OVH Community, votre nouvel espace communautaire.

Service Anti spam et service technique


nejmeeddinne
12/08/2015, 17h56
si si les logs fonctionnent, pour le moment ça ne m'affiche que mes tentatives à moi (un trafic vers une adresse google...)
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
LOG tcp -- anywhere anywhere tcp dpt:smtp LOG level warning prefix ` Traffic SMTP: '
on verra ce que ça donne...
merci pour ton aide

Nowwhat
12/08/2015, 17h27
Citation Envoyé par nejmeeddinne
là je pense que j'ai vais rajouter un log des requêtes SMTP sur le serveur et on verra par la suite...
iptables -A OUTPUT -p tcp --dport 25 -j LOG --log-prefix ' Traffic SMTP: '
Pas bête.

Si, par hasard, le log ne marche pas (test-le dès que tu allume le "25") sache que t'as ceci:
iptables -L OUTPUT -n -v

Tu sauras si des règles ont été 'appliqué'.

nejmeeddinne
12/08/2015, 16h58
non je n'ai pas désactivé le support IPV6 sur le serveur

"cinquainte de fois" ??
Et chaque fois ça débloque réelement ?
J'ai cru comprendre que après "quelques fois" ça bloque pour de bon.
non ça débloque réellement, quand j'envoi un mail ça passe et une ou 2 heures après pareil ça se rebloque encore une fois...


là je pense que j'ai vais rajouter un log des requêtes SMTP sur le serveur et on verra par la suite...

iptables -A OUTPUT -p tcp --dport 25 -j LOG --log-prefix ' Traffic SMTP: '

Nowwhat
12/08/2015, 16h43
Citation Envoyé par nejmeeddinne
J'ai exécuté la règle seulement pour la IPv4 et quand j'ai fait un telnet impossible de se connecter donc en IPV4 seul suffit où je me trompe ?
Si t'as désactivé le support IPv6 sur ton serveur, dans ce cas telnet utilise le IPv4 - sinon c'est le IPv6 par defaut.

Citation Envoyé par nejmeeddinne
.......
c'est ce que j'ai fait la première fois, les fois de suite ma file d'attente est toujours vide même après le blocage et pas de traces de mails sortant...
j'ai débloqué au moins une cinquainte de fois, je ne fait que ça, depuis plus qu'un mois...
"cinquainte de fois" ??
Et chaque fois ça débloque réelement ?
J'ai cru comprendre que après "quelques fois" ça bloque pour de bon.

nejmeeddinne
12/08/2015, 15h47
On y voit très bien la connection vers gmail (ouvert avec telnet dans une autre seesion SSH) ..... il utilise le IPv6, pas le IPv4.
Ce c*n passe par le IPv6 - qui est prioritaire (aussi pour postfix) !!
Et, bien sur, j'ai oublié de bloquer ce IPv6 !!
Inutile de dire que OVH filtre les connections "IPv4" et "IPv6", et qu'il bloque ces deux en cas de spam ?!
J'ai exécuté la règle seulement pour la IPv4 et quand j'ai fait un telnet impossible de se connecter donc en IPV4 seul suffit où je me trompe ?

De mémoire, dès qu'on est bloqué, on cherche d'abord le pourquoi/comment et après on débloque.
La prochaine fois, le déblocage va prendre deux fois plus de temps.
La troisième fois, plus de temps encore.
Au bout de X fois (5 ? 6 ?) il est impossible de te débloquer, t'as perdu l'usage d'envoyerd es maisl à partir de ton serveur pour de bon.
très bonne mémoire, c'est exactement ce que j'ai fait... la première chose a faire avant de débloquer c'est
- de vider la file d'attente,
- ps aux / htop / top: pour voir la liste des process
- iftop pour voir les connexion active sur le serveur (entrante et sortante)
- les logs postfix
- les logs web
- les logs sys
- lsof / netstat
- iptables
- arrêt des services...
.......
c'est ce que j'ai fait la première fois, les fois de suite ma file d'attente est toujours vide même après le blocage et pas de traces de mails sortant...
j'ai débloqué au moins une cinquainte de fois, je ne fait que ça, depuis plus qu'un mois...

Nowwhat
12/08/2015, 13h12
Citation Envoyé par nejmeeddinne
je me trompe sur le fait que c'est pas postfix qui envoi des emails ?
Yep - va voir plus bas.


c'est la raison pour laquelle après le changement de port, j'ai laissé tombé et je l'ai remis sur un port normal 25, mais c'est le support d'OVH qui m'a demandé de le faire après, je me suis dit que peut être ils ont raison et que je me trompe...
iptables -I OUTPUT -p tcp --dport 25 -j DROP
c'est bien la règle que j'ai appliqué sur le mon serveur pour bloquer tout trafic SMTP sortant du serveur, malgrès ça leur système ...
J'ai oublié te dire un truc

Avant d'écrire ma réponse plus haut, j'ai bien sur testé cette règle:
iptables -I OUTPUT -p tcp --dport 25 -j DROP
Puis, je fait le test:
root@vps62725:~# telnet gmail-smtp-in.l.google.com 25
Trying 2a00:1450:400c:c0b::1b...
Connected to gmail-smtp-in.l.google.com.
Escape character is '^]'.
220 mx.google.com ESMTP x4si10093580wjq.202 - gsmtp
Tu va dire : WTF !!!!! Je me connecte quand même !!!!!!!!

Je te donne l'explication, valable pour moi, et probablement pour toi::

Code:
netstat -napt
.....
tcp6       0      0 2001:41d0:52:cff::37046 2a00:1450:400c:c0b:::25 ESTABLISHED 14375/telnet
On y voit très bien la connection vers gmail (ouvert avec telnet dans une autre seesion SSH) ..... il utilise le IPv6, pas le IPv4.
Ce c*n passe par le IPv6 - qui est prioritaire (aussi pour postfix) !!
Et, bien sur, j'ai oublié de bloquer ce IPv6 !!
ip6tables -I OUTPUT -p tcp --dport 25 -j DROP
Inutile de dire que OVH filtre les connections "IPv4" et "IPv6", et qu'il bloque ces deux en cas de spam ?!

Citation Envoyé par nejmeeddinne
Sinn pour leur système antispam, oui j'ai bien remarqué, ils l'ont déjà évoqué dans leur Help, mais au moins qu'ils me donne une information ou ne réponse claire pas une réponse du genre :
sachant que je n'ai aucune redirection j'ai deux domaines installés sur le serveur et leur boites mails sont configuré sur le serveur sans aucune redirection...
Merci pour ton aide
De mémoire, dès qu'on est bloqué, on cherche d'abord le pourquoi/comment et après on débloque.
La prochaine fois, le déblocage va prendre deux fois plus de temps.
La troisième fois, plus de temps encore.
Au bout de X fois (5 ? 6 ?) il est impossible de te débloquer, t'as perdu l'usage d'envoyerd es maisl à partir de ton serveur pour de bon.

nejmeeddinne
12/08/2015, 11h55
Oui, mais bon : réponse dans ton style : coupe postfix.
Re ouvre la porte 25.
On te referme ...... et dit toi bien "postfix tourne pas"
Ce qui prouve que ... tu te trompe.
je me trompe sur le fait que c'est pas postfix qui envoi des emails ?

Inutile de même pense que "je change de porte et je passe à coté"

Un serveur mail, disons, la tienne va utiliser comme source : TON IP, puis une porte alétoire en 'sortie'
L'IP du serveur mail en face - ça peut être n'importe quel IP mais - et c'est la c'est amrrant : TOUJOURS la porte 25 de ce serveur en destination.

OVH bloque tout paquet avec "porte destination 25".

Il peut être utile de bloquer quelques portes (25, 587, 465) si tu pense que ton serveur est un open relay (ou: on t'as volé le mot de passe d'un de tes maisl et on injecte par le 587 ou 465 des mails en ditsance avec un client-mail comme Thunderbird, Outlook etc.
Sache que ta porte "25" est la pour recevoir des mails d'autres serveurs mails - jamais des mails venant des clients avec leur client-mail (Outlook ...)
De toute façon, souvent le FAI bloque justement TOUT destination avec porte 25 SAUF le serveur mail de ce FAI - ce qui t'oblige de passer par son serveur mail, et nulle part ailleurs.
c'est la raison pour laquelle après le changement de port, j'ai laissé tombé et je l'ai remis sur un port normal 25, mais c'est le support d'OVH qui m'a demandé de le faire après, je me suis dit que peut être ils ont raison et que je me trompe...

iptables -I OUTPUT -p tcp --dport 25 -j DROP
c'est bien la règle que j'ai appliqué sur le mon serveur pour bloquer tout trafic SMTP sortant du serveur, malgrès ça leur système ...

Sinn pour leur système antispam, oui j'ai bien remarqué, ils l'ont déjà évoqué dans leur Help, mais au moins qu'ils me donne une information ou ne réponse claire pas une réponse du genre :
Re-Bonjour,
Je reviens vers vous concernant votre demande.Een effet suite aux vérifications il existe une boite mail sur le serveur qui reçoit plein de spam,mais comme il y a une redirection de cette boite mail vers hostgator, donc chaque fois que des mails arrivent sur cette adresse sur le serveur les spams repartent chez hostgator, cela est détecté comme du spam sortant à notre niveau .
Cordialement.
Support Client So You Start.
sachant que je n'ai aucune redirection j'ai deux domaines installés sur le serveur et leur boites mails sont configuré sur le serveur sans aucune redirection...
Merci pour ton aide

Nowwhat
12/08/2015, 11h22
Citation Envoyé par nejmeeddinne
c'est la première chose que j'ai fait, j'ai arrêté postfix et j'ai vérifié fait un "lsof -i" ou htop ou top pour regarder ce qui se passe, j'ai même fait un scan de l'extérieur quand j'arrête postfix je n'ai plus le port 25 ouvert sur le serveur... donc ça prouve bien que c'est postfix qui envoi mes e-mails...
Oui, mais bon : réponse dans ton style : coupe postfix.
Re ouvre la porte 25.
On te referme ...... et dit toi bien "postfix tourne pas"
Ce qui prouve que ... tu te trompe.

Citation Envoyé par nejmeeddinne
j'ai changé le port SMTP (en submission le port 587) les emails partent, en plus c'était la suggestion de l'équipe technique, je l'ai fait au début mais comme leur système me bloque quand même donc je l'ai remis...
Inutile de même pense que "je change de porte et je passe à coté"

Un serveur mail, disons, la tienne va utiliser comme source : TON IP, puis une porte alétoire en 'sortie'
L'IP du serveur mail en face - ça peut être n'importe quel IP mais - et c'est la c'est amrrant : TOUJOURS la porte 25 de ce serveur en destination.

OVH bloque tout paquet avec "porte destination 25".

Il peut être utile de bloquer quelques portes (25, 587, 465) si tu pense que ton serveur est un open relay (ou: on t'as volé le mot de passe d'un de tes maisl et on injecte par le 587 ou 465 des mails en ditsance avec un client-mail comme Thunderbird, Outlook etc.
Sache que ta porte "25" est la pour recevoir des mails d'autres serveurs mails - jamais des mails venant des clients avec leur client-mail (Outlook ...)
De toute façon, souvent le FAI bloque justement TOUT destination avec porte 25 SAUF le serveur mail de ce FAI - ce qui t'oblige de passer par son serveur mail, et nulle part ailleurs.

Citation Envoyé par nejmeeddinne
d'après le support technique le spam est causé par une réponse qui s'envoi a une seule adresse e-mail hostgator, sachant que j'ai même arrêté tout traffic SMTP ....
Ce mail, en soit, ne va pas incriminer.
Ce qui compte est ce qui est DANS ce mail. C'est marqué comme "pure spam" donc ça bloque.

Citation Envoyé par nejmeeddinne
j'ai même ajouté une règle iptables sur le port 25 ou 587 pour bloquer le traffic vers ce port, pareil le système me bloque...
Ceci:
iptables -I OUTPUT -p tcp --dport 25 -j DROP
bloque tout connection vers toutes les serveurs amil sur le net.
C'est d’ailleurs la règle que applique OVH dans leur routeurs quand t'es bloqué (ils ajoute ton IP comme source).

Normalement, ton serveur n'utilise pas le "587" car il possède son propre serveur mail pour envoyer tes mails.
Quand tu paramètre un site pour qu'il utilise un serveur mail - mais pas le postfix sur ton serveur, tu paramètre "smtp" (plutot "submission") avec, par exemple:
smtpauth.oragne.fr
porte 587
+ adresse mail + mot de passe.

Mais bon, pourquoi, dans ce cas, utiliser postfix ?

Citation Envoyé par nejmeeddinne
donc je ne vois pas le trou de sécurité qui permet de spammer sans utiliser un trafic SMTP qui n'existe null part sur le serveur...
OVH ne filtre pas tes mails.
Ils ont sous traité cette tache à http://www.vade-retro.com/fr/societe/ - va voir la bas en bas de la page.

nejmeeddinne
12/08/2015, 10h16
le scan je l'ai effectué de l'extérieur pas de l'intérieur avec mon ordi perso j'ai fait scanner le serveur a distance...
y a rien aussi dans les logs web...
je vas quand même faire un tcpdump on sait jamais...
Merci pour votre aide

Daixiwen
12/08/2015, 08h54
Un scan te donnera les ports ouverts en réception, pas en émission. Si c'est un script php malveillant qui envoie directement des spams sans passer par ton postfix tu ne le verras pas sur un scan.
Fais plutôt tourner un tcpdump avec un filtre sur les connections tcp depuis ton IP vers un port 25 distant, postfix désactivé, et regarde s'il y a quelque chose qui passe. Il faut le faire sur une longue période parce que rien ne dit que le script malveillant (si c'est lui qui est la cause) le fait en permanence.
Tu peux aussi regarder les logs de ton serveur web, il y a peut-être quelque chose de suspect dedans.

nejmeeddinne
11/08/2015, 14h46
Bonjour,
Et ça te fait pas reflechir ??
Indice : QUI te dit que c'est ton postfix qui envoi ces mails ??
N'importe quel script peut ouvrir une connexion vers un host sur le net, sur sa porte "25" et transmettre des mails ....

postfix ajoute effectivement un ID - d'autres 'logiciels' ne le font pas probablement.
c'est la première chose que j'ai fait, j'ai arrêté postfix et j'ai vérifié fait un "lsof -i" ou htop ou top pour regarder ce qui se passe, j'ai même fait un scan de l'extérieur quand j'arrête postfix je n'ai plus le port 25 ouvert sur le serveur... donc ça prouve bien que c'est postfix qui envoi mes e-mails...

La porte de quoi ? la réception des mails (ton porte 25) ? Inutile - tes mails sont filtré à la sortie de ton serveur, pas ce qui entre.
j'ai changé le port SMTP (en submission le port 587) les emails partent, en plus c'était la suggestion de l'équipe technique, je l'ai fait au début mais comme leur système me bloque quand même donc je l'ai remis...

Ton feuille de route est:
Cherche QUI spam.
Supprime-le.
Fait en sorte que tu sache comment ce code est venu sur ton serveur et bouche ce trou (de sécurité).
d'après le support technique le spam est causé par une réponse qui s'envoi a une seule adresse e-mail hostgator, sachant que j'ai même arrêté tout traffic SMTP ....
j'ai même ajouté une règle iptables sur le port 25 ou 587 pour bloquer le traffic vers ce port, pareil le système me bloque...
donc je ne vois pas le trou de sécurité qui permet de spammer sans utiliser un trafic SMTP qui n'existe null part sur le serveur...

Nowwhat
11/08/2015, 09h43
Bonjour,

- j'ai créer les entrées SPF
- j'ai créer les DKIM (aucun message n'est envoyé du serveur s'il n'est pas certifié...)
- j'ai une note de 10/10 sur mail-tester.com
Le "spam tester" (un filtre à l’extérieur de ton serveur qui filtre tous ce qui passe vers une destination aléatoire, porte "25").
Ce filtre ne s'occupe pas de tes mail d'une façon 'technique' ou protocole.

- j'ai arrêté le service Postfix (pour tester il me bloque quand même)
et
- ma file d'attente est vide et il bloque quand même
et
- dans mes logs j'ai aucun mail qui est sorti du serveur
et
- je n'ai aucun message-id, que leur rapport envoi, dans mes logs
Et ça te fait pas reflechir ??
Indice : QUI te dit que c'est ton postfix qui envoi ces mails ??
N'importe quel script peut ouvrir une connexion vers un host sur le net, sur sa porte "25" et transmettre des mails ....

postfix ajoute effectivement un ID - d'autres 'logiciels' ne le font pas probablement.

- j'ai changé de port pour tester il me bloque quand même
La porte de quoi ? la réception des mails (ton porte 25) ? Inutile - tes mails sont filtré à la sortie de ton serveur, pas ce qui entre.

Lance 'top' (ou mieux, installe 'htop') et regarde ce qui tourne.
Arrête AUSSI ton serveur web ..... ça fait des miracles des fois, et ça te donne un sacre indice QUI envoi ces mails réellement.

1- Comment remonter une plainte contre ce service minable...
Tu te trompe d'adresse.
Si tu cherche un sys-admin, faut procéder autrement.

2- Est ce qu'une personne a eu ce problème avant ?
Oh, oui, t'inquiète. T'es pas vraiment le premier.

Ton feuille de route est:
Cherche QUI spam.
Supprime-le.
Fait en sorte que tu sache comment ce code est venu sur ton serveur et bouche ce trou (de sécurité).

nejmeeddinne
10/08/2015, 19h30
Bonjour,
Soit que le service anti-spam est pénible soit que le service technique est incompétent. ça fait un mois que mon serveur est bloqué tout le temps par votre système anti-spam, j'ais ouvert un ticket le 17/07 on me réponds 11 jours après mon appel (autrement je suis sûre que je n'aurais jamais de réponse...)
le système me bloque malgrès que:
- j'ai créer les entrées SPF
- j'ai créer les DKIM (aucun message n'est envoyé du serveur s'il n'est pas certifié...)
- j'ai une note de 10/10 sur mail-tester.com
- j'ai arrêté le service Postfix (pour tester il me bloque quand même)
- j'ai changé de port pour tester il me bloque quand même
- ma file d'attente est vide et il bloque quand même
- dans mes logs j'ai aucun mail qui est sorti du serveur
- je n'ai aucun message-id, que leur rapport envoi, dans mes logs

j'ai contacté le service technique, il me sort que mon serveur envoi des emails à une adresse "hostgator", je lui explique que je n'ai aucun trafic SMTP sur le serveur, il me dit que c'est le problème de mon serveur, je lui envoi un scan de tout les ports disponibles après que j'ai arrêté postfix prouvant que je n'ai qu'un trafic normal (FTP, SSH, WEB, POP, IMAP) il me sort la même phrase... un vrai discours de sourds !!!
je lui demande de me donner l'adresse mail ou le domaine qui me cause ce problème je vais le bannir en output en en input su'il faut de mon serveur en vain, le même message...
et pire il me demande de payer ce même service qui m'ignorent ça fait 1 mois pour qu'ils rentrent sur mon serveur pour diagnostiquer le problème !!!!!!!!!

Ma demande:
1- Comment remonter une plainte contre ce service minable...
2- Est ce qu'une personne a eu ce problème avant ?

Merci