après dans les diverses "choses" qui font que l'on peut se retrouver blacklisté, y a le fait de ne pas avoir de abuse@tondomaine.truc
Marsh Posté le 21-10-2005 à 22:02:42
Bon, j'ai essayé les commandes :
[nlc@localhost nlc]$ host -t any www.a3ip.com
www.a3ip.com has address 82.229.124.93
[nlc@localhost nlc]$ host -t any 82.229.124.93
93.124.229.82.in-addr.arpa domain name pointer lcy44-1-82-229-124-93.fbx.proxad.net.
C'est different et c'est normal, car mon nom de domaine je l'ai acheté chez gandi, qui heberge donc aussi les DNS associé, alors que l'adresse IP c'est Free qui me la fournit. D'ailleurs chez gandi il precisent bien qu'il n peuvent pas gerer le reverse DNS.
Ca pourrait etre ca le probleme alors ? un reverse DNS ne redonne pas www.a3ip.com ? Faudrait que je vois si Free peut proposer le service DNS, que je retirerais alors de chez gandi.
Autrement, j'ai bien un abuse@a3ip.com, lorque j'envois un mail a cette adresse je le recois bien.
Marsh Posté le 21-10-2005 à 22:24:08
Chez Free, tu peux demander un reverse dns personnalisé. http://adsl.free.fr/admin/reverse.html
Marsh Posté le 22-10-2005 à 00:16:29
C'est excellent ca !!
Merci pour l'info !!
Je viens de faire la demande, y' aplus qu'a attendre 24h pour voir si ca marche
Marsh Posté le 22-10-2005 à 18:33:08
j'ai été confronté au meme probleme que toi pendant un certain temps. Au final le plus simple est d'utiliser le relais SMTP de ton provider. Les serveur refusant les connexions smtp provenant de plages d'ip dynamiques sont de plus en plus nombreuses alors tu ne t'en sortira jamais sinon ... ca fait un peu moins geek mais ca fonctionne a tout les coups quand tu envois un mail et tu est pas oblige de verifier tout les matins dans ta queue list pour voir si un message n'est pas bloqué.
Marsh Posté le 22-10-2005 à 18:48:20
Ben moi j'ai une IP fixe.
En fait on utilise un serveur de mail pour pouvoir echanger des mails en interne sans qu'ils ne ressortent vers l'exterieur pour revenir apres.
Mais tu as raison, il y a peut etre moyen quand meme de configurer postfix pour qu'il n'envoit pas les mails qui doivent sortir directement vers le serveur du domaine du destinataire, mais qu'il les envoit au smtp de free ?
Il semblerait que ca soit le parametre 'relayhost' non ?
Marsh Posté le 23-10-2005 à 14:44:44
oui de toute facon postfix analyse le mail avant de l'envoyer au serveur smtp donc si il est pour une personne de ton domaine il va le relayer automatiquement sans passer par le net. Voici un extrait de mon /etc/postfix/main.cf :
Code :
|
Marsh Posté le 23-10-2005 à 16:09:47
Bon j'ai demandé le retrait de notre IP des blacklist.
Mais si le probleme revient je mettrai le relayhost vers smtp.free.fr
Il reviendra forcement car apparemment c'est bien des utilisateurs lambda qui peuvent demander de blacklister une IP.
Et comme des virus email circulent avec notre nom de domaine comme adresse d'expediteur, et que les gens ne regarde pas le code source du message (on y voit bien que l'adresse IP qui a envoyé le mail n'a rien a voir avec a3ip.com)......
Marsh Posté le 23-10-2005 à 19:13:29
nlc a écrit : Bon j'ai demandé le retrait de notre IP des blacklist. |
Ca fonctionne par plage d'adresses IP on t'a dit
Marsh Posté le 23-10-2005 à 20:17:42
e_esprit a écrit : |
Ah oui ? Et la plage d'adresse, ils l'inventent ? Au depart il faut bien qu'il partent d'une adresse isolée pour faire la plage non ?
Marsh Posté le 23-10-2005 à 20:32:32
Oui mais ca n'a rien a voir avec le fait que le mail ait été envoyé avec ton domaine ou pas
Il suffit que quelqu'un dans ta plage d'IP balance du spam, et c'est tout le monde qui en profite
Marsh Posté le 24-10-2005 à 09:50:09
Oui je suis d'accord, mais ca peut aussi etre a cause du fait que quelqu'un pense que c'est moi qui envoit du spam.
Si un utilisateur dit qu'il recoit des virus et des spam venant de webmaster@a3ip.com, rien ne l'empeche lui ou l'organisme de constater que l'adresse ip de a3ip.com c'est 83.243.23.28 et de la blacklister, ainsi que toute la plage 83.243.23.x
Marsh Posté le 24-10-2005 à 11:39:09
Non, si ca se passait comme ca, la totalité des serveurs de messagerie dans le monde seraient deja blacklistés !
Marsh Posté le 24-10-2005 à 16:51:12
e_esprit a écrit : Non, si ca se passait comme ca, la totalité des serveurs de messagerie dans le monde seraient deja blacklistés ! |
Oui c'est bien ce que je me suis dit !
Car j'imagine que notre nom de domaine n'est pas le seul utilisé par les virus !
Marsh Posté le 27-10-2005 à 10:03:42
Bon, j'ai du nouveau pour ceux que ca interesse.
Notre adresse IP etait blacklisté sur la liste DUL (http://www.mail-abuse.com/).
Cette liste repertorie en fait toutes les adresses IP dynamiques que les providers fournissent a leur client.
Ca explique pourquoi ca marche par groupes d'adresses.
J'ai donc fait une demande en explicant mon cas, et ils ont retiré notre adresse IP de la liste, meme si elle fait partie de la zone 83.243.23.x qui elle est blacklistée.
En fait cette liste permet d'eviter aux serveur qui l'utilise de recevoir des mails provenant directement d'un PC ayant une adresse IP dynamique. En gros, c'est pour obliger l'emetteur du mail a passer par le serveur mail de son provider...
Je pense que le retrait de cette liste va resoudre quelques uns de nos problemes.
Mais on en a d'autres ! Par exemple, je ne peux plus me connecter sur certain site securisés !! Je suis obligé de passer par un proxy pour remedier a cela
Marsh Posté le 21-10-2005 à 15:12:54
Bonjour a tous.
Bon, j'ai un petit souci.
Voila j'ai un serveur linux qui me permet de faire du partage de connexion internet. Ce serveur sert egalement de serveur web, et de serveur mail.
Donc les clients du reseau local utilisent ce serveur comme serveur smtp afin d'envoyer des mails.
Jusqu'a il y a peu de temps, tout allait tres bien, mais un jour en envoyant un mail a quelqu'un j'ai eu une erreur :
Donc le serveur de mail de mon destinataire a refusé de prendre en compte mon mail sous pretexte que mon adresse IP est blacklistée.
Apres avoir été sur le site qui repertorie mon IP dans sa blacklist, ils expliquent qu'on est blacklisté quand on est une machine qui envoit du spam ou diffuse des virus.
Et c'est pas du tout le cas !!
Le serveur de mail est bien configuré, il est impossible de l'exterieur de s'en servir comme d'un relais, et apres de nombreuses verifications, il n'y aucun virus sur le reseau local susceptible de se diffuser en passant a travers le serveur.
Donc la question que je me pose, c'est comment ce genre d'organisme fabrique la blacklist et detecte qu'une IP doit etre blacklistée ?
Est ce que c'est le serveur du destinataire qui fait des verifications sur le nom de domaine de l'expediteur, et qui considere que l'emetteur n'est pas un serveur smtp valide, et envoit l'IP a l'organisme ?
Est ce que si ca se passe comme ca, ca peut etre un probleme de configuration de DNS ? C'est a dire que le serveur du destinataire verifie bien que le nom de domaine du serveur emetteur correspond bien a un serveur de mail, et possede un champs MX ?
Bref si quelqu'un a des explications, ou meme simplement des idées, je suis preneur !
Cyril