Francois Petillon a écrit :
Julien Escario wrote:
Depuis le début de l'a.m., j'ai un trafic anormalement élevé sur un
serveur mail. J'ai cru à une attaque dictionnaire au début et après
analyse, c'est quasiment toujours sur les mêmes adresses et en
provenance d'une grand quantité d'hôte différents (ou alors ils sont
spoofés).
Le spoofing sur des sessions TCP qui véhiculent des mails, on en entend
souvent parler mais on ne les voit jamais.
Mouais, je ne sais pas ... Disons qu'en étant 'bien placé', spoofer, c'est
possible.
Pour le botmaster lambda, ca l'a l'air plus facile d'avoir 30000 zombies de plus
que de chercher le moyen de spoofer des adresses (cf discussion site de Cisco).
J'ai également la sensation qu'ils ont un FROM <>, ce qui, d'après les
RFC, n'est pas condamnable ...
Comme cela a été signalé, un From en <> correspond souvent avec des
bounces (normalement, n'importe quelle réponse automatique devrait être
renvoyée avec un <> en from enveloppe pour éviter de générer des
boucles). Donc probablement un spammeur qui utilise ton domaine poure
spammer.
Oui, ça semble effectivement la chose la plus probable. Dommage que les adresses
de bounce n'existent pas, j'aurais pu confirmer ça en lisant le message brt
Il semblerait qu'ils aient pris 4 ou 5 domaines et essaient d'envoyer
une 10aine de mails sur chaque adresse. Ensuite ils changent d'adresse
et réessaient.
S'il s'agit bien de bounces, le spammeur a pris une liste d'adresses et
les utilise aléatoirement (et je subodore que tu ne vois au final qu'une
infime fraction des bounces générés).
C'est certain. Je me prend les bounces de ceux qui n'ont pas détecté les mails
comme spam (voir pire : qui envoient un avertissement sur détection).
J'avais déjà vu un spammeur qui rajoutait deux caractères aléatoires à
la partie gauche de l'email (ce qui du coup impliquait une forte
probabilité d'inexistance de l'email et je blacklistais les IPs
bounceuses à tour de bras).
Je n'ai pas cette version là apparemment ;-)
Blacklisté quelques machines qui spamment, je sais faire. 2000, j'ai
plus de mal ...
# ./liststats
last expire was 8486631s ago
1636912 IP found out of 2099788
Soit 1.6 millions d'IP blacklistée en ce moment (et pour des blacklistes
qui durent moins de 24h, ça laisse une idée du nombre de PC compromis
dans la nature) et le record est de presque 2.1 millions...
Hmmm, je vois.
Si je comprend bien, la seule solution, c'est de blacklister temporairement (de
préférence à un niveau firewall), les IPs sourcent des bounces.
Ca ne me plait guère quand même ...
Autre solution mais préventive : SPF (mais combien de ces serveurs vérifient ça
en réception ?).
Non, vraiment je ne vois pas trop de solution ...
Julien
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/