Re: Identifier et limiter le spam émis depuis son réseau local vers Internet [RESOLU]
Merci à tous pour ces précieuses réponses. Je pense que je vais tout simplement écarter et consigner dans les logs par iptables le trafic STMP vers le port 25. Comme cela a été rappelé, ceux que ça dérange, se manifesteront et je ferai alors de mon mieux pour les aider. Le 9 mars 2016 à 23:43, Ph. Gras a écrit : > > Le 9 mars 2016 à 22:53, jdd a écrit : > > > Le 09/03/2016 22:49, Ph. Gras a écrit : > > > >> D'après ce que tu décris de ton parc, il pourrait y avoir une ou deux > machines passées zombies… > > > > c'est pas le mien :-) > > > > jdd > > > Non, car sinon on aurait pu te donner un des pourriels dont parlait > François. > > Ça aurait pu t'avancer :-P > > OK, je sors ->[] > > Ph. Gras >
Re: Identifier et limiter le spam émis depuis son réseau local vers Internet
Le 9 mars 2016 à 22:53, jdd a écrit : > Le 09/03/2016 22:49, Ph. Gras a écrit : > >> D'après ce que tu décris de ton parc, il pourrait y avoir une ou deux >> machines passées zombies… > > c'est pas le mien :-) > > jdd > Non, car sinon on aurait pu te donner un des pourriels dont parlait François. Ça aurait pu t'avancer :-P OK, je sors ->[] Ph. Gras
Re: Identifier et limiter le spam émis depuis son réseau local vers Internet
Le 09/03/2016 22:49, Ph. Gras a écrit : D'après ce que tu décris de ton parc, il pourrait y avoir une ou deux machines passées zombies… c'est pas le mien :-) jdd
Re: Identifier et limiter le spam émis depuis son réseau local vers Internet
Le 9 mars 2016 à 21:10, jdd a écrit : > Le 09/03/2016 20:38, Ph. Gras a écrit : > >> J'avais posé la question à un technicien chez OVH où je loue mon serveur, >> car j'en recevais >> beaucoup de leurs propres machines. Il m'a répondu que c'était généralement >> des serveurs >> piratés, que des jeunes louaient pour installer un serveur de jeu vidéo. > > ma question était surtout de savoir comment ils savent que le serveur est > piraté, quel est le critère (matériel) > > merci > jdd > Ils attendent que quelqu'un envoie une réclamation à lég...@ovh.com, en fait. Ils ne font rien de spécial. Sur les hébergements, ils analysent le trafic qui passe par certaines fonctions qu'ils ont considéré comme critiques. Il y a plein de témoignages sur les forums : "OVH a désactivé mon site, ils m'ont écrit ça :" Suit une phrase absconse qui est le copié-collé du dump de l'outil d'analyse. Sur les hébergements, OVH a la main sur tout. Donc on peut placer des scripts en amont du site. D'après ce que tu décris de ton parc, il pourrait y avoir une ou deux machines passées zombies… Ph. Gras
Re: Identifier et limiter le spam émis depuis son réseau local vers Internet
Le 16869ième jour après Epoch, Olivier écrivait: > Mes priorités sont: Tu peux rajouter comme priorité 0 l'étude d'un de ces pourriels si tu peux t'en procurer un "propre", c'est à dire avec copie conforme des en-têtes, afin de valider si c'est du relai de spam, de l'usurpation d'identité ou de l'usurpation de domaine. > 1. identifier rapidement la ou les machines émettrice(s) Tu peux faire un tcpdump du port 25 sur le routeur, en affinant les règles selon que ça transite par l'opérateur de ta box ou pas. > 1. Comment un opérateur identifie-t-il un spam ? Est-ce à peu près comme ce > qui suit ? > "Un destinataire reçoit un courriel qu'il qualifie de spam. Il le signale à > son opérateur, qui va lire l'adresse IP source de l'émetteur, identifier > l'opérateur gérant cette IP, lui signaler l'abus et laisser celui-ci y > mettre fin (en informant son propre client ou bien en coupant le lien > Internet)." > En d'autres termes, tout repose sur un signalement humain plutôt que sur > des mesures automatiques ? C'est à peu près ça, avec toutefois la possibilité que ce soit automatique. J'avais mis en place il y a longtemps un mécanisme qui envoyait automatiquement un mail dénonçant le spam que je pouvais recevoir... C'est vite devenu un flooder ;-) > 2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, > vais-je par défaut : > - interrompre tout le spam Oui. Mais aussi tout le mail, sauf si tu penses à autoriser la destination mail "normale", c'est à dire le SMTP de ton opérateur, ou alors le SMTP venant de ton routeur si c'est lui qui transite le mail sortant. > - embêter ceux qui ont leur propre serveur de messagerie sur leur PC. Oui et non. Il suffit de les prévenir que dorénavant le mail sortant devra respecter telle ou telle règle. > 3. Est-il utile de faire quelque chose sur le port 587 ? J'ai compris que > non. Je ne crois pas, effectivement. Ce port est probablement pas utilisé par les logiciels de pourriels, et je crois qu'il nécessite une authentification que les logiciels en question n'ont donc pas. > 4. Conseils et suggestions ? Bloque le port 25 et attends que tes utilisateurs se manifestent, si tu es en bon rapport avec eux. Ça sera rapide et évitera que ton IP soit blacklistée. ;-) ... Tu vas passer pour un admin faschiste, donc un bon admin :-P ...
Re: Identifier et limiter le spam émis depuis son réseau local vers Internet
Le 09/03/2016 20:38, Ph. Gras a écrit : J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs piratés, que des jeunes louaient pour installer un serveur de jeu vidéo. ma question était surtout de savoir comment ils savent que le serveur est piraté, quel est le critère (matériel) merci jdd
Re: Identifier et limiter le spam émis depuis son réseau local vers Internet
Le 9 mars 2016 à 20:10, jdd a écrit : > Le 09/03/2016 20:02, Ph. Gras a écrit : > >>> 2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, >>> vais-je par défaut : >>> - interrompre tout le spam >> Oui :-) >>> - embêter ceux qui ont leur propre serveur de messagerie sur leur PC. >> Oui :-( > > la solution, peut-être de faire comme Free: interdire par défaut, autoriser > sur demande. Déjà ca vire tous ceux qui n'y connaissent rien et qui doivent > être à l'origine de 90% du spam, ensuite ca responsabilise les autres. > > peut-être poser la question à celui qui t'a signalé le spam de savoir ce > qu'il entends par là (volume ou contenu) > > jdd (intéressé par la réponse :-) > > J'avais posé la question à un technicien chez OVH où je loue mon serveur, car j'en recevais beaucoup de leurs propres machines. Il m'a répondu que c'était généralement des serveurs piratés, que des jeunes louaient pour installer un serveur de jeu vidéo. Ph. Gras
Re: Identifier et limiter le spam émis depuis son réseau local vers Internet
Le 09/03/2016 20:02, Ph. Gras a écrit : 2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut : - interrompre tout le spam Oui :-) - embêter ceux qui ont leur propre serveur de messagerie sur leur PC. Oui :-( la solution, peut-être de faire comme Free: interdire par défaut, autoriser sur demande. Déjà ca vire tous ceux qui n'y connaissent rien et qui doivent être à l'origine de 90% du spam, ensuite ca responsabilise les autres. peut-être poser la question à celui qui t'a signalé le spam de savoir ce qu'il entends par là (volume ou contenu) jdd (intéressé par la réponse :-)
Re: Identifier et limiter le spam émis depuis son réseau local vers Internet
Le 9 mars 2016 à 19:31, Olivier a écrit : > Bonjour, > > Un opérateur m'a signalé qu'un (ou plusieurs) utilisateur d'un réseau que > j'administre émet du spam. > Il y a jusqu'à 200 machines sur ce réseau. > Je ne maîtrise pas ce qui est installé sur ces machines. > > Mes priorités sont: > 1. identifier rapidement la ou les machines émettrice(s) > 2. contrôler durablement le spam car: > - l'activité de spam semble accaparer une part importante de la bande > passante, > - je voudrai éviter que mon adresse IP soit "interdite". > > > L'architecture est: > Box ADSL (xN) Routeur Debian Points d'accès WiFi - PC ou > smartphones > > Tout le trafic transite par le routeur. Si ce sont des sites qui tourne sur les machines, c'est peut-être la fonction mail() de PHP qui est en cause. Il est possible de la désactiver dans le php.ini 30 secondes de travail pour avoir la paix, avant de mener l'enquête dans les logs… > > Je pensais dans un premier temps, ajouter, dans mon fichier idoine du > répertoire /etc/network/if-pre-up.d des règles iptables supplémentaires. Quand ce qui cloche et comment ça cloche aura été détecté, c'est effectivement une bonne solution. > Avant de les codes, je me rends compte qu'il me reste plusieurs questions en > suspend après mes recherches sur Internet. > > 1. Comment un opérateur identifie-t-il un spam ? Est-ce à peu près comme ce > qui suit ? > "Un destinataire reçoit un courriel qu'il qualifie de spam. Il le signale à > son opérateur, qui va lire l'adresse IP source de l'émetteur, identifier > l'opérateur gérant cette IP, lui signaler l'abus et laisser celui-ci y mettre > fin (en informant son propre client ou bien en coupant le lien Internet)." > En d'autres termes, tout repose sur un signalement humain plutôt que sur des > mesures automatiques ? Les opérateurs ont des outils qui permettent d'analyser le type de trafic qui passe par chez eux. Je te recommande une conférence de Benjamin Sonntag sur le mail, accessible chez Youtube. Malheureusement, la réponse est à la fin. Mais le reste n'en est pas moins très intéressant. > > 2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, > vais-je par défaut : > - interrompre tout le spam Oui :-) > - embêter ceux qui ont leur propre serveur de messagerie sur leur PC. Oui :-( > > 3. Est-il utile de faire quelque chose sur le port 587 ? J'ai compris que non. > > 4. Conseils et suggestions ? > > Slts >
Identifier et limiter le spam émis depuis son réseau local vers Internet
Bonjour, Un opérateur m'a signalé qu'un (ou plusieurs) utilisateur d'un réseau que j'administre émet du spam. Il y a jusqu'à 200 machines sur ce réseau. Je ne maîtrise pas ce qui est installé sur ces machines. Mes priorités sont: 1. identifier rapidement la ou les machines émettrice(s) 2. contrôler durablement le spam car: - l'activité de spam semble accaparer une part importante de la bande passante, - je voudrai éviter que mon adresse IP soit "interdite". L'architecture est: Box ADSL (xN) Routeur Debian Points d'accès WiFi - PC ou smartphones Tout le trafic transite par le routeur. Je pensais dans un premier temps, ajouter, dans mon fichier idoine du répertoire /etc/network/if-pre-up.d des règles iptables supplémentaires. Avant de les codes, je me rends compte qu'il me reste plusieurs questions en suspend après mes recherches sur Internet. 1. Comment un opérateur identifie-t-il un spam ? Est-ce à peu près comme ce qui suit ? "Un destinataire reçoit un courriel qu'il qualifie de spam. Il le signale à son opérateur, qui va lire l'adresse IP source de l'émetteur, identifier l'opérateur gérant cette IP, lui signaler l'abus et laisser celui-ci y mettre fin (en informant son propre client ou bien en coupant le lien Internet)." En d'autres termes, tout repose sur un signalement humain plutôt que sur des mesures automatiques ? 2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, vais-je par défaut : - interrompre tout le spam - embêter ceux qui ont leur propre serveur de messagerie sur leur PC. 3. Est-il utile de faire quelque chose sur le port 587 ? J'ai compris que non. 4. Conseils et suggestions ? Slts