Julien Escario wrote:
Depuis le début de l'a.m., j'ai un trafic anormalement élevé sur un
serveur mail. J'ai cru à une attaque dictionnaire au début et après
analyse, c'est quasiment toujours sur les mêmes adresses et en
provenance d'une grand quantité d'hôte différents (ou alors ils sont
spoofés).
Le spoofing sur des sessions TCP qui véhiculent des mails, on en entend
souvent parler mais on ne les voit jamais.
J'ai également la sensation qu'ils ont un FROM <>, ce qui, d'après les
RFC, n'est pas condamnable ...
Comme cela a été signalé, un From en <> correspond souvent avec des
bounces (normalement, n'importe quelle réponse automatique devrait être
renvoyée avec un <> en from enveloppe pour éviter de générer des
boucles). Donc probablement un spammeur qui utilise ton domaine poure
spammer.
Il semblerait qu'ils aient pris 4 ou 5 domaines et essaient d'envoyer
une 10aine de mails sur chaque adresse. Ensuite ils changent d'adresse
et réessaient.
S'il s'agit bien de bounces, le spammeur a pris une liste d'adresses et
les utilise aléatoirement (et je subodore que tu ne vois au final qu'une
infime fraction des bounces générés).
J'avais déjà vu un spammeur qui rajoutait deux caractères aléatoires à
la partie gauche de l'email (ce qui du coup impliquait une forte
probabilité d'inexistance de l'email et je blacklistais les IPs
bounceuses à tour de bras).
Blacklisté quelques machines qui spamment, je sais faire. 2000, j'ai
plus de mal ...
# ./liststats
last expire was 8486631s ago
1636912 IP found out of 2099788
Soit 1.6 millions d'IP blacklistée en ce moment (et pour des blacklistes
qui durent moins de 24h, ça laisse une idée du nombre de PC compromis
dans la nature) et le record est de presque 2.1 millions...
François
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
