Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Matériel Réseaux et Internet Messagerie spam mysterieux exchange 5.5

spam mysterieux exchange 5.5

8 réponses
Avatar
Stef
Bonsoir,

Mon brave (vieux) serveur exchange 5.5 nous spam la moitié de la planète
depuis 3 jours, enfin pas continuellement... Au programme, des mails
apparaissent dans les files d'attentes quasi tout le temps avec
<dfkcovg@msn.com> (les 4 derrnieres lettres aleatoires) comme expediteur.

apres 2 bonnes journées à regarder tester, pas moyen de voir d'ou qui
viennent, ces *!$£ de mails.
J'ai bien la derniere version du SP, ainsi que les coorectifs posterieurs
installés.
Mon smtp n'est pas en open relay.
ActivePorts ne me montre aucune connextion sur le port 25, ni meme d'autre
connexion bizzaroïde.
J'ai scanné un peu avec ethereal, et ne remarque rien de flagrant, les seuls
packets qui me paraissent bizzard sont ceux qui vont de mon serveur vers les
smtp des destinataires.
pourant ya bien 200 000 mails qui sont deja partis.

ça fais un peu comme si les mail venaient de nul part :) , heureusement je
sais que c'est pas possible.

La seule soluce que j'ai adoptée pour l'instant sont des regles de filtrages
(genre j'empeche de sortir ce qui va vers @hotmail @msn) et ça me regule un
peu le nombre de message sortant, et puis vider regulierement les files
d'attentes histoire que les "vrais" mail puissent s'envoler. autant dire que
c'est pas un solution.

pour info notre messagerie, c'est du outlook2000 connexter au exchange donc
pas de pop/imap/smtp en interne

Désolé pour le roman, si quelqu'un à une piste, je suis preneur :)
Au secours ;)

stef
Signaler un problème avec ce contenu

8 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Poischack
L'ip de l'expediteur dans l'en-tete indique quoi ?
Avatar
Serge
Stef wrote:

Bonsoir,

Mon brave (vieux) serveur exchange 5.5 nous spam la moitié de la planète
depuis 3 jours, enfin pas continuellement... Au programme, des mails
apparaissent dans les files d'attentes quasi tout le temps avec
(les 4 derrnieres lettres aleatoires) comme expediteur.

Es tu sur que ton serveur envoie bien ces mails, et pas les "bounces" ?

Je m'explique:
J'ai eu récement un probléme similaire dans la boite un je travaille
(hébergement). Mon seveur de mail se reprenait plein de bounce (de bounce)
d'un domaine qu'on héberge. Sur le coup j'ai cru que le client qui posséde
ce domaine c etait amusé a spammer. En fait il en etait rien. Tout
simplement un site de spam envoyé leur spam avec comme champ from un
adresse aléatoire (du type , la parti avant le domaine
etant une suite de lettre aléatoire). Comme beaucoup de mail était
invalide, mon serveur alors essayé de renvoye rle bounce a l'expediteur,
come l'adrese etait construite aléatoirement sur le domaine qu'on héberge
et que ce domaine n'a pas de catchall, je recevais donc sur le compte
ostmatsr les bounce des bounces.
Le mail contenait lui une url d'un site. J'ai donc contactez le tech contact
du domaine du site, l'hébergeur du site, fait un rapport de spam a spamcop.
Comme cela n'a pas suffit et que mon serveur se prenait tjs les bounces dans
la téte (environ 20/mns) j'ai alors automatiquement forwarder TOUT les
bounces a propriétaire du domaine pour lequel les spams faisait la
publicité. En 1 jour je n'ai plus recus un seul bounce.

Le domaien enb question etait 4-virtual.com, et une recherche sur google ma
appris que des spams depuis ce domaine etait une pratique réguliére.

Regarde donc le contenu des mails, ca t'apprendra p-e quelque chose.

Avatar
Stef
je ne suis pas grand specialiste de la messageie mais ça ressemble à qqchose
de ce gout là.

voici un exemple de ce que je trouve dans C:exchsrvrimcdataout :
----
Ë ImCr po0Ü3MÃ accra 211.158.49.216
c=fr;a= ;p=domaine;l=serveurmail0307181152PFDFX86X  @ 
resn owth hor EwLsReceived: from accra
(211.158.49.216 [211.158.49.216]) by serveurmail.mondomaine.net with SMTP
(Microsoft Exchange Internet Mail Service Version 5.5.2656.59)
id PFDFX86X; Fri, 18 Jul 2003 13:52:42 +0200
Date: Fri, 18 Jul 2003 11:51:06 GMT
From: "Bessie"
X-Priority: 3
To:
Subject: Are you happy?
Mime-Version: 1.0
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit

<html>
<body><font color="#ffffff">playfulnessexoduscrops
<p>
<a
href="http://srd.yahoo.com/drst/euthanasia/*http://www.cottonboss.com/sh/ind
ex.html">
<img border="0"

src="http://srd.yahoo.com/drst/sawbelly/*http://www.optin888.com/file/ra.gif
" >
</a>
</p>borrowermayhempraecoxpostcardhorizontal
</body>
</html>
----

Je ne vois toujour pas ...
stef

"Serge" a écrit dans le message de
news:bf8gdr$260$
Stef wrote:

Bonsoir,

Mon brave (vieux) serveur exchange 5.5 nous spam la moitié de la planète
depuis 3 jours, enfin pas continuellement... Au programme, des mails
apparaissent dans les files d'attentes quasi tout le temps avec
(les 4 derrnieres lettres aleatoires) comme
expediteur.



Es tu sur que ton serveur envoie bien ces mails, et pas les "bounces" ?

Je m'explique:
J'ai eu récement un probléme similaire dans la boite un je travaille
(hébergement). Mon seveur de mail se reprenait plein de bounce (de bounce)
d'un domaine qu'on héberge. Sur le coup j'ai cru que le client qui posséde
ce domaine c etait amusé a spammer. En fait il en etait rien. Tout
simplement un site de spam envoyé leur spam avec comme champ from un
adresse aléatoire (du type , la parti avant le
domaine

etant une suite de lettre aléatoire). Comme beaucoup de mail était
invalide, mon serveur alors essayé de renvoye rle bounce a l'expediteur,
come l'adrese etait construite aléatoirement sur le domaine qu'on héberge
et que ce domaine n'a pas de catchall, je recevais donc sur le compte
ostmatsr les bounce des bounces.
Le mail contenait lui une url d'un site. J'ai donc contactez le tech
contact

du domaine du site, l'hébergeur du site, fait un rapport de spam a
spamcop.

Comme cela n'a pas suffit et que mon serveur se prenait tjs les bounces
dans

la téte (environ 20/mns) j'ai alors automatiquement forwarder TOUT les
bounces a propriétaire du domaine pour lequel les spams faisait la
publicité. En 1 jour je n'ai plus recus un seul bounce.

Le domaien enb question etait 4-virtual.com, et une recherche sur google
ma

appris que des spams depuis ce domaine etait une pratique réguliére.

Regarde donc le contenu des mails, ca t'apprendra p-e quelque chose.



Avatar
Serge
Je pense ffectivement que tu recosi des bounces d apres ce que tu as envoyé
ici.
Il faudrait un peu plus analyser les message, voir les entétes etc....
Le probléme c'est que je ne peux pas t aider plus, car je n'ai aucune notion
de exchange (je travaille qu avec des serveurs mails libre comme qmail,
sendmail).
Avatar
Patrick Texier
Le Fri, 18 Jul 2003 13:59:31 +0200, "Stef" a
écrit :

Received: from accra
(211.158.49.216 [211.158.49.216]) by serveurmail.mondomaine.net with SMTP
(Microsoft Exchange Internet Mail Service Version 5.5.2656.59)
id PFDFX86X; Fri, 18 Jul 2003 13:52:42 +0200


Cet entête semble montrer que ton serveur SMTP exchange est ouvert et
est utilisé par l'IP 211.158.49.216 pour spammer.

Je n'ai plus l'URL en tête, mais en cherchant 'Exchange Open Server' sur
Google tu devrais trouver de quoi modifier la configuration qui me
semble mauvaise par défaut en 5.5
--
Patrick Texier

Avatar
Stef
ça me fais avancer tout de meme !
un grand merci !


"Serge" a écrit dans le message de
news:bf8ov6$p7m$
Je pense ffectivement que tu recosi des bounces d apres ce que tu as
envoyé

ici.
Il faudrait un peu plus analyser les message, voir les entétes etc....
Le probléme c'est que je ne peux pas t aider plus, car je n'ai aucune
notion

de exchange (je travaille qu avec des serveurs mails libre comme qmail,
sendmail).


Avatar
Xavier Roche
Stef wrote:
ça me fais avancer tout de meme !
un grand merci !


Testez votre serveur:
http://www.ordb.org/submit/

Si il est repéré comme ouvert, il faut à tout prix le patcher.

Avatar
Stef
arf merci Patrick, mais (malheureusement) mon smtp ne relay pas, j'ai
verifier et demander de verifier, ma config semble ok de ce point de vu.

merci qd meme !

"Patrick Texier" a écrit dans le message de
news:
Le Fri, 18 Jul 2003 13:59:31 +0200, "Stef" a

Received: from accra
(211.158.49.216 [211.158.49.216]) by serveurmail.mondomaine.net with
SMTP


(Microsoft Exchange Internet Mail Service Version 5.5.2656.59)
id PFDFX86X; Fri, 18 Jul 2003 13:52:42 +0200


Cet entête semble montrer que ton serveur SMTP exchange est ouvert et
est utilisé par l'IP 211.158.49.216 pour spammer.

Je n'ai plus l'URL en tête, mais en cherchant 'Exchange Open Server' sur
Google tu devrais trouver de quoi modifier la configuration qui me
semble mauvaise par défaut en 5.5
--
Patrick Texier