Spam, quelle solution

[zantar]

Bonjour, je suis confronté depuis quelques jours à un phénomène déplaisant voire dangereux.

je reçois des retours de mail non délivrés de toutes parts. Apparement mon nom de domaine a été spammé. Comment s'y prenent ils? une faille dans mon sysytème? est ce que je risque des soucis à voir mon nom de domaine utilisé ainsi et passer pour un vulgaire spammeur? si vous avez des solutions ou suggestions je suis preneur.

merci

[Jeanluc]

Idem chez moi.

Depuis quelques jours, je reçois des tonnes de mails non délivrés qui me parviennent de serveurs de mails qui renvoient les spams qu'ils reçoivent vers l'adresse indiquée dans le champ "expéditeur".

Je suppose que les administrateurs de ces serveurs de messagerie ne sont pas conscients qu'en agissant ainsi ils ne font qu'aggraver le problème du spam.

Jean-Luc

[Chark]

Perso, je te conseillerais de contacter ton FAI et de lui signaler ce probleme.

Je ne pense pas qu'ils puissent y faire grand chose ( pour remonter a la source il faudrais qu'ils fassent une "enquete" car dans ce genre de pratiques il est tres difficile de remonter à la source ) mais au moins, tu te couvre contre d'eventuelles "poursuites" ou désagréments legaux.

Il vaut mieux prendre les devants et avoir une preuve ( l'envoi de ta plainte au FAI ) de ta bonne foi.

Modifié 15 Octobre 2006 par Chark

[Leonick]

Apparement mon nom de domaine a été spammé. Comment s'y prennent ils? une faille dans mon sysytème?

Non, il suffit juste de trouver une adresse mel qui servira d'expéditeur et une autre de destinataire. Ca a longtemps été le cas des virus spam sur les micro : il prenaient des adresses dans le carnet d'adresse qui leur servaient dans les champs expéditeur et destinataire.

Si on envoie des mels en indiquant contact#webmaster#hub ca ne veut pas dire que les mels viennent du hub.

Maintenant, ils ne prennent plus la peine de scanner les adresses mels, il font de l'attaque par dictionnaire. Souvent sur les sites, il y a des contact_AT_ webmaster_AT_ etc...

J'ai laissé pendant quelques semaines mon catch call fonctionnel sur un de mes sites, et c'est fous le nombre d'adresses mels inventées : des aaa@ aa2@ etc...

Maintenant, si des mauvais admin réseaux font un renvoie vers le from: ou le reply-to: sans regarder les en-têtes des mels

[zantar]

Je viens de lire vos réponses ce lundi matin; hier c'était forêt et champignons.

A propos décrire au FAI, j'ai contacté mon hebergeur mutu pour lui signaler le probleme, est ce suffisant comme preuve de bonne foi?, j'en arrive a me demander s'ils n'ont pas piraté mon script de mailing list...

[Leonick]

Regarde les en-têtes des mels qui te reviennent et sont sensés venir de ton . serveur. Il y a de fortes chances que l'ip de l'expéditeur ne vienne pas de ton serveur.

[Jeanluc]

Bonjour zantar,

Une preuve de bonne foi pour quoi faire ?

Quand on dispose d'un logiciel d'envoi d'email et qu'on connaît un tout petit peu la technique, on peut indiquer n'importe qui comme expéditeur (George Bush, Zidane, Fogiel, Jean-Luc ou Zantar). Le nom de l'expéditeur d'un spam n'est absolument pas une preuve de quoi que ce soit. Seule l'adresse IP de l'expéditeur est une preuve et on peut la trouver dans les entêtes de l'email.

Il n'y a donc pas d'alibi à rechercher. Le seul problème est que des personnes mal informées pourraient croire que toi ou ton système y sont pour quelque chose, mais, contre ça, tu ne peux pas faire grand chose.

Jean-Luc

[glibre]

bonjour,

le jour ou tous les systemes de messagerie utiliseront le SPF, il n'y aura plus ce probleme...

[Jeanluc]

Voici un exemple de mauvaise gestion des spams (parmi de nombreux autres, reçus aujourd'hui) :

Subject: **Message you sent blocked by our bulk email filter**

To: <ahi_AT_internetofficer.com>

Your message to: brewer_AT_huggle.com

was blocked by our Spam Firewall. The email you sent with the following subject has NOT BEEN DELIVERED:

Subject: revampReporting-MTA: dns; spam.prostream.net

Received-From-MTA: smtp; spam.prostream.net ([127.0.0.1])

Arrival-Date: Mon, 16 Oct 2006 15:40:06 -0400 (EDT)

Content-Type: text/plain; x-avg-checked=avg-ok-663866C0

Final-Recipient: rfc822; brewer_AT_huggle.com

Action: failed

Status: 5.7.1

Diagnostic-Code: smtp; 550 5.7.1 Message content rejected, UBE, id=05458-01-254

Last-Attempt-Date: Mon, 16 Oct 2006 15:40:06 -0400 (EDT)

Received: from 89.0.96.209.dynamic.barak-online.net (89.0.96.209.dynamic.barak-online.net [89.0.96.209])

by spam.prostream.net (Spam Firewall) with SMTP id 1FFC57FCD3

for <brewer_AT_huggle.com>; Mon, 16 Oct 2006 15:39:24 -0400 (EDT)

Received: (qmail 8092 invoked from network); Mon, 16 Oct 2006 21:48:11 +0200

Received: from unknown (HELO 89.0.117.222) (89.0.117.222)

by 89.0.96.209.dynamic.barak-online.net with SMTP; Mon, 16 Oct 2006 21:48:11 +0200

Message-ID: <4533DFE0.3050508_AT_internetofficer.com>

Date: Mon, 16 Oct 2006 21:39:12 +0200

From: Moses Delgado <ahi_AT_internetofficer.com>

User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)

MIME-Version: 1.0

To: brewer_AT_huggle.com

Subject: revamp

Content-Type: multipart/related;

boundary="------------050703040808070000070603"

internetofficer.com est un de mes domaines, mais l'utilisateur Moses Delgado, alias ahi n'a jamais existé. Le logiciel détecte que le domaine qui a envoyé le mail est 89.0.117.222 qui est en Israël, mais il envoie un mail d'avertissement en Belgique, induit en erreur par le spammeur qui a évidemment indiqué une adresse d'expéditeur fictive !

Et tout cela semble généré automatiquement par un ... anti-spam.

Jean-Luc

Modifié 16 Octobre 2006 par Jeanluc

[mediaforest]

bonjour,

le jour ou tous les systemes de messagerie utiliseront le SPF, il n'y aura plus ce probleme...

Sauf que si ton adresse c'est monnom_AT_mondomaine.com, c'est mondomaine.com qui est dans le spf. Alors quand tu es à la maison avec une connexion wanadoo ou cegetel les serveurs destinataires refuseront ton message venant de monnom_AT_mondomaine.com puisqu'il transite par cegetel.net ou wanadoo.fr, et si tu ajoutes wanadoo.fr ou cegetel.net dans ton SPF tous les spam provenant de ces domaines passeront...

Attention, zantar, si le site correspondant à ton nom de domaine contient des scripts CGI ou PHP servant à envoyer des emails de confirmation ou autre, il est très possible qu'ils soient détournés et que ce soit vraiment ton serveur qui envoie du spam...

jette un coup d'oeil là dessus :

http://sourceforge.net/project/showfiles.p...ackage_id=70827

http://www.phpsecure.info/v2/article/MailHeadersInject.php

[glibre]

Sauf que si ton adresse c'est monnom_AT_mondomaine.com, c'est mondomaine.com qui est dans le spf. Alors quand tu es à la maison avec une connexion wanadoo ou cegetel les serveurs destinataires refuseront ton message venant de monnom_AT_mondomaine.com puisqu'il transite par cegetel.net ou wanadoo.fr, et si tu ajoutes wanadoo.fr ou cegetel.net dans ton SPF tous les spam provenant de ces domaines passeront...

Il suffit de mettre en place le SMTP_AUTH sur ton serveur, et du coup tu utilises uniquement le SMTP declaré dans ton DNS pour envoyer des mails de ton domaine.

Tant que les gens et entreprises utiliseront les SMTP des fai pour relayer des domaines n'ayant rien avoi avec leur reseau,

il y aura des problemes.

Le SPF n'est pas la solution miracle pour le SPAM, mais permettrait d'eviter enormement de problemes, tels que les virus de derniere generation

qui installent un smtp local et envoie des mails de la part et à toutes les personnes presentes dans les carnets d'adresses.

Hotmail considere d'ailleurs comme spam tout domaine n'ayant pas d'entree SPF.

[Leonick]

Le SPF n'est pas la solution miracle pour le SPAM, mais permettrait d'eviter enormement de problemes, tels que les virus de derniere generation

qui installent un smtp local et envoie des mails de la part et à toutes les personnes presentes dans les carnets d'adresses.

Ce type de virus existe déjà depuis de nombreuses années et souvent le seul moyen de trouver l'expéditeur était de faire un croisement de toutes les adresses mels contenues dans les différents spams. La personne qui avait toutes ces adresses dans son carnet d'adresses était la fautive

[glibre]

Ce type de virus existe déjà depuis de nombreuses années

il n'en reste pas moins que ce sont les virus de derniere generation (mode de propagation)

et souvent le seul moyen de trouver l'expéditeur était de faire un croisement de toutes les adresses mels contenues dans les différents spams. La personne qui avait toutes ces adresses dans son carnet d'adresses était la fautive

je me vois mal faire un croisement des mes users en fonction de leur carnet d'adresse.

Rien que celui interne a ma boite (LDAP) contient plus de 600 adresses... alors si j'y ajoute les clients etc. j'en ai pas finit.

Apres... impossible de gerer ceux des clients et autres contacts de mes utilisateurs.

Non la seule bonne solution est d'avoir un antivirus a jour (je sais, ca parrait debil comme ca...)

Sinon, c'est plus avec l'ip qu'autre chose que je detecte si j'ai un user qui deballe dans mon reseau.

[Leonick]

j'ai tenté il y a quelques temps de renvoyer tous les spams que je recevais vers le FAI du destinataire (avec l'IP de l'expéditeur) et pas le mel en leur disant de se mettre en rapport avec le possesseur de l'ip incriminée et de lui demander d'avoir un antivirus à jour.

C'était très souvent wanamoo et neuf, je n'ai eu aucun retour et les spams continuaient de plus belle.