Relais SPAM sur serveur dédié

**yakotey** · 10/07/2012, 15h49

Bjr,

J'ai l'impression que mon serveur sert de relais pour les spam.
J'aimerais savoir comment identifier le script responsable ou en tout cas l'origine.

Quand je fais un "pstree -al", j'ai ceci:

|-qmail-send
| |-qmail-clean
| |-qmail-lspawn |\040/usr/bin/deliverquota\040./Maildir
| |-qmail-rspawn
| | |-qmail-remote.mo aol.com xxxxxx@yyyyyyyyyyyyyyyyy.com jesjr76@aol.com
| | |-qmail-remote.mo aol.com xxxxxx@yyyyyyyyyyyyyyyyy.com fctdiscounts@aol.com
| | |-qmail-remote.mo aol.com xxxxxx@yyyyyyyyyyyyyyyyy.com articbluenegocio@aol.com
| | |-qmail-remote.mo aol.com xxxxxx@yyyyyyyyyyyyyyyyy.com spoon817@aol.com
| | |-qmail-remote.mo aol.com xxxxxx@yyyyyyyyyyyyyyyyy.com cowboyupkcmo@aol.com
| | |-qmail-remote.mo aol.com xxxxxx@yyyyyyyyyyyyyyyyy.com xbeautifulsonx@aol.com
| | |-qmail-remote.mo earthlink.net xxxxxx@yyyyyyyyyyyyyyyyy.com bwisam@earthlink.net
| | |-qmail-remote.mo yahoo.com xxxxxx@yyyyyyyyyyyyyyyyy.com sirknow711@yahoo.com
| | |-qmail-remote.mo yahoo.com xxxxxx@yyyyyyyyyyyyyyyyy.com lucygoose93@yahoo.com
| | |-qmail-remote.mo comcast.net xxxxxx@yyyyyyyyyyyyyyyyy.com kmredding@comcast.net
| | |-qmail-remote.mo comcast.net xxxxxx@yyyyyyyyyyyyyyyyy.com k_melnyk@comcast.net
| | |-qmail-remote.mo yahoo.com xxxxxx@yyyyyyyyyyyyyyyyy.com d.bohigian@yahoo.com
| | |-qmail-remote.mo yahoo.com xxxxxx@yyyyyyyyyyyyyyyyy.com shirleysmithministries@yahoo.com
| | |-qmail-remote.mo yahoo.com xxxxxx@yyyyyyyyyyyyyyyyy.com squeeze74squeeze@yahoo.com
| | |-qmail-remote.mo yahoo.com xxxxxx@yyyyyyyyyyyyyyyyy.com topbreedboxing@yahoo.com
| | |-qmail-remote.mo yahoo.com xxxxxx@yyyyyyyyyyyyyyyyy.com hawaiidave1@yahoo.com
| | |-qmail-remote.mo aol.com xxxxxx@yyyyyyyyyyyyyyyyy.com canon1117@aol.com
| | |-qmail-remote.mo aol.com xxxxxx@yyyyyyyyyyyyyyyyy.com traceyntoledo19@aol.com
| | |-qmail-remote.mo aol.com xxxxxx@yyyyyyyyyyyyyyyyy.com agenser@aol.com
| | `-qmail-remote.mo yahoo.com xxxxxx@yyyyyyyyyyyyyyyyy.com mdxn17@yahoo.com
| `-splogger qmail

Merci d'avance.

**ram-0000** · 12/07/2012, 09h27

Envoyé par yakotey

J'ai l'impression que mon serveur sert de relais pour les spam.

Tu as plein de sites pour confirmer ton impression, http://www.mailradar.com/openrelay/

Envoyé par yakotey

J'aimerais savoir comment identifier le script responsable ou en tout cas l'origine.

Le script responsable, si tu es en open relay, c'est ton agent SMTP qui fait son boulot. Maintenant, s'il est mal configuré, ce n'est pas de sa faute.

Envoyé par yakotey

Cela peut aussi être un client SMTP interne de ton entreprise qui héberge un virus ou autre et celui-ci profite de ton serveur SMTP pour spammer (mais là, ce n'est plus du mail relay).

Donc détermine d'abord si tu es un mail relay.

Si oui, reconfigure ton SMTP pour ne plus être un mail relay.
Si non, cherche la ou les causes en interne (analyse des logs SMTP)

**yakotey** · 12/07/2012, 13h41

Bonjour ram-0000,

Merci pour ta réponse claire.

J'ai vérifié sur openrelay, voici une des réponses que j'ai:

[Method 0]
<<< 220 yyyyyyyyyyyyyy.com ESMTP
>>> HELO mailradar.com
<<< 250 yyyyyyyyyyyyyy.com
>>> MAIL FROM: <antispam@mailradar.com>
<<< 250 ok
>>> RCPT TO: <relaytest@mailradar.com>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
>>> QUIT
<<< 221 yyyyyyyyyyyyyy.com
[TEST PASSED]

Cela signifie que je ne suis pas un relay?

Sinon, en analysant les logs des mails je vois bien l'uid du script qui lance les mails.
Comment donc identifier le script en question à partir de l'uid juste?

Merci encore.

**ram-0000** · 12/07/2012, 16h36

Envoyé par yakotey

Cela signifie que je ne suis pas un relay?

Oui, tu n'es pas un mail relay (au fait, nettoie un peu tes adresses (avec des xxxx) dans le post précédent)

Peut être en regardant les IP (internes donc) qui envoient ces mails.

Encore une fois, je crois que c'est une erreur de se focaliser sur le script car il risque fort d'être local et donc d'appartenir à la solution SMTP.

A moins que ta machine n'héberge des utilisateurs lambda et donc qu'elle ne soit pas uniquement un serveur SMTP (ce qui n'est pas optimal en termes de sécurité)