Discussion :

[gescolino]

Bonjour à tous,

Je viens vers vous car je désespère...

Mon serveur semble envoyer du SPAM mais impossible de trouver d'ou ca vient...

Le serveur a Plesk 10 avec Qmail. J'ai de plus ajouté un wrapper à sendmail me permettant ainsi de logguer tous les mails sortants de mon serveur (du moins je le pensais...)

Voici un abuse report que j'ai recu:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
Delivery-date: Tue, 26 Jun 2012 14:22:47 -0700
Received: from mon.domaine.com ([XX.XXX.XX.XX])
	by pascal.junkemailfilter.com with smtp (Exim 4.77)
	id 1SjdDT-0005yJ-J9 on interface=184.105.182.180
	for XXXX@rci-nv.com; Tue, 26 Jun 2012 14:22:47 -0700
Received: (qmail 11472 invoked by uid 732); 27 Jun 2012 00:27:11 -0000
Date: 27 Jun 2012 00:27:11 -0000
Message-ID: <20120627002711.11472.qmail@mon.domaine.com>
From: "Dionna" <XXXX@the-light.com>
To: "XXXX" <XXXX@rci-nv.com>
Subject: You have got a private message from Lilu
Mime-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Sender-Domain: mon.domaine.com
X-Spamfilter-host: pascal.junkemailfilter.com - http://www.junkemailfilter.com
X-Mail-from: XXXX@the-light.com
X-Relay-Countries: CODE_PAYS
X-Spam-Report: SpamAssassin 3.3.2 (2011-06-06) on spamd3.ctyme.com
 Spam Tests:
 *  6.0 BAYES_99 BODY: Bayes spam probability is 99 to 100%
 *      [score: 0.9994]
 *  4.5 DATE_IN_FUTURE_03_06 Date: is 3 to 6 hours after Received: date
 *  0.0 HTML_EXTRA_CLOSE BODY: HTML contains far too many close tags
 *  0.0 HTML_MESSAGE BODY: HTML included in message
 *   10 NIXSPAM_IXHASH BODY: iXhash found @ ix.dnsbl.manitu.net
 *  1.0 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
 * -0.0 RCVD_IN_DNSWL_NONE RBL: Sender listed at http://www.dnswl.org/, no
 *      trust
 *      [XX.XXX.XX.XX listed in list.dnswl.org]
 *  3.0 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level
 *      above 50%
 *      [cf: 100]
 *  3.0 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%
 *      [cf: 100]
 *  3.0 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/)
X-Spam-Class: SPAM-HIGH - SpamAssassin - Score=35 [3  Spam]
X-Spam-Class: SPAM-HIGH - SpamAssassin rejected - Score=35 (15) X=pascal H=mon.domaine.com [XX.XXX.XX.XX] HELO=[mon.domaine.com] F=[XXXX@the-light.com] T=[XXXX@rci-nv.com] S=[You have got a private message from Lilu] - X=pascal H=mon.domaine.com [XX.XXX.XX.XX] HELO=[mon.domaine.com] F=[XXXX@the-light.com] T=[XXXX@rci-nv.com] S=[You have got a private message from Lilu]
X-Spamsave: Yes - SpamAssassin rejected - Score=35 (15) X=pascal H=mon.domaine.com [XX.XXX.XX.XX] HELO=[mon.domaine.com] F=[XXXX@the-light.com] T=[XXXX@rci-nv.com] S=[You have got a private message from Lilu] - X=pascal H=mon.domaine.com [XX.XXX.XX.XX] HELO=[mon.domaine.com] F=[XXXX@the-light.com] T=[XXXX@rci-nv.com] S=[You have got a private message from Lilu]
X-Sender-Host-Address: XX.XXX.XX.XX
X-Sender-Host-Name: mon.domaine.com
X-Spam-Flag: yes

Dans les logs qmail je ne retrouve aucune information sur ce mail.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Received: (qmail 11472 invoked by uid 732); 27 Jun 2012 00:27:11 -0000

Le UID 732 n'est pas présent dans mon fichier passwd.

J'ai bien contrôlé que mon serveur n'était pas un open relay (je reçois un 553 à l'envoi)

Je ne sais vraiment plus quoi faire... J'espère que vous pourrez m'aider!

Merci d'avance.

[gangsoleil]

Bonjour,

Est-ce que tu as verifie que le mail provenait bien de ton serveur, et non pas d'un autre serveur qui usurperait ton identite ? Vu les libertes permet l'envoie de mail, ce n'est pas tres difficile a faire.

[gescolino]

Mais comment procéder à cette vérification (se gratte la tête) ?

[gangsoleil]

Mais comment procéder à cette vérification (se gratte la tête) ?

Il faut lire les en-tetes complets du mail envoye, mais je suppose que tu ne les as pas. Souvent, on peut trouver dedans un indice (un nom de machine emettrice par exemple) qui peut faire pencher la balance dans un sens ou dans un autre.

[gescolino]

Les entêtes que j'ai mises sont justement les entêtes du mail reçues par un utilisateur et en me basant sur ceci on dirait bien que ca vient de chez moi...