Discussion :

[flyingman]

Bonjour à tous.

Après seulement 1 semaine de mise en service, voilà que mon serveur SMTP (exim4) souffre de piratage (enfin je crois!).

Je commence à recevoir des notifications (plusieurs pour la même adresse) de messages NON délivrés à des adresses que nous utilisons pas!

Je ne suis pas un pro, loin de là, mais je crois que quelqu'un utilise une des mes adresses (et peut être mon serveur SMTP?) pour spamer.

Est-ce du spam? Pensez vous qu'il utilise mon serveur? est-ce seulement mon adresse qui est utilisée?

Par quoi commencer pour identifier le problème?

D'avance, merci.

[kOrt3x]

Regarde pour bloquer l'utilisateur par son adresse IP.

[0x90_]

Regarde pour bloquer l'utilisateur par son adresse IP.

En effet kOrt3x a raison. Regarde pour directement ban l'ip de "l'attaquant".
Une bonne vielle règle iptables devrait régler ton problème.

0x90_

[becket]

Il serait préférable de comprendre les choses dans leur globalité pour régler le problème "durablement". Ton soucis est un peu vague et du coup, comprendre ce qu'il se passe exactement de permettra d'y apporter une réponse cohérente.

Il existe un certain nombre de techniques par exemple pour empêcher que l'on utilise ton serveur de mail comme relay.

- spamassassin
- milter
- greylisting
- authentification pour les envois
... etc

Imaginons, que ton spammer possède une adresse d'une ligne ADSL européenne, tu vas devoir rapidement bloquer toutes les ip du FAI...

[flyingman]

Il existe un certain nombre de techniques par exemple pour empêcher que l'on utilise ton serveur de mail comme relay.

- spamassassin

Oui, celui là, il est en place,et il tourne ( j'utilise debian sur laquelle exim4 et spamassassin sont installés par défaut).

Deux questions:

Est-ce seulement mon adresse mail qui est utilisée, ou bien mon serveur SMTP en plus de l'adresse mail?

Pour trouver l'adresse IP "criminelle" je dois aller regarder dans la notification du retour de l'email, c'est bien cela?

Cordialement.

[becket]

La meilleure chose à faire, c'est de regarder dans les log du serveur de mail dans /var/log

[flyingman]

La meilleure chose à faire, c'est de regarder dans les log du serveur de mail dans /var/log

Ok merci bien, je ferais cela de chez moi car je suis en week-end maintenant!

Bon Week-end à tous.

[flyingman]

Bonjour à tous.

Je reviens vers vous car je pense sa

[flyingman]

desolé le message est parti trop vite!

Je disais donc que je sais pourquoi un spammeur a utilisé mon SMTP.

Mon manque d'expérience vient de m'être renvoyé en pleine figure

Mon serveur SMTP était tout simplement, comme j'ai pu le lire sur le net, en open relay. (c'est le métier qui rentre).

Oui donc je précise pour les nullos comme moi, ce que cela signifie:

Il n'y pas de système d'identification (identifiant, mot de passe) pour le SMTP tout simplement!

J'en profite pour vous demander (à vous les pros), est il possible d'être piraté (par des spammeurs) même en mettant un système d'identification sur le SMTP?

Si oui, comment les stopper? En filtrant les IP incriminées?
Si une entreprise désire posséder sa propre messagerie, doit elle se payait un administrateur système à temps plein?

Cordialement.

[becket]

Administrer un serveur mail ne s'improvise pas.
Maintenant, il faut bien comprendre que ton serveur de mail doit laisser passer le courrier à destination de ton ou tes domaines mais demander une authentification lorsqu'il est utilisé pour envoyer un domaine vers un domaine non connu. mais il est bien sur possible d'autoriser un certain nombre d'ip à envoyer du mail sans authentification.

Pour plus de simplicité, n'hésite pas à passer ton serveur de mail sur un windows. Il existe des soft gratuits qui sont pas mal fait du tout.

[flyingman]

Pour plus de simplicité, n'hésite pas à passer ton serveur de mail sur un windows.

J'ai réussi à faire comprendre à mon boss qu'il valait mieux déléguer notre messagerie à des pros (chez gandi dans notre cas).

Ouf! je dois bien vous avouer que je suis soulagé d'un grand poids!

Pour ce qui est de windows, je ne saurais même pas où cliquer pour commencer.

Je ne suis pas un grand administrateur système mais le peu que je sais faire, je le fais sous linux.

Sinon, juste par curiosité intellectuelle, quelqu'un pourrait-il me répondre au sujet des spammeurs sur SMTP avec authentification?

D'avance, merci.

[becket]

Le fait que ton serveur smtp utilise de l'authentification à l'envoi n’empêche pas que tu serveurs puisse être piraté.

[flyingman]

Ok, alors me voilà sans regret sur le fait de laisser tomber !

Une dernière question SVP:

Comment font-ils? Ils arrive à obtenir les identifiants et les mot de passes, ou bien ils arrive à "craquer" directement le SMTP ?

Cordialement.

[Obsidian]

Hello,

Comment font-ils? Ils arrive à obtenir les identifiants et les mot de passes, ou bien ils arrive à "craquer" directement le SMTP ?

Il n'est pas nécessaire de pirater ton serveur SMTP pour recevoir de la part de tiers des fins de non recevoir : dans la plupart des cas, c'est l'utilisateur final qui configure son client courrier (éventuellement son administrateur, en entreprise). Par exemple, c'est lui qui va créer son profil en y mettant son nom et son prénom. Ceux-ci peuvent alors correspondre à n'importe quoi, exactement de la même façon que l'on peut écrire n'importe quoi lorsque l'on envoie une lettre par la poste.

En outre, même si un serveur mail va ajouter ses propres entêtes permettant éventuellement de savoir sous quels identifiants un utilisateur s'est authentifié lorsque c'est le cas, les champs « From: » et surtout « Reply-To: » sont spécifiés par le client courrier. Donc, rien n'empêche a priori un spammeur d'indiquer de fausses adresses. C'est alors le propriétaire légitime de l'adresse en question qui reçoit la réponse envoyée par le destinataire.


Pour le reste, un serveur SMTP protégé par mot de passe se pirate de la même façon que tout autre serveur, principalement avec des attaques par dictionnaire, ou en récupérant les identifiants de quelqu'un sur une machine vulnérable. Il arrive aussi fréquemment que des machines infectées servent à héberger un serveur SMTP à l'insu de son propriétaire, serveur permettant de spammer tout le monde tranquillement et sans contrainte.

Si une entreprise désire posséder sa propre messagerie, doit elle se payait un administrateur système à temps plein?

Oui, mais celui-ci fait bien d'autres choses en même temps.