Jump to content
Nicolas

Reception de mail "Undelivered Mail Returned to Sender" en masse

Rate this topic

Recommended Posts

Bonjour,



J'ai une boite mail d'un client inondée de message de type Undelivered Mail Returned to Sender.


Sur la boite mail concernée ce genre de mail arrivent à rythme de 1 à 2 par minute.



La mail d'origine est un mail en anglais de type spam. Le message de retour n'est donc pas générée par une erreur (mauvais destinataire par exemple) du propriétaire (le client) de la boite mail.


Le champ "from" correspond à l'adresse mail du client.


Le champ "received" est celui du serveur qui contient le site.



Le site associé au domaine est sous Wordpress. J'ai vérifié si il y avait des mises à jour à faire (wordpress + plugins). J'ai aussi fait quelques vérifications de hacks; bien sur ça ne veut pas dire que le site n'est pas hacké pour autant.



Si vous avez des pistes sur ce genre de problème je suis preneur.



Bien sur je pourrai mettre une règle dans le logiciel Outlook (version 2007) du client mais je préfère régler le problème à la base.



Merci d'avance.


Share this post


Link to post
Share on other sites

Tu utilises quel logiciel pour les mails sur ton serveur ? Exim, postfix, qmail, autre... ?

Share this post


Link to post
Share on other sites

Le client passe par Outlook et Outlook Express suivant la machine et moi pour effacer et contrôler l'arriver de ce type de mail je passe par Roundcube.

Share this post


Link to post
Share on other sites

Non, je te demande le MTA (sur le serveur), pas le client ;)

Share this post


Link to post
Share on other sites

Pour WordPress, renvoi tous les fichiers "Core". Je me suis fait avoir une fois.



Un vieux WordPress non mis à jour. J'ai donc fait l'update via l'admin.... mais le hack était toujours là.



J'ai donc uploadé tous les fichiers Core (Excepté le dossier wp-content/theme/)


Share this post


Link to post
Share on other sites

Merci Portekoi



Est-ce que le hack peut venir d'un autre site du serveur (= un domaine différent à celui du mail) ?


Share this post


Link to post
Share on other sites

Oui dans la mesure où on peut usurpé l'expéditeur.



il faudrait que tu affiches l'un des entêtes des mails concernés pour voir l'IP du serveur qui envoie cette ******


Share this post


Link to post
Share on other sites

Un exemple de mail reçu (j'ai masqué le serveur name = nsXX.XXXXXX.xxx ainsi que le mail du client = contact@domaine_du_client.com)





This is the mail system at host nsXX.XXXXXX.xxx.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<kathpar8@aol.com>: mail transport unavailable

<krausepau@aol.com>: mail transport unavailable

<smakdaab1@aol.com>: mail transport unavailable
Reporting-MTA: dns; nsXX.XXXXXX.xxx
X-Postfix-Queue-ID: F08071A1F89
X-Postfix-Sender: rfc822; contact@domaine_du_client.com
Arrival-Date: Mon, 24 Feb 2014 09:48:59 +0100 (CET)

Final-Recipient: rfc822; kathpar8@aol.com
Action: failed
Status: 4.3.0
Diagnostic-Code: X-Postfix; mail transport unavailable

Final-Recipient: rfc822; krausepau@aol.com
Action: failed
Status: 4.3.0
Diagnostic-Code: X-Postfix; mail transport unavailable

Final-Recipient: rfc822; smakdaab1@aol.com
Action: failed
Status: 4.3.0
Diagnostic-Code: X-Postfix; mail transport unavailable
Return-Path: <contact@domaine_du_client.com>
Received: by nsXX.XXXXXX.xxx (Postfix, from userid 5000)
id F08071A1F89; Mon, 24 Feb 2014 09:48:59 +0100 (CET)
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on nsXX.XXXXXX.xxx
X-Spam-Level:
X-Spam-Status: No, score=-2.9 required=5.0 tests=ALL_TRUSTED,BAYES_00,
TVD_SPACE_RATIO,URIBL_DBL_REDIR autolearn=ham version=3.3.1
Received: from domaine_du_client.com (unknown [91.241.129.235])
by nsXX.XXXXXX.xxx (Postfix) with ESMTPA id 6BE2B1A1F86;
Mon, 24 Feb 2014 08:48:53 +0000 (UTC)
Message-ID: <1B5E2011.D44A2AC6@domaine_du_client.com>
Date: Mon, 24 Feb 2014 09:49:00 +0100
Reply-To: "contact" <contact@domaine_du_client.com>
From: "contact" <contact@domaine_du_client.com>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.12) Gecko/20050923 Thunderbird/1.0.7
X-Accept-Language: en-us
MIME-Version: 1.0
To: <krausepau@aol.com>,
<smakdaab1@aol.com>,
<kathpar8@aol.com>
Subject: Your question
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

How are you http://t.co/UUbM2mtiuz

Share this post


Link to post
Share on other sites

A voir l'IP, c'est un Ukrainien qui spamme !



Received: from domaine_du_client.com (unknown [91.241.129.235])


91.241.129.235 UA Ukraine, Europe 49, 32 Tov Neo-telecom Tov Neo-telecom sv3.net.ua

Dis à ton client de changer son mot de passe, ou change-le toi-même !



Tu peux déjà commencer en blacklistant cette IP.



iptables -A INPUT -s 91.241.129.235 -j DROP

Share this post


Link to post
Share on other sites

Merci :-)



Je vais commencer par changer le mot de passe de la boite mail



Concernant l'ip j'en ai une différente à mail.


Share this post


Link to post
Share on other sites

Bonjour,



J'ai changé le mot de passe de la boite mail. J'ai l'impression d'avoir moins de mails de ce type mais il y en a encore :-(


J'espère que la boite n'est pas foutue.



Merci pour les pistes en tout cas ;-)



Nicolas

Share this post


Link to post
Share on other sites

Les mails que tu reçois sont des "bounces" ... il est logique que tu en reçoives encore durant 5 jours qui est le délai normal en cas de non-distributon d'un email.

Share this post


Link to post
Share on other sites

D'accord merci pour votre aide :-) Je reviendrai sur ce topic pour faire le point dans 5 jours


Share this post


Link to post
Share on other sites

Bonjour je me suis inscrit sur votre forum, car je suis victime de la même chose....


Donc je vous transmet l'entete d'un des mails recu :



Return-Path: <monmail-perso-utilisé@csm-authentique.com>
Received: from cquxel (n01-037.lp.newplanet.cl [200.107.66.37])
(Authenticated sender: monmail-perso-utilisé@csm-authentique.com) by mx1b.lautre.net
(Postfix) with ESMTPA id 8378F7E27B; Wed, 26 Feb 2014 22:20:18 +0100 (CET)
Subject: Foolish Levitra
From: monmail-perso-utilisé@csm-authentique.com
To: <boum@noos.fr>, <j.cox@gurlmail.com>, <bomberman12335@hotmail.com>,
<tp004b4185@blueyonder.co.uk>
Date: Wed, 26 Feb 2014 22:09:11 -0700
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Message-ID: <1393449649.12196.223.camel@nicolas-Lenovo-IdeaPad-S300>

http://trifinitycorp.com/sumptuous.html?seqi

apparemment l'adresse IP 200.107.66.37 vient de Santiago au Chili



Pour info mes sites (un wordpress en cours de conception, un forum PHPBB3) sont hébergés par lautre.net qui a ete victime de la grosse panne d'il y a 2 semaines


J'ai changé le mot de passe, donc affaire à suivre...



Que risque a terme mon adresse mail perso?




Share this post


Link to post
Share on other sites

Bonjour,



Pas de mails de type "Undelivered Mail Returned to Sender" cette nuit ;-)



Le problème semble donc résolu.



Nikus >> est-ce que tu as toujours la même en tête ?


Share this post


Link to post
Share on other sites

@Nikus,



Ce qui est le plus intéressant à déterminer, c'est si le mail originel (qui a déclenché ce bounce) a bien été émis par ton serveur;


Pour ça il faut éplucher les logs des derniers jours.



Parce qu'il est simple d'envoyer un email avec un champ "From:" usurpé (un "Fake From:").


N'importe qui peut le faire, et envoyer un email avec comme émetteur "bill.gates@microsoft.com". De ce fait, c'est l'ami Bill qui se prendra les retours dans les dents wink.gif



Le mieux pour éviter de se voir taggué comme spammeur est encore :


- d'avoir un reverse sur l'IP qui envoie les mails


- d'avoir un champ SPF défini dans la zone DNS


- d'utiliser DKIM



Dan


Share this post


Link to post
Share on other sites

Plus de retour de message d'erreur depuis le changement de mot de passe, ce matin je recois un mail du root de lautre.net qui me signale que mon adresse mail servait à spammer, voila sont message :

Bonjour,

Votre mail monadresse-perso[AT]csm-authentique[point]com a été utilisé pour envoyer du spam.

La personne derrière ces agissements possède le mot de passe de votre
boite mail, il y a donc des chances que votre ordinateur soit infecté.

Nous avons désactivé ce mot de passe. Avant de le rétablir depuis votre
interface, pensez à désinfecter les ordinateurs depuis lesquels vous vous
connectez à cette boite

Je lui ai repondu que mon pc etait sous linux donc peut de chance qu'il soit verollé, Bref je suis retourné sur l'interface admin j'ai remodifier mon mot de passe avec un mot contenant des lettres majuscule/minuscule des chiffres, des ponctuations, dans une syntaxe qui ne veux rien dire, d'ailleur j'ai deja oublié ce mot de passe ;-) faut que je le refasse et la je vais faire un truc simple 123456.

@nicolas oui j'ai toujours le meme en tete

@dan le serveur c pas moi qui le gere c'est lautre.net, apres j'ai pas tout compris sur tes 3 recommandations

@portekoi sur ton outil j'y suis allé j'ai mis mon nom de domaine et je suis vert à 95%

Merci encore

Share this post


Link to post
Share on other sites

Comme je l'ai dit plus haut, tu peux encore avoir des bounces suite à des emails envoyés à de mauvaises adresses mail avant le changement de mot de passe ;)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...