SPAM

[dsebire]

C'est le smtp orange qui envoie le mail de ce que je vois.
Et du coup, il est pas dans le spf donc fuck !

[gizmo78]

+1 si envoie par orange faut le coller dans le spf sinon c'est mort

[biour]

Encore un coup des DNS

[kalistyan]

Le client a le même problème via le webmail de Gandi !

Code : Tout sélectionner

This is the mail system at host relay6-d.mail.gandi.net.

I'm sorry to have to inform you that your message could not be delivered to
one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own
text from the attached returned message.

                   The mail system

: host
    relais-mail.prod.cnfpt.aw.atos.net[160.92.173.51] said: 554 5.7.1
    : Recipient address rejected: This email has
been
    rejected as the IP address does not fit the domain. (in reply to RCPT TO
    command)

[gizmo78]

kali: envoie moi un mail depuis une adresse précise (donne moi en mp) et je look mes logs directement

[kalistyan]

Je crois avoir trouvé.

Enregistrement SPF pour Gandi Mail
=> include:_mailcust.gandi.net

Tous les détails :
=> https://wiki.gandi.net/fr/dns/zone/spf-record

Code : Tout sélectionner

+0 msEvaluating mechanism "include".
Qualifier: "pass"
Domain argument: "_mailcust.gandi.net"
DNS limits status: DNS terms 3 of 10 allowed. Void lookups 0 of 2 allowed. See RFC7208 Section 4.6.4.
+0 msDomain argument after macro expansion: "_mailcust.gandi.net".
+0 msEntering recursive evaluation.
+0 msSPF check starting.
IP: 217.70.183.194
Sender: [g]postmaster@mondomaine.fr[/g]
Domain: _mailcust.gandi.net
EHLO/HELO domain:
+0 msRetrieving DNS TXT record for "_mailcust.gandi.net".
+27 msTXT record found.
Line #1: "v=spf1 ip4:217.70.176.0/21 ip6:2001:4b98:c::/48 ip4:217.70.186.186/32 ip6:2001:4b98:dc2:90:217:70:186:186/128 ?all"
+0 msStarting SPF policy evaluation.
Policy: "v=spf1 ip4:217.70.176.0/21 ip6:2001:4b98:c::/48 ip4:217.70.186.186/32 ip6:2001:4b98:dc2:90:217:70:186:186/128 ?all"
+0 msThe policy passed syntax validation.
+0 msEvaluating SPF mechanisms.
+0 msEvaluating mechanism "ip4".
Qualifier: "pass"
Network argument: "217.70.176.0"
CIDR length (IPv4) argument: 21
+0 msThe mechanism matched with the "pass" qualifier.
+0 msFinished evaluating SPF mechanisms.
+0 msFinished SPF policy evaluation.
DNS limits status: DNS terms 4 of 10 allowed. Void lookups 0 of 2 allowed. See RFC7208 Section 4.6.4.
+1 msPolicy evaluation finished with SPF "pass".
+0 msReturned from recursive evaluation.
+0 msThe mechanism matched with the "pass" qualifier.
+0 msFinished evaluating SPF mechanisms.
+0 msFinished SPF policy evaluation.
DNS limits status: DNS terms 4 of 10 allowed. Void lookups 0 of 2 allowed. See RFC7208 Section 4.6.4.
+0 [g]msPolicy evaluation finished with SPF "pass"[/g].

[kalistyan]

Pour autoriser le relais à partir des serveurs Orange.

Code : Tout sélectionner

v=spf1 a mx a:smtp.smtpout.orange.fr -all

Il est possible de tester son spf en live (onglet Advanced).
=> http://vamsoft.com/support/tools/spf-policy-tester

[kalistyan]

Grosse vague de SPAM chez un client, mais sur une seule BAL !
Seul le filtre Bayesian Analysis à un peu fonctionné, ils ont été marqués comme [Possible SPAM].

Sujet :

Employees needed
Working with partial occupancy
The beautiful work in crisis!
Beneficial proposition
The crisis has finished! Work with us!
Cooperation with the great company
Career growth
Wanted regional managers

[dsebire]

t'as des listes noires d'IP configurées ?
en général ça viens de BOT sur des IP de FAI, donc faciles a bloquer (spamhaus etc...)

suis content, de mon coté que ce soient clients ou moi même, quasi aucun spam (les filtres bloquent rien, je suis pas visé en clair)

[kalistyan]

t'as des listes noires d'IP configurées ?

Oui, de configuré j'ai :

SpamHaus ZEN => ZEN.SPAMHAUS.ORG
Lookup result 127.0.0.2-11
=> https://www.spamhaus.org/zen/

...Mais étant inefficace j'ai dû rajouté SORBS, cela a permit d'en détecter certain...

[kalistyan]

t'as des listes noires d'IP configurées ?

Oui, de configuré j'ai :

SpamHaus ZEN => ZEN.SPAMHAUS.ORG
Lookup result 127.0.0.2-11
=> https://www.spamhaus.org/zen/

...Mais étant inefficace j'ai dû rajouté SORBS, cela a permit d'en détecter certain...

[dsebire]

attention a sorbs, beaucoup de faux positifs !!!!
la société générale par ex est blacklistée chez eux....

[dsebire]

bon, je up et je reviens sur le sujet initial.

j'avais entendu dire que les spammeurs tapaient plus sur les serveurs qui ont le MX le plus élevé. pourquoi ? moins chargés et parfois (souvent) moins sécurisés.

et bah je confirme pour la première partie.

j'ai 3 MX:
les 2 premiers avec un poids faible (5 et 10) sont pour mon exchange au travers de 2 IP publiques.
le 3eme est un relai postfix avec un poids élevé (100) qui me sert de backup si le exchange est out

depuis que j'ai mis le relai postfix, je n'ai quasi aucun spam qui arrive sur le exchange (10 par jours contre 3000 avant), par contre, le postfix s'en prend 3000.
évidement, même règles de filtrage sur le postfix que le exchange, donc les chiffres sont comparables.

j'ai très envie de mettre un 4eme MX avec un poids a 5000 qui pointe sur une ip bidon (pas a moi en tous cas), juste pour les spammeurs

3ans et demi plus tard....

c'est plus le même serveur exchange mais c'est monté pareil
vu que j'en avais mare que les serveurs (enfin le MX secondaire) se prenne que des SPAMS dans la tronche, j'ai mis un 4eme MX sur le domaine mais qui pointe vers un serveur sur lequel il n'y a aucun serveur/relai mail.
par contre, il enregistre les tentatives de connexions sur le port 25.

du coup, tout le SPAM est bien rerouté sur le 4eme MX sur lequel les spammeurs se cassent les dents.

le reste de l'infra fonctionne a merveille, le exchange se prend aucun SPAM (3 mails bloqués en 1 mois), le MX secondaire ne branle rien (bonne nouvelle, ça veut dire que le exchange a un tx de dispo élevé)
et le 4eme serveur (qui n'est pas un serveur mail je rappelle) lui se prend un nombre de connexion hyper élevé qui sont du coup toute refusée.
en vérifiant les logs, aucune des connexion qui est faite sur le 4eme serveur n'est un mail légitime (je ne retrouve pas de mail en provenance de ces IP sur le exchange ou le MX secondaire)

je ne conseillerais pas pour autant cette solution vu que peu orthodoxe, mais c'est extrêmement efficace !

vais pt 'être pousser le vice jusqu'à faire pointer le 4eme MX sur crosoft/Google/OVH, ça devrait les calmer définitivement

[yahaha]

Ou sur un domaine réputé pour ses tendances a spammer...ça doit bien se trouver non?

[dsebire]

le domaine spamcop.net a expiré et est cybersquatté !
du coup, toutes les IP remontent en SPAM dessus !!!

ça va être drôle

PS: spamcop = cisco. ça fait vachement propre

[dsebire]

bon bah ça a aura pas été si terrible en fait.
cisco a récupéré le domaine et rétabli le service tôt ce matin.

[dsebire]

J'ai l'impression que spamhaus déclare tourtes les IP comme SPAM depuis hier fin d'après midi.
avec l'outil sur le site, tout est OK mais quand on interroge le pbl a partir de son serveur smtp, ça renvoie une erreur => spam

j'ai rien trouvé sur le net à ce sujet, bizarre

[dsebire]

bah en fait ils bloquent tout si on passe par un DNS publique !
https://www.spamhaus.com/resource-cente ... y-service/

en gros il faut passer par leur DNS et payer si on dépasse un certain nombre de requêtes.

mis en place "progressivement" à partir de janvier 2022 et ça bloque mi mars 2023

bye bye spamhaus !

[Ryu_wm]

Quelle politique débile et suicidaire...