Re: [FRnOG] Botnet qui s'énerve sur un de mes s erveurs ?

2009-09-02 Par sujet Thomas Mangin 

Salut,

Si je comprend bien, la seule solution, c'est de blacklister  
temporairement (de

préférence à un niveau firewall), les IPs sourcent des bounces.
Ca ne me plait guère quand même ...


Au niveau fw ce n'est pas sympa pour les postmaster - comment peux-tu  
savoir si le serveur/reseau a un probleme ou si c'est un probleme de  
spam.
Retourne un code 421 / 554 du HELO ou jusqu'au DATA - ca va dans les  
logs.


Et non, y a pas de solution miracle (faites moi signe si vous en  
trouvez une :D)


Une bonne liste pour discussion SMTP (en Anglais):
http://chilli.nosignal.org/mailman/listinfo/mailop

Thomas---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Botnet qui s'énerve sur un de mes s erveurs ?

2009-09-01 Par sujet Thomas Mangin 

main.cf : reject_non_fqdn_sender

La RFC elle dit ce qu'elle veut (j'ai pas vérifié et je ne m'en  
souviens plus), un message sans adresse email dans le from ça part  
direct à la cuvette.


C'est un message de bounce.

Thomas

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Botnet qui s'énerve sur un de mes s erveurs ?

2009-09-01 Par sujet Julien Escario 

Bonsoir,
Depuis le début de l'a.m., j'ai un trafic anormalement élevé sur un serveur 
mail. J'ai cru à une attaque dictionnaire au début et après analyse, c'est 
quasiment toujours sur les mêmes adresses et en provenance d'une grand quantité 
d'hôte différents (ou alors ils sont spoofés).


Il semblerait qu'ils aient pris 4 ou 5 domaines et essaient d'envoyer une 10aine 
de mails sur chaque adresse. Ensuite ils changent d'adresse et réessaient.


J'ai également la sensation qu'ils ont un FROM <>, ce qui, d'après les RFC, 
n'est pas condamnable ...


Exemple d'un transcript postfix :

Sep  1 19:29:33 dedie03 postfix/smtpd[17789]: 7F2AA2AEEE: 
client=mail.genesisft.com[199.227.139.133]
Sep  1 19:29:33 dedie03 postfix/cleanup[17474]: 7F2AA2AEEE: 
message-id=<20090901172933.7f2aa2a...@smtp.mondomaine.com>
Sep  1 19:29:34 dedie03 postfix/qmgr[1616]: 7F2AA2AEEE: from=<>, size=17212, 
nrcpt=1 (queue active)
Sep  1 19:29:34 dedie03 postfix/virtual[17706]: 7F2AA2AEEE: 
to=, relay=virtual, delay=0.93, 
delays=0.85/0.01/0/0.07, dsn=5.1.1, status=bounced (unknown user: 
"proconsu...@domaineclient.com")

Sep  1 19:29:34 dedie03 postfix/qmgr[1616]: 7F2AA2AEEE: removed

D'après quelques échantillons, chaque IP cliente n'a envoyé que quelques e-mails 
dans la journée.

Sep  1 02:34:31 serveur postfix/smtpd[4528]: connect from unknown[61.136.62.74]
$ cat /var/log/mail.log |grep 61.136.62.74 |grep ": connect" |wc -l
36
Et ça, c'est un cas extrême ...

Bref, ca ressemble beaucoup à un botnet qui m'en voudrait. Est-ce que certains 
d'entre vous ont déjà vu un truc comme ça ?

Vous avez trouvé une protection ?
Blacklisté quelques machines qui spamment, je sais faire. 2000, j'ai plus de 
mal ...

Pour l'instant, j'ai mis en place une RBL + blacklist maison en extrayant des 
adresses manuellement.


Julien
---
Liste de diffusion du FRnOG
http://www.frnog.org/