zantar Posté 15 Octobre 2006 Posté 15 Octobre 2006 Bonjour, je suis confronté depuis quelques jours à un phénomène déplaisant voire dangereux. je reçois des retours de mail non délivrés de toutes parts. Apparement mon nom de domaine a été spammé. Comment s'y prenent ils? une faille dans mon sysytème? est ce que je risque des soucis à voir mon nom de domaine utilisé ainsi et passer pour un vulgaire spammeur? si vous avez des solutions ou suggestions je suis preneur. merci
Jeanluc Posté 15 Octobre 2006 Posté 15 Octobre 2006 Idem chez moi. Depuis quelques jours, je reçois des tonnes de mails non délivrés qui me parviennent de serveurs de mails qui renvoient les spams qu'ils reçoivent vers l'adresse indiquée dans le champ "expéditeur". Je suppose que les administrateurs de ces serveurs de messagerie ne sont pas conscients qu'en agissant ainsi ils ne font qu'aggraver le problème du spam. Jean-Luc
Chark Posté 15 Octobre 2006 Posté 15 Octobre 2006 (modifié) Perso, je te conseillerais de contacter ton FAI et de lui signaler ce probleme. Je ne pense pas qu'ils puissent y faire grand chose ( pour remonter a la source il faudrais qu'ils fassent une "enquete" car dans ce genre de pratiques il est tres difficile de remonter à la source ) mais au moins, tu te couvre contre d'eventuelles "poursuites" ou désagréments legaux. Il vaut mieux prendre les devants et avoir une preuve ( l'envoi de ta plainte au FAI ) de ta bonne foi. Modifié 15 Octobre 2006 par Chark
Leonick Posté 15 Octobre 2006 Posté 15 Octobre 2006 Apparement mon nom de domaine a été spammé. Comment s'y prennent ils? une faille dans mon sysytème?Non, il suffit juste de trouver une adresse mel qui servira d'expéditeur et une autre de destinataire. Ca a longtemps été le cas des virus spam sur les micro : il prenaient des adresses dans le carnet d'adresse qui leur servaient dans les champs expéditeur et destinataire.Si on envoie des mels en indiquant contact#webmaster#hub ca ne veut pas dire que les mels viennent du hub. Maintenant, ils ne prennent plus la peine de scanner les adresses mels, il font de l'attaque par dictionnaire. Souvent sur les sites, il y a des contact_AT_ webmaster_AT_ etc... J'ai laissé pendant quelques semaines mon catch call fonctionnel sur un de mes sites, et c'est fous le nombre d'adresses mels inventées : des aaa@ aa2@ etc... Maintenant, si des mauvais admin réseaux font un renvoie vers le from: ou le reply-to: sans regarder les en-têtes des mels
zantar Posté 16 Octobre 2006 Auteur Posté 16 Octobre 2006 Je viens de lire vos réponses ce lundi matin; hier c'était forêt et champignons. A propos décrire au FAI, j'ai contacté mon hebergeur mutu pour lui signaler le probleme, est ce suffisant comme preuve de bonne foi?, j'en arrive a me demander s'ils n'ont pas piraté mon script de mailing list...
Leonick Posté 16 Octobre 2006 Posté 16 Octobre 2006 Regarde les en-têtes des mels qui te reviennent et sont sensés venir de ton . serveur. Il y a de fortes chances que l'ip de l'expéditeur ne vienne pas de ton serveur.
Jeanluc Posté 16 Octobre 2006 Posté 16 Octobre 2006 Bonjour zantar, Une preuve de bonne foi pour quoi faire ? Quand on dispose d'un logiciel d'envoi d'email et qu'on connaît un tout petit peu la technique, on peut indiquer n'importe qui comme expéditeur (George Bush, Zidane, Fogiel, Jean-Luc ou Zantar). Le nom de l'expéditeur d'un spam n'est absolument pas une preuve de quoi que ce soit. Seule l'adresse IP de l'expéditeur est une preuve et on peut la trouver dans les entêtes de l'email. Il n'y a donc pas d'alibi à rechercher. Le seul problème est que des personnes mal informées pourraient croire que toi ou ton système y sont pour quelque chose, mais, contre ça, tu ne peux pas faire grand chose. Jean-Luc
glibre Posté 16 Octobre 2006 Posté 16 Octobre 2006 bonjour, le jour ou tous les systemes de messagerie utiliseront le SPF, il n'y aura plus ce probleme...
Jeanluc Posté 16 Octobre 2006 Posté 16 Octobre 2006 (modifié) Voici un exemple de mauvaise gestion des spams (parmi de nombreux autres, reçus aujourd'hui) : Subject: **Message you sent blocked by our bulk email filter**To: <ahi_AT_internetofficer.com> Your message to: brewer_AT_huggle.com was blocked by our Spam Firewall. The email you sent with the following subject has NOT BEEN DELIVERED: Subject: revampReporting-MTA: dns; spam.prostream.net Received-From-MTA: smtp; spam.prostream.net ([127.0.0.1]) Arrival-Date: Mon, 16 Oct 2006 15:40:06 -0400 (EDT) Content-Type: text/plain; x-avg-checked=avg-ok-663866C0 Final-Recipient: rfc822; brewer_AT_huggle.com Action: failed Status: 5.7.1 Diagnostic-Code: smtp; 550 5.7.1 Message content rejected, UBE, id=05458-01-254 Last-Attempt-Date: Mon, 16 Oct 2006 15:40:06 -0400 (EDT) Received: from 89.0.96.209.dynamic.barak-online.net (89.0.96.209.dynamic.barak-online.net [89.0.96.209]) by spam.prostream.net (Spam Firewall) with SMTP id 1FFC57FCD3 for <brewer_AT_huggle.com>; Mon, 16 Oct 2006 15:39:24 -0400 (EDT) Received: (qmail 8092 invoked from network); Mon, 16 Oct 2006 21:48:11 +0200 Received: from unknown (HELO 89.0.117.222) (89.0.117.222) by 89.0.96.209.dynamic.barak-online.net with SMTP; Mon, 16 Oct 2006 21:48:11 +0200 Message-ID: <4533DFE0.3050508_AT_internetofficer.com> Date: Mon, 16 Oct 2006 21:39:12 +0200 From: Moses Delgado <ahi_AT_internetofficer.com> User-Agent: Thunderbird 1.5.0.7 (Windows/20060909) MIME-Version: 1.0 To: brewer_AT_huggle.com Subject: revamp Content-Type: multipart/related; boundary="------------050703040808070000070603" internetofficer.com est un de mes domaines, mais l'utilisateur Moses Delgado, alias ahi n'a jamais existé. Le logiciel détecte que le domaine qui a envoyé le mail est 89.0.117.222 qui est en Israël, mais il envoie un mail d'avertissement en Belgique, induit en erreur par le spammeur qui a évidemment indiqué une adresse d'expéditeur fictive ! Et tout cela semble généré automatiquement par un ... anti-spam. Jean-Luc Modifié 16 Octobre 2006 par Jeanluc
mediaforest Posté 20 Octobre 2006 Posté 20 Octobre 2006 bonjour, le jour ou tous les systemes de messagerie utiliseront le SPF, il n'y aura plus ce probleme... Sauf que si ton adresse c'est monnom_AT_mondomaine.com, c'est mondomaine.com qui est dans le spf. Alors quand tu es à la maison avec une connexion wanadoo ou cegetel les serveurs destinataires refuseront ton message venant de monnom_AT_mondomaine.com puisqu'il transite par cegetel.net ou wanadoo.fr, et si tu ajoutes wanadoo.fr ou cegetel.net dans ton SPF tous les spam provenant de ces domaines passeront... Attention, zantar, si le site correspondant à ton nom de domaine contient des scripts CGI ou PHP servant à envoyer des emails de confirmation ou autre, il est très possible qu'ils soient détournés et que ce soit vraiment ton serveur qui envoie du spam... jette un coup d'oeil là dessus : http://sourceforge.net/project/showfiles.p...ackage_id=70827 http://www.phpsecure.info/v2/article/MailHeadersInject.php
glibre Posté 20 Octobre 2006 Posté 20 Octobre 2006 Sauf que si ton adresse c'est monnom_AT_mondomaine.com, c'est mondomaine.com qui est dans le spf. Alors quand tu es à la maison avec une connexion wanadoo ou cegetel les serveurs destinataires refuseront ton message venant de monnom_AT_mondomaine.com puisqu'il transite par cegetel.net ou wanadoo.fr, et si tu ajoutes wanadoo.fr ou cegetel.net dans ton SPF tous les spam provenant de ces domaines passeront... Il suffit de mettre en place le SMTP_AUTH sur ton serveur, et du coup tu utilises uniquement le SMTP declaré dans ton DNS pour envoyer des mails de ton domaine. Tant que les gens et entreprises utiliseront les SMTP des fai pour relayer des domaines n'ayant rien avoi avec leur reseau, il y aura des problemes. Le SPF n'est pas la solution miracle pour le SPAM, mais permettrait d'eviter enormement de problemes, tels que les virus de derniere generation qui installent un smtp local et envoie des mails de la part et à toutes les personnes presentes dans les carnets d'adresses. Hotmail considere d'ailleurs comme spam tout domaine n'ayant pas d'entree SPF.
Leonick Posté 20 Octobre 2006 Posté 20 Octobre 2006 Le SPF n'est pas la solution miracle pour le SPAM, mais permettrait d'eviter enormement de problemes, tels que les virus de derniere generationqui installent un smtp local et envoie des mails de la part et à toutes les personnes presentes dans les carnets d'adresses. Ce type de virus existe déjà depuis de nombreuses années et souvent le seul moyen de trouver l'expéditeur était de faire un croisement de toutes les adresses mels contenues dans les différents spams. La personne qui avait toutes ces adresses dans son carnet d'adresses était la fautive
glibre Posté 20 Octobre 2006 Posté 20 Octobre 2006 Ce type de virus existe déjà depuis de nombreuses années il n'en reste pas moins que ce sont les virus de derniere generation (mode de propagation) et souvent le seul moyen de trouver l'expéditeur était de faire un croisement de toutes les adresses mels contenues dans les différents spams. La personne qui avait toutes ces adresses dans son carnet d'adresses était la fautive je me vois mal faire un croisement des mes users en fonction de leur carnet d'adresse. Rien que celui interne a ma boite (LDAP) contient plus de 600 adresses... alors si j'y ajoute les clients etc. j'en ai pas finit. Apres... impossible de gerer ceux des clients et autres contacts de mes utilisateurs. Non la seule bonne solution est d'avoir un antivirus a jour (je sais, ca parrait debil comme ca...) Sinon, c'est plus avec l'ip qu'autre chose que je detecte si j'ai un user qui deballe dans mon reseau.
Leonick Posté 20 Octobre 2006 Posté 20 Octobre 2006 j'ai tenté il y a quelques temps de renvoyer tous les spams que je recevais vers le FAI du destinataire (avec l'IP de l'expéditeur) et pas le mel en leur disant de se mettre en rapport avec le possesseur de l'ip incriminée et de lui demander d'avoir un antivirus à jour. C'était très souvent wanamoo et neuf, je n'ai eu aucun retour et les spams continuaient de plus belle.
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant