SMPFR


https://smpfr.info/

SPAM

https://smpfr.info/viewtopic.php?t=2764

Page 5 sur 5

SPAM

Publié : ven. 7 oct. 2016 13:11
par dsebire
C'est le smtp orange qui envoie le mail de ce que je vois.
Et du coup, il est pas dans le spf donc fuck !

SPAM

Publié : ven. 7 oct. 2016 13:38
par gizmo78
+1 si envoie par orange faut le coller dans le spf sinon c'est mort

SPAM

Publié : ven. 7 oct. 2016 15:17
par biour
Encore un coup des DNS :whistle:

SPAM

Publié : ven. 7 oct. 2016 16:16
par kalistyan
Le client a le même problème via le webmail de Gandi ! :heink:

Code : Tout sélectionner

This is the mail system at host relay6-d.mail.gandi.net.

I'm sorry to have to inform you that your message could not be delivered to
one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own
text from the attached returned message.

                   The mail system

: host
    relais-mail.prod.cnfpt.aw.atos.net[160.92.173.51] said: 554 5.7.1
    : Recipient address rejected: This email has
been
    rejected as the IP address does not fit the domain. (in reply to RCPT TO
    command)

SPAM

Publié : ven. 7 oct. 2016 16:44
par gizmo78
kali: envoie moi un mail depuis une adresse précise (donne moi en mp) et je look mes logs directement ;)

SPAM

Publié : ven. 7 oct. 2016 18:41
par kalistyan
Je crois avoir trouvé. ;)

Enregistrement SPF pour Gandi Mail
=> include:_mailcust.gandi.net

Tous les détails :
=> https://wiki.gandi.net/fr/dns/zone/spf-record

Code : Tout sélectionner

+0 msEvaluating mechanism "include".
Qualifier: "pass"
Domain argument: "_mailcust.gandi.net"
DNS limits status: DNS terms 3 of 10 allowed. Void lookups 0 of 2 allowed. See RFC7208 Section 4.6.4.
+0 msDomain argument after macro expansion: "_mailcust.gandi.net".
+0 msEntering recursive evaluation.
+0 msSPF check starting.
IP: 217.70.183.194
Sender: [g]postmaster@mondomaine.fr[/g]
Domain: _mailcust.gandi.net
EHLO/HELO domain:
+0 msRetrieving DNS TXT record for "_mailcust.gandi.net".
+27 msTXT record found.
Line #1: "v=spf1 ip4:217.70.176.0/21 ip6:2001:4b98:c::/48 ip4:217.70.186.186/32 ip6:2001:4b98:dc2:90:217:70:186:186/128 ?all"
+0 msStarting SPF policy evaluation.
Policy: "v=spf1 ip4:217.70.176.0/21 ip6:2001:4b98:c::/48 ip4:217.70.186.186/32 ip6:2001:4b98:dc2:90:217:70:186:186/128 ?all"
+0 msThe policy passed syntax validation.
+0 msEvaluating SPF mechanisms.
+0 msEvaluating mechanism "ip4".
Qualifier: "pass"
Network argument: "217.70.176.0"
CIDR length (IPv4) argument: 21
+0 msThe mechanism matched with the "pass" qualifier.
+0 msFinished evaluating SPF mechanisms.
+0 msFinished SPF policy evaluation.
DNS limits status: DNS terms 4 of 10 allowed. Void lookups 0 of 2 allowed. See RFC7208 Section 4.6.4.
+1 msPolicy evaluation finished with SPF "pass".
+0 msReturned from recursive evaluation.
+0 msThe mechanism matched with the "pass" qualifier.
+0 msFinished evaluating SPF mechanisms.
+0 msFinished SPF policy evaluation.
DNS limits status: DNS terms 4 of 10 allowed. Void lookups 0 of 2 allowed. See RFC7208 Section 4.6.4.
+0 [g]msPolicy evaluation finished with SPF "pass"[/g].

SPAM

Publié : mer. 12 oct. 2016 15:24
par kalistyan
Pour autoriser le relais à partir des serveurs Orange.

Image

Code : Tout sélectionner

v=spf1 a mx a:smtp.smtpout.orange.fr -all
Il est possible de tester son spf en live (onglet Advanced).
=> http://vamsoft.com/support/tools/spf-policy-tester

SPAM

Publié : ven. 14 oct. 2016 10:20
par kalistyan
Grosse vague de SPAM chez un client, mais sur une seule BAL ! :o
Seul le filtre Bayesian Analysis à un peu fonctionné, ils ont été marqués comme [Possible SPAM].

Sujet :

Employees needed
Working with partial occupancy
The beautiful work in crisis!
Beneficial proposition
The crisis has finished! Work with us!
Cooperation with the great company
Career growth
Wanted regional managers

SPAM

Publié : ven. 14 oct. 2016 10:43
par dsebire
t'as des listes noires d'IP configurées ?
en général ça viens de BOT sur des IP de FAI, donc faciles a bloquer (spamhaus etc...)

suis content, de mon coté que ce soient clients ou moi même, quasi aucun spam (les filtres bloquent rien, je suis pas visé en clair)

SPAM

Publié : ven. 14 oct. 2016 11:24
par kalistyan
t'as des listes noires d'IP configurées ?
Oui, de configuré j'ai :

SpamHaus ZEN => ZEN.SPAMHAUS.ORG
Lookup result 127.0.0.2-11
=> https://www.spamhaus.org/zen/

...Mais étant inefficace j'ai dû rajouté SORBS, cela a permit d'en détecter certain...

SPAM

Publié : ven. 14 oct. 2016 11:24
par kalistyan
t'as des listes noires d'IP configurées ?
Oui, de configuré j'ai :

SpamHaus ZEN => ZEN.SPAMHAUS.ORG
Lookup result 127.0.0.2-11
=> https://www.spamhaus.org/zen/

...Mais étant inefficace j'ai dû rajouté SORBS, cela a permit d'en détecter certain...

SPAM

Publié : ven. 14 oct. 2016 11:28
par dsebire
attention a sorbs, beaucoup de faux positifs !!!!
la société générale par ex est blacklistée chez eux....

Re: SPAM

Publié : mer. 12 déc. 2018 16:06
par dsebire
dsebire a écrit : lun. 4 mai 2015 18:22 bon, je up et je reviens sur le sujet initial.

j'avais entendu dire que les spammeurs tapaient plus sur les serveurs qui ont le MX le plus élevé. pourquoi ? moins chargés et parfois (souvent) moins sécurisés.

et bah je confirme pour la première partie.

j'ai 3 MX:
les 2 premiers avec un poids faible (5 et 10) sont pour mon exchange au travers de 2 IP publiques.
le 3eme est un relai postfix avec un poids élevé (100) qui me sert de backup si le exchange est out

depuis que j'ai mis le relai postfix, je n'ai quasi aucun spam qui arrive sur le exchange (10 par jours contre 3000 avant), par contre, le postfix s'en prend 3000.
évidement, même règles de filtrage sur le postfix que le exchange, donc les chiffres sont comparables.

j'ai très envie de mettre un 4eme MX avec un poids a 5000 qui pointe sur une ip bidon (pas a moi en tous cas), juste pour les spammeurs :D
3ans et demi plus tard....

c'est plus le même serveur exchange mais c'est monté pareil
vu que j'en avais mare que les serveurs (enfin le MX secondaire) se prenne que des SPAMS dans la tronche, j'ai mis un 4eme MX sur le domaine mais qui pointe vers un serveur sur lequel il n'y a aucun serveur/relai mail.
par contre, il enregistre les tentatives de connexions sur le port 25.

du coup, tout le SPAM est bien rerouté sur le 4eme MX sur lequel les spammeurs se cassent les dents.

le reste de l'infra fonctionne a merveille, le exchange se prend aucun SPAM (3 mails bloqués en 1 mois), le MX secondaire ne branle rien (bonne nouvelle, ça veut dire que le exchange a un tx de dispo élevé)
et le 4eme serveur (qui n'est pas un serveur mail je rappelle) lui se prend un nombre de connexion hyper élevé qui sont du coup toute refusée.
en vérifiant les logs, aucune des connexion qui est faite sur le 4eme serveur n'est un mail légitime (je ne retrouve pas de mail en provenance de ces IP sur le exchange ou le MX secondaire)

je ne conseillerais pas pour autant cette solution vu que peu orthodoxe, mais c'est extrêmement efficace !

vais pt 'être pousser le vice jusqu'à faire pointer le 4eme MX sur crosoft/Google/OVH, ça devrait les calmer définitivement :D

Re: SPAM

Publié : mer. 12 déc. 2018 16:20
par yahaha
Ou sur un domaine réputé pour ses tendances a spammer...ça doit bien se trouver non?😁

Re: SPAM

Publié : dim. 31 janv. 2021 13:04
par dsebire
le domaine spamcop.net a expiré et est cybersquatté !
du coup, toutes les IP remontent en SPAM dessus !!!

ça va être drôle :D

PS: spamcop = cisco. ça fait vachement propre :o

Re: SPAM

Publié : lun. 1 févr. 2021 22:01
par dsebire
bon bah ça a aura pas été si terrible en fait.
cisco a récupéré le domaine et rétabli le service tôt ce matin.
Fuseau horaire sur UTC+02:00
Page 5 sur 5

Développé par phpBB® Forum Software © phpBB Limited

Traduction française officielle © Qiaeru