Reception de mail "Undelivered Mail Returned to Sender" en masse

[Nicolas]

Bonjour,

J'ai une boite mail d'un client inondée de message de type Undelivered Mail Returned to Sender.

Sur la boite mail concernée ce genre de mail arrivent à rythme de 1 à 2 par minute.

La mail d'origine est un mail en anglais de type spam. Le message de retour n'est donc pas générée par une erreur (mauvais destinataire par exemple) du propriétaire (le client) de la boite mail.

Le champ "from" correspond à l'adresse mail du client.

Le champ "received" est celui du serveur qui contient le site.

Le site associé au domaine est sous Wordpress. J'ai vérifié si il y avait des mises à jour à faire (wordpress + plugins). J'ai aussi fait quelques vérifications de hacks; bien sur ça ne veut pas dire que le site n'est pas hacké pour autant.

Si vous avez des pistes sur ce genre de problème je suis preneur.

Bien sur je pourrai mettre une règle dans le logiciel Outlook (version 2007) du client mais je préfère régler le problème à la base.

Merci d'avance.

[Dan]

Tu utilises quel logiciel pour les mails sur ton serveur ? Exim, postfix, qmail, autre... ?

[Nicolas]

Le client passe par Outlook et Outlook Express suivant la machine et moi pour effacer et contrôler l'arriver de ce type de mail je passe par Roundcube.

[Dan]

Non, je te demande le MTA (sur le serveur), pas le client

[Nicolas]

Ah désolé ;-)

C'est Postfix

[Portekoi]

Pour WordPress, renvoi tous les fichiers "Core". Je me suis fait avoir une fois.

Un vieux WordPress non mis à jour. J'ai donc fait l'update via l'admin.... mais le hack était toujours là.

J'ai donc uploadé tous les fichiers Core (Excepté le dossier wp-content/theme/)

[Nicolas]

Merci Portekoi

Est-ce que le hack peut venir d'un autre site du serveur (= un domaine différent à celui du mail) ?

[Portekoi]

Oui dans la mesure où on peut usurpé l'expéditeur.

il faudrait que tu affiches l'un des entêtes des mails concernés pour voir l'IP du serveur qui envoie cette ******

[Nicolas]

Un exemple de mail reçu (j'ai masqué le serveur name = nsXX.XXXXXX.xxx ainsi que le mail du client = contact@domaine_du_client.com)

This is the mail system at host nsXX.XXXXXX.xxx.


I'm sorry to have to inform you that your message could not

be delivered to one or more recipients. It's attached below.


For further assistance, please send mail to postmaster.


If you do so, please include this problem report. You can

delete your own text from the attached returned message.


                   The mail system


<kathpar8@aol.com>: mail transport unavailable


<krausepau@aol.com>: mail transport unavailable


<smakdaab1@aol.com>: mail transport unavailable

Reporting-MTA: dns; nsXX.XXXXXX.xxx

X-Postfix-Queue-ID: F08071A1F89

X-Postfix-Sender: rfc822; contact@domaine_du_client.com

Arrival-Date: Mon, 24 Feb 2014 09:48:59 +0100 (CET)


Final-Recipient: rfc822; kathpar8@aol.com

Action: failed

Status: 4.3.0

Diagnostic-Code: X-Postfix; mail transport unavailable


Final-Recipient: rfc822; krausepau@aol.com

Action: failed

Status: 4.3.0

Diagnostic-Code: X-Postfix; mail transport unavailable


Final-Recipient: rfc822; smakdaab1@aol.com

Action: failed

Status: 4.3.0

Diagnostic-Code: X-Postfix; mail transport unavailable

Return-Path: <contact@domaine_du_client.com>

Received: by nsXX.XXXXXX.xxx (Postfix, from userid 5000)

	id F08071A1F89; Mon, 24 Feb 2014 09:48:59 +0100 (CET)

X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on nsXX.XXXXXX.xxx

X-Spam-Level: 

X-Spam-Status: No, score=-2.9 required=5.0 tests=ALL_TRUSTED,BAYES_00,

	TVD_SPACE_RATIO,URIBL_DBL_REDIR autolearn=ham version=3.3.1

Received: from domaine_du_client.com (unknown [91.241.129.235])

	by nsXX.XXXXXX.xxx (Postfix) with ESMTPA id 6BE2B1A1F86;

	Mon, 24 Feb 2014 08:48:53 +0000 (UTC)

Message-ID: <1B5E2011.D44A2AC6@domaine_du_client.com>

Date: Mon, 24 Feb 2014 09:49:00 +0100

Reply-To: "contact" <contact@domaine_du_client.com>

From: "contact" <contact@domaine_du_client.com>

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.12) Gecko/20050923 Thunderbird/1.0.7

X-Accept-Language: en-us

MIME-Version: 1.0

To: <krausepau@aol.com>,

	<smakdaab1@aol.com>,

	<kathpar8@aol.com>

Subject: Your question

Content-Type: text/plain;

	charset="iso-8859-1"

Content-Transfer-Encoding: 7bit


How are you http://t.co/UUbM2mtiuz

[Dan]

A voir l'IP, c'est un Ukrainien qui spamme !

Received: from domaine_du_client.com (unknown [91.241.129.235])

91.241.129.235 UA Ukraine, Europe   49, 32 Tov Neo-telecom Tov Neo-telecom sv3.net.ua  

Dis à ton client de changer son mot de passe, ou change-le toi-même !

Tu peux déjà commencer en blacklistant cette IP.

iptables -A INPUT -s 91.241.129.235 -j DROP

[Nicolas]

Merci :-)

Je vais commencer par changer le mot de passe de la boite mail

Concernant l'ip j'en ai une différente à mail.

[Nicolas]

Bonjour,

J'ai changé le mot de passe de la boite mail. J'ai l'impression d'avoir moins de mails de ce type mais il y en a encore :-(

J'espère que la boite n'est pas foutue.

Merci pour les pistes en tout cas ;-)

Nicolas

[Dan]

Les mails que tu reçois sont des "bounces" ... il est logique que tu en reçoives encore durant 5 jours qui est le délai normal en cas de non-distributon d'un email.

[Nicolas]

D'accord merci pour votre aide :-) Je reviendrai sur ce topic pour faire le point dans 5 jours

[nikus]

Bonjour je me suis inscrit sur votre forum, car je suis victime de la même chose....

Donc je vous transmet l'entete d'un des mails recu :

Return-Path: <monmail-perso-utilisé@csm-authentique.com>

Received: from cquxel (n01-037.lp.newplanet.cl [200.107.66.37])

 (Authenticated sender: monmail-perso-utilisé@csm-authentique.com) by mx1b.lautre.net

 (Postfix) with ESMTPA id 8378F7E27B; Wed, 26 Feb 2014 22:20:18 +0100 (CET)

Subject: Foolish Levitra

From: monmail-perso-utilisé@csm-authentique.com

To: <boum@noos.fr>, <j.cox@gurlmail.com>, <bomberman12335@hotmail.com>,

 <tp004b4185@blueyonder.co.uk>

Date: Wed, 26 Feb 2014 22:09:11 -0700

Mime-Version: 1.0

Content-Type: text/plain; charset=iso-8859-2

Message-ID: <1393449649.12196.223.camel@nicolas-Lenovo-IdeaPad-S300>


http://trifinitycorp.com/sumptuous.html?seqi

apparemment l'adresse IP 200.107.66.37 vient de Santiago au Chili

Pour info mes sites (un wordpress en cours de conception, un forum PHPBB3) sont hébergés par lautre.net qui a ete victime de la grosse panne d'il y a 2 semaines

J'ai changé le mot de passe, donc affaire à suivre...

Que risque a terme mon adresse mail perso?

[Nicolas]

Bonjour,

Pas de mails de type "Undelivered Mail Returned to Sender" cette nuit ;-)

Le problème semble donc résolu.

Nikus >> est-ce que tu as toujours la même en tête ?

[Dan]

@Nikus,

Ce qui est le plus intéressant à déterminer, c'est si le mail originel (qui a déclenché ce bounce) a bien été émis par ton serveur;

Pour ça il faut éplucher les logs des derniers jours.

Parce qu'il est simple d'envoyer un email avec un champ "From:" usurpé (un "Fake From:").

N'importe qui peut le faire, et envoyer un email avec comme émetteur "bill.gates@microsoft.com". De ce fait, c'est l'ami Bill qui se prendra les retours dans les dents

Le mieux pour éviter de se voir taggué comme spammeur est encore :

- d'avoir un reverse sur l'IP qui envoie les mails

- d'avoir un champ SPF défini dans la zone DNS

- d'utiliser DKIM

Dan

[Portekoi]

Et regarde ici l'outil pour savoir si ton serveur est blacklisté ou non :

http://blog.portekoi.com/spam-comment-savoir-si-votre-serveur-est-blackliste/

[nikus]

Plus de retour de message d'erreur depuis le changement de mot de passe, ce matin je recois un mail du root de lautre.net qui me signale que mon adresse mail servait à spammer, voila sont message :

Bonjour,

Votre mail monadresse-perso[AT]csm-authentique[point]com a été utilisé pour envoyer du spam.

La personne derrière ces agissements possède le mot de passe de votre
boite mail, il y a donc des chances que votre ordinateur soit infecté.

Nous avons désactivé ce mot de passe. Avant de le rétablir depuis votre
interface, pensez à désinfecter les ordinateurs depuis lesquels vous vous
connectez à cette boite

Je lui ai repondu que mon pc etait sous linux donc peut de chance qu'il soit verollé, Bref je suis retourné sur l'interface admin j'ai remodifier mon mot de passe avec un mot contenant des lettres majuscule/minuscule des chiffres, des ponctuations, dans une syntaxe qui ne veux rien dire, d'ailleur j'ai deja oublié ce mot de passe ;-) faut que je le refasse et la je vais faire un truc simple 123456.

@nicolas oui j'ai toujours le meme en tete

@dan le serveur c pas moi qui le gere c'est lautre.net, apres j'ai pas tout compris sur tes 3 recommandations

@portekoi sur ton outil j'y suis allé j'ai mis mon nom de domaine et je suis vert à 95%

Merci encore

[Dan]

Comme je l'ai dit plus haut, tu peux encore avoir des bounces suite à des emails envoyés à de mauvaises adresses mail avant le changement de mot de passe

[nikus]

oui j'avais bien compris ce phénomène

a ce jour plus de souci