Il y a quelques mois j'ai mis en oeuvre un serveur SMTP (postfix) sans
publier aucune adresse email le concernant.
Quelques semaines apr�s, j'ai commenc� � recevoir des connections TCP,
(scan de port, etc.), puis des tests de non ouverture de relais de ce
serveur SMTP en provenance de grands fournisseurs de boites � lettres
(yahoo.com & Co.). Et l� r�cemment, depuis des adresses IP quelconques
(r�solues ou non r�solues en nom via le DNS), je re�ois des email �
destination de plusieurs boites (inexistantes) de mon serveur, toujours
les m�mes et � peu pr�s toujours dans le m�me ordre pour un demandeur
donn� :
qppee5-glo.ln1@...
ocne94-ivk.ln1@...
lnm9e5-ktj.ln1@...
toujours ces trois sessions SMTP s�par�es d'� peine quelques
secondes..., mais � chaque fois l'IP source est quelconque.
Bien que �a ne pose pas de probl�me en soi (�chec de la session SMTP �
chaque fois), je me demande si certains MTA n'ont pas une backdoor dont
la clef est justement l'envoi de ce type d'adresse dans cet ordre ?
Quelqu'un a-t il d�j� not� ce type d'�v�nement dans les logs d'un autre
type de serveur ? Ou � l'inverse, plut�t... en supposant que cet
�v�nement ne soit pas logg� sur un serveur ayant cette backdoor, et que
ce type de "probes" atteignent tous les serveurs SMTP, �a devrait donner
une indications de quel serveur est vuln�rable ? A moins que ce soit
quelque chose de compl�tement diff�rent (?), comme diraient les Monthy
Python... ;-)
Merci pour toute info !
Edrusb.
P.S.: Oui, j'ai cherch� sur google, mais je n'ai rien trouv� de
pertinent � ce sujet ...
> Bonjour,
Bonjour,
> Quelques semaines après, j'ai commencé à recevoir des connections TCP,
> (scan de port, etc.),[...]
> Merci pour toute info !
Bienvenue sur l'internet...
> Edrusb.
Jacques
[...]
Merci pour l'intérêt de cette réponse ... :-/ Ah, et tant qu'on y est,
on ne dit pas "l'internet" mais "Internet" avec une majuscule ... (oui,
il y a des "internet", mais un seul "Internet").
Bienvenue dans le mondes des réponses qui apprennent quelque chose.
>
>
>> Edrusb.
> Jacques
Sinon si tu utilise *BSD le couple pf & spamd sont redoutables (tout
deux d�velopp�s par le projet OpenBSD).
L� tu peux facilement faire du blacklist sur les champs MAIL FROM et
RCPT TO, pots de miels et encore beaucoup de choses.
In english : https://calomel.org/spamd_config.html
En fran�ais par votre serviteur : http://wiki.bender-labs.org/bsd/spamd
> [...] je reᅵois des email ᅵ destination de plusieurs boites
> (inexistantes) de mon serveur, toujours les mᅵmes et ᅵ peu prᅵs
> toujours dans le mᅵme ordre pour un demandeur donnᅵ :
>
> qppee5-glo.ln1@...
> ocne94-ivk.ln1@...
> lnm9e5-ktj.ln1@...
Ce ressemble comme deux gouttes d'eau aux message-id de tes messages.
[snip]
> P.S.: Oui, j'ai cherchᅵ sur google, mais je n'ai rien trouvᅵ de
> pertinent ᅵ ce sujet ...
Tout simplement parce qu'il n'y a strictement rien de pertinant dans
le fait que les spammeurs soient cons au point de spammer ᅵ vue tout ce
qui ressemble de prᅵt ou de loin ᅵ une adresse e-mail.
> jacques a écrit :
>> Bienvenue sur l'internet...
> Merci pour l'intérêt de cette réponse ... :-/ Ah, et tant qu'on y est,
> on ne dit pas "l'internet" mais "Internet" avec une majuscule ...
Tiens, on a touché un clown !!)
> Bienvenue dans le mondes des réponses qui apprennent quelque chose.
C'est avec ce manque d'humour là que tu n'auras pas de réponses...
J.
> Joe the Shmoe n'était pas loin de dire :
>> [...] je reçois des email à destination de plusieurs boites
>> (inexistantes) de mon serveur, toujours les mêmes et à peu près
>> toujours dans le même ordre pour un demandeur donné :
>>
>> qppee5-glo.ln1@...
>> ocne94-ivk.ln1@...
>> lnm9e5-ktj.ln1@...
>
> Ce ressemble comme deux gouttes d'eau aux message-id de tes messages.
J'ai aussi de temps à autres des tentatives d'envoi sur des adresses
de type ids de messages, cf. un extrait de pflogsumm:
message reject detail
---------------------
RCPT
Recipient address rejected: User unknown in local recipient table (total: 1)
1 87praxi...@petole.demisel.net
Généralement ça augmente lorsque je poste sur une mailing-list, puis
ça se calme douvement. Au final, ça spamme juste un peu les logs, donc
rien de bien grave.
--
Nicolas
> J'ai aussi de temps ᅵ autres des tentatives d'envoi sur des adresses
> de type ids de messages, [...]
Amha n'importe quel postmaster en a vu passer au moins une fois dans
sa vie, ᅵ moins de n'avoir aucun utilisateur qui a un jour publiᅵ un
message quelque part.
[snip l'exemple]
> Gᅵnᅵralement ᅵa augmente lorsque je poste sur une mailing-list, puis
> ᅵa se calme douvement.
C'est le problᅵme des archives publiques, les robots collecteurs
d'adresse passent dessus et qu'il y a un "machin a ᅵcrit dans
<message-id>" boum, ils croient ᅵtre tombᅵ sur une adresse e-mail.
> Au final, ᅵa spamme juste un peu les logs, donc rien de bien grave.
Pour le postmaster oui, mais les spammeurs utilisant de plus en plus
souvent une adresse piochᅵe au hasard pour le /from/, il n'est pas rare
qu'un innocent se retrouve noyᅵ sous les bounces. Ca m'ᅵtait arrivᅵ il
y a deux ou trois ans, j'avais dᅵ recevoir une dizaine de milliers de
bounces ᅵtalᅵs sur trois jours et ᅵa c'est chiant.
Ouah, super je ne connaissais pas ! Un grand Merci !
Bingo ! Bien vu, je n'avais pas remarquᅵ que ᅵa provenait des
message-id... intᅵressant. Il ne me reste plus qu'ᅵ retrouver ᅵ quels
messages il correspondent ...
>
>
> [snip]
>> P.S.: Oui, j'ai cherchᅵ sur google, mais je n'ai rien trouvᅵ de
>> pertinent ᅵ ce sujet ...
>
> Tout simplement parce qu'il n'y a strictement rien de pertinant dans
> le fait que les spammeurs soient cons au point de spammer ᅵ vue tout ce
> qui ressemble de prᅵt ou de loin ᅵ une adresse e-mail.
Oui, j'y vois plus clair maintenant. Il ne s'agit donc que de spam sur
des message-id de messages que j'envoie.
Merci.
>
>
[...]
>
> J'ai aussi de temps à autres des tentatives d'envoi sur des adresses
> de type ids de messages, cf. un extrait de pflogsumm:
>
> message reject detail
> ---------------------
> RCPT
> Recipient address rejected: User unknown in local recipient table (total: 1)
> 1 87praxi...@petole.demisel.net
>
> Généralement ça augmente lorsque je poste sur une mailing-list, puis
> ça se calme douvement. Au final, ça spamme juste un peu les logs, donc
> rien de bien grave.
>
Oui, je n'avais pas pensé à ça ... c'est ballot hein :-)
Encore merci à tous pour vos réponses.