SPAM

Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

SPAM

Message par dsebire »

C'est le smtp orange qui envoie le mail de ce que je vois.
Et du coup, il est pas dans le spf donc fuck !
gizmo78
Messages : 20037
Inscription : ven. 12 janv. 2018 17:44

SPAM

Message par gizmo78 »

+1 si envoie par orange faut le coller dans le spf sinon c'est mort
Avatar de l’utilisateur
biour
Messages : 24064
Inscription : ven. 12 janv. 2018 17:44

SPAM

Message par biour »

Encore un coup des DNS :whistle:
Image
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

SPAM

Message par kalistyan »

Le client a le même problème via le webmail de Gandi ! :heink:

Code : Tout sélectionner

This is the mail system at host relay6-d.mail.gandi.net.

I'm sorry to have to inform you that your message could not be delivered to
one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own
text from the attached returned message.

                   The mail system

: host
    relais-mail.prod.cnfpt.aw.atos.net[160.92.173.51] said: 554 5.7.1
    : Recipient address rejected: This email has
been
    rejected as the IP address does not fit the domain. (in reply to RCPT TO
    command)
gizmo78
Messages : 20037
Inscription : ven. 12 janv. 2018 17:44

SPAM

Message par gizmo78 »

kali: envoie moi un mail depuis une adresse précise (donne moi en mp) et je look mes logs directement ;)
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

SPAM

Message par kalistyan »

Je crois avoir trouvé. ;)

Enregistrement SPF pour Gandi Mail
=> include:_mailcust.gandi.net

Tous les détails :
=> https://wiki.gandi.net/fr/dns/zone/spf-record

Code : Tout sélectionner

+0 msEvaluating mechanism "include".
Qualifier: "pass"
Domain argument: "_mailcust.gandi.net"
DNS limits status: DNS terms 3 of 10 allowed. Void lookups 0 of 2 allowed. See RFC7208 Section 4.6.4.
+0 msDomain argument after macro expansion: "_mailcust.gandi.net".
+0 msEntering recursive evaluation.
+0 msSPF check starting.
IP: 217.70.183.194
Sender: [g]postmaster@mondomaine.fr[/g]
Domain: _mailcust.gandi.net
EHLO/HELO domain:
+0 msRetrieving DNS TXT record for "_mailcust.gandi.net".
+27 msTXT record found.
Line #1: "v=spf1 ip4:217.70.176.0/21 ip6:2001:4b98:c::/48 ip4:217.70.186.186/32 ip6:2001:4b98:dc2:90:217:70:186:186/128 ?all"
+0 msStarting SPF policy evaluation.
Policy: "v=spf1 ip4:217.70.176.0/21 ip6:2001:4b98:c::/48 ip4:217.70.186.186/32 ip6:2001:4b98:dc2:90:217:70:186:186/128 ?all"
+0 msThe policy passed syntax validation.
+0 msEvaluating SPF mechanisms.
+0 msEvaluating mechanism "ip4".
Qualifier: "pass"
Network argument: "217.70.176.0"
CIDR length (IPv4) argument: 21
+0 msThe mechanism matched with the "pass" qualifier.
+0 msFinished evaluating SPF mechanisms.
+0 msFinished SPF policy evaluation.
DNS limits status: DNS terms 4 of 10 allowed. Void lookups 0 of 2 allowed. See RFC7208 Section 4.6.4.
+1 msPolicy evaluation finished with SPF "pass".
+0 msReturned from recursive evaluation.
+0 msThe mechanism matched with the "pass" qualifier.
+0 msFinished evaluating SPF mechanisms.
+0 msFinished SPF policy evaluation.
DNS limits status: DNS terms 4 of 10 allowed. Void lookups 0 of 2 allowed. See RFC7208 Section 4.6.4.
+0 [g]msPolicy evaluation finished with SPF "pass"[/g].
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

SPAM

Message par kalistyan »

Pour autoriser le relais à partir des serveurs Orange.

Image

Code : Tout sélectionner

v=spf1 a mx a:smtp.smtpout.orange.fr -all
Il est possible de tester son spf en live (onglet Advanced).
=> http://vamsoft.com/support/tools/spf-policy-tester
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

SPAM

Message par kalistyan »

Grosse vague de SPAM chez un client, mais sur une seule BAL ! :o
Seul le filtre Bayesian Analysis à un peu fonctionné, ils ont été marqués comme [Possible SPAM].

Sujet :

Employees needed
Working with partial occupancy
The beautiful work in crisis!
Beneficial proposition
The crisis has finished! Work with us!
Cooperation with the great company
Career growth
Wanted regional managers
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

SPAM

Message par dsebire »

t'as des listes noires d'IP configurées ?
en général ça viens de BOT sur des IP de FAI, donc faciles a bloquer (spamhaus etc...)

suis content, de mon coté que ce soient clients ou moi même, quasi aucun spam (les filtres bloquent rien, je suis pas visé en clair)
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

SPAM

Message par kalistyan »

t'as des listes noires d'IP configurées ?
Oui, de configuré j'ai :

SpamHaus ZEN => ZEN.SPAMHAUS.ORG
Lookup result 127.0.0.2-11
=> https://www.spamhaus.org/zen/

...Mais étant inefficace j'ai dû rajouté SORBS, cela a permit d'en détecter certain...

kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

SPAM

Message par kalistyan »

t'as des listes noires d'IP configurées ?
Oui, de configuré j'ai :

SpamHaus ZEN => ZEN.SPAMHAUS.ORG
Lookup result 127.0.0.2-11
=> https://www.spamhaus.org/zen/

...Mais étant inefficace j'ai dû rajouté SORBS, cela a permit d'en détecter certain...

Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

SPAM

Message par dsebire »

attention a sorbs, beaucoup de faux positifs !!!!
la société générale par ex est blacklistée chez eux....
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Re: SPAM

Message par dsebire »

dsebire a écrit : lun. 4 mai 2015 18:22 bon, je up et je reviens sur le sujet initial.

j'avais entendu dire que les spammeurs tapaient plus sur les serveurs qui ont le MX le plus élevé. pourquoi ? moins chargés et parfois (souvent) moins sécurisés.

et bah je confirme pour la première partie.

j'ai 3 MX:
les 2 premiers avec un poids faible (5 et 10) sont pour mon exchange au travers de 2 IP publiques.
le 3eme est un relai postfix avec un poids élevé (100) qui me sert de backup si le exchange est out

depuis que j'ai mis le relai postfix, je n'ai quasi aucun spam qui arrive sur le exchange (10 par jours contre 3000 avant), par contre, le postfix s'en prend 3000.
évidement, même règles de filtrage sur le postfix que le exchange, donc les chiffres sont comparables.

j'ai très envie de mettre un 4eme MX avec un poids a 5000 qui pointe sur une ip bidon (pas a moi en tous cas), juste pour les spammeurs :D
3ans et demi plus tard....

c'est plus le même serveur exchange mais c'est monté pareil
vu que j'en avais mare que les serveurs (enfin le MX secondaire) se prenne que des SPAMS dans la tronche, j'ai mis un 4eme MX sur le domaine mais qui pointe vers un serveur sur lequel il n'y a aucun serveur/relai mail.
par contre, il enregistre les tentatives de connexions sur le port 25.

du coup, tout le SPAM est bien rerouté sur le 4eme MX sur lequel les spammeurs se cassent les dents.

le reste de l'infra fonctionne a merveille, le exchange se prend aucun SPAM (3 mails bloqués en 1 mois), le MX secondaire ne branle rien (bonne nouvelle, ça veut dire que le exchange a un tx de dispo élevé)
et le 4eme serveur (qui n'est pas un serveur mail je rappelle) lui se prend un nombre de connexion hyper élevé qui sont du coup toute refusée.
en vérifiant les logs, aucune des connexion qui est faite sur le 4eme serveur n'est un mail légitime (je ne retrouve pas de mail en provenance de ces IP sur le exchange ou le MX secondaire)

je ne conseillerais pas pour autant cette solution vu que peu orthodoxe, mais c'est extrêmement efficace !

vais pt 'être pousser le vice jusqu'à faire pointer le 4eme MX sur crosoft/Google/OVH, ça devrait les calmer définitivement :D
yahaha
Messages : 1831
Inscription : ven. 12 janv. 2018 17:44
Localisation : Bruxelles

Re: SPAM

Message par yahaha »

Ou sur un domaine réputé pour ses tendances a spammer...ça doit bien se trouver non?😁
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Re: SPAM

Message par dsebire »

le domaine spamcop.net a expiré et est cybersquatté !
du coup, toutes les IP remontent en SPAM dessus !!!

ça va être drôle :D

PS: spamcop = cisco. ça fait vachement propre :o
Avatar de l’utilisateur
dsebire
Messages : 12716
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

Re: SPAM

Message par dsebire »

bon bah ça a aura pas été si terrible en fait.
cisco a récupéré le domaine et rétabli le service tôt ce matin.
Répondre