Bonsoir,
Depuis le début de l'a.m., j'ai un trafic anormalement élevé sur un serveur
mail. J'ai cru à une attaque dictionnaire au début et après analyse, c'est
quasiment toujours sur les mêmes adresses et en provenance d'une grand quantité
d'hôte différents (ou alors ils sont spoofés).
Il semblerait qu'ils aient pris 4 ou 5 domaines et essaient d'envoyer une 10aine
de mails sur chaque adresse. Ensuite ils changent d'adresse et réessaient.
J'ai également la sensation qu'ils ont un FROM <>, ce qui, d'après les RFC,
n'est pas condamnable ...
Exemple d'un transcript postfix :
Sep 1 19:29:33 dedie03 postfix/smtpd[17789]: 7F2AA2AEEE:
client=mail.genesisft.com[199.227.139.133]
Sep 1 19:29:33 dedie03 postfix/cleanup[17474]: 7F2AA2AEEE:
message-id=<20090901172933.7f2aa2a...@smtp.mondomaine.com>
Sep 1 19:29:34 dedie03 postfix/qmgr[1616]: 7F2AA2AEEE: from=<>, size=17212,
nrcpt=1 (queue active)
Sep 1 19:29:34 dedie03 postfix/virtual[17706]: 7F2AA2AEEE:
to=<proconsu...@domaineclient.com>, relay=virtual, delay=0.93,
delays=0.85/0.01/0/0.07, dsn=5.1.1, status=bounced (unknown user:
"proconsu...@domaineclient.com")
Sep 1 19:29:34 dedie03 postfix/qmgr[1616]: 7F2AA2AEEE: removed
D'après quelques échantillons, chaque IP cliente n'a envoyé que quelques e-mails
dans la journée.
Sep 1 02:34:31 serveur postfix/smtpd[4528]: connect from unknown[61.136.62.74]
$ cat /var/log/mail.log |grep 61.136.62.74 |grep ": connect" |wc -l
36
Et ça, c'est un cas extrême ...
Bref, ca ressemble beaucoup à un botnet qui m'en voudrait. Est-ce que certains
d'entre vous ont déjà vu un truc comme ça ?
Vous avez trouvé une protection ?
Blacklisté quelques machines qui spamment, je sais faire. 2000, j'ai plus de
mal ...
Pour l'instant, j'ai mis en place une RBL + blacklist maison en extrayant des
adresses manuellement.
Julien
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
