Forum Mac Os X server

Forum francophone sur les technologies serveur d'Apple
 
AccueilAccueil  FAQFAQ  RechercherRechercher  S'enregistrerS'enregistrer  MembresMembres  GroupesGroupes  Connexion  

Partagez | 
 

 [10.6.8] Serveur Mail Hacké ?

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
candide17
AtEase 2.0
AtEase 2.0


Nombre de messages : 5
Date d'inscription : 02/06/2012

MessageSujet: [10.6.8] Serveur Mail Hacké ?   Sam 2 Juin - 10:18

Bonjour à tous.

Je me permets de vous soumettre le problème que je rencontre.
Nous utilisons depuis deux mois notre mac mini serveur sous 10.6.8 en tant que serveur de courriel suite à un défaut de notre précédent fournisseur.
Le DNS installé, j'ai reproduit sur le site de notre registar (OVH) les différents enregistrements pour que tout fonctionne.

Toutefois, depuis quelques jours, notre adresse IP fixe du FAI (via Orange), apparait sur des blacklist de spam.

En regardant d'un peu plus près dans la fenêtre "Maintenance" Onglet "File d'attente du courrier", un expéditeur que je ne connais pas et ne faisant pas partie de notre domaine, "jhn***@bnk.com", apparait avec plusieurs dizaines de messages.



N'aurais-je pas été hacké ?

Merci par avance de vous précieux conseils.

Cordialement,

Fabrice.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mout
Serveur X 10.4
Serveur X 10.4
avatar

Nombre de messages : 701
Age : 35
Localisation : Ain
Date d'inscription : 04/06/2010

MessageSujet: Re: [10.6.8] Serveur Mail Hacké ?   Dim 3 Juin - 14:27

regarde si tu as des utilisateurs qui s'appellent comme ca et qui auraient été créés à l'insu de ton plein gré.
Regarde aussi dans les utilisateurs existants s'ils n'ont pas des alias de messagerie qui auraient été ajoutés.

enfin, allume ton coupe feu.

Autre chose, pendant que j'y pense. as-tu paramétré un Reverse DNS pour ton IP publique Livebox ? C'est à dire que si on appelle tondomaine.com on tombe sur ton IP, mais si on cherche ton IP, on devrait tomber sur tondomaine.com et pas sur ip-adsl.wanadoo.aubervilliers.orange.fr (ou qqch comme ca)
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
candide17
AtEase 2.0
AtEase 2.0


Nombre de messages : 5
Date d'inscription : 02/06/2012

MessageSujet: Re: [10.6.8] Serveur Mail Hacké ?   Dim 3 Juin - 18:38

Tout d'abord, encore un grand merci pour la réponse !

Mout a écrit:
regarde si tu as des utilisateurs qui s'appellent comme ca et qui auraient été créés à l'insu de ton plein gré.
Regarde aussi dans les utilisateurs existants s'ils n'ont pas des alias de messagerie qui auraient été ajoutés.
Je suis certain qu'il n'y a pas cet utilisateur puisque je suis le seul à les créer ; j'ai quand même vérifié dans le gestionnaire de groupe de travail, nada...

Mout a écrit:
enfin, allume ton coupe feu.
J'utilise déjà un Firewall (pfSense) où, pour ce serveur, je n'ai que les ports 25, 53, 143, 110 et 5125 (SMTP ext.) de redirigés.

Mout a écrit:
Autre chose, pendant que j'y pense. as-tu paramétré un Reverse DNS pour ton IP publique Livebox ? C'est à dire que si on appelle tondomaine.com on tombe sur ton IP, mais si on cherche ton IP, on devrait tomber sur tondomaine.com et pas sur ip-adsl.wanadoo.aubervilliers.orange.fr (ou qqch comme ca)
Bonne question... Ce qui me fait penser qu'ayant pris le nom de domaine chez OVH, j'ai laissé la gestion du DNS à OVH en plus du DNS sur le mac mini, ce qui est peut-être une erreur d'autant qu'on ne peut faire de reverse DNS sans hébergement chez eux.
J'ai donc rajouté l'adresse IP extérieur au DNS du Mac mini pour le reverse.

Il ne reste plus que le problème de cet utilisateur fantôme jhn "je-ne-sait-pas-quoi" qui rempli ma file d'attente et travailler sur le blacklistage (ça commence gmail, yahoo, etc...).

Peut-être un serveur PC compromis qui utiliserait le Mac mini comme relay SMTP ?

Voici un morceau du log SMTP en mode deboguage :

Code:
Jun  3 17:45:32 npc-imprimerie postfix/smtp[81981]: D4AF6961DAC: host mx01.wow.synacor.com[64.8.70.204] refused to talk to me: 550 5.7.1 RBL Restriction: - <193.253.225.99> - See http://csi.cloudmark.com/reset-request/?193.253.225.99
Jun  3 17:45:45 npc-imprimerie postfix/smtp[81996]: connect to mx5.gawab.com[204.152.205.19]:25: Operation timed out
Jun  3 17:45:45 npc-imprimerie postfix/smtp[81944]: connect to emirates.ae.net[63.251.171.80]:25: Operation timed out
Jun  3 17:45:45 npc-imprimerie postfix/smtp[81997]: connect to aol.ca[64.12.79.57]:25: Operation timed out
Jun  3 17:45:45 npc-imprimerie postfix/smtp[81997]: 8312396460A: to=<paige53250@aol.ca>, relay=none, delay=161510, delays=161389/1/120/0, dsn=4.4.1, status=deferred (connect to aol.ca[64.12.79.57]:25: Operation timed out)
Jun  3 17:45:46 npc-imprimerie postfix/smtp[81978]: connect to siouxland.lib.sd.us[208.94.146.70]:25: Operation timed out
Jun  3 17:45:46 npc-imprimerie postfix/smtp[81978]: 8851D978486: to=<joanr@siouxland.lib.sd.us>, relay=none, delay=143551, delays=143429/1.8/120/0, dsn=4.4.1, status=deferred (connect to siouxland.lib.sd.us[208.94.146.70]:25: Operation timed out)
Jun  3 17:45:46 npc-imprimerie postfix/smtp[81967]: connect to klia.com.my[203.121.36.4]:25: Operation timed out
Jun  3 17:45:46 npc-imprimerie postfix/smtp[81967]: 7F4BB90FDA3: to=<saffian@klia.com.my>, relay=none, delay=265303, delays=265181/0.69/121/0, dsn=4.4.1, status=deferred (connect to klia.com.my[203.121.36.4]:25: Operation timed out)
Jun  3 17:45:46 npc-imprimerie postfix/smtp[82027]: connect to netscap.net[64.12.134.232]:25: Operation timed out
Jun  3 17:45:46 npc-imprimerie postfix/smtp[82027]: 89B888E2E5C: to=<hero88@netscap.net>, relay=none, delay=328847, delays=328725/1.9/121/0, dsn=4.4.1, status=deferred (connect to netscap.net[64.12.134.232]:25: Operation timed out)
Jun  3 17:45:46 npc-imprimerie postfix/smtp[82010]: connect to gateway.net[207.200.74.38]:25: Operation timed out
Jun  3 17:45:46 npc-imprimerie postfix/smtp[82010]: 8EF46973864: to=<bdempsey@gateway.net>, relay=none, delay=147024, delays=146901/2.3/121/0, dsn=4.4.1, status=deferred (connect to gateway.net[207.200.74.38]:25: Operation timed out)
Jun  3 17:45:46 npc-imprimerie postfix/smtp[82011]: AF962978BF2: to=<ldouglass9652@wowway.com>, relay=mx01.wow.synacor.com[64.8.70.204]:25, delay=142874, delays=142751/31/91/0, dsn=4.7.1, status=deferred (host mx01.wow.synacor.com[64.8.70.204] refused to talk to me: 550 5.7.1 RBL Restriction: - <193.253.225.99> - See http://csi.cloudmark.com/reset-request/?193.253.225.99)
Jun  3 17:45:47 npc-imprimerie postfix/smtp[82033]: connect to aoil.com[205.188.183.232]:25: Operation timed out
Jun  3 17:45:47 npc-imprimerie postfix/smtp[82014]: C42308E295B: lost connection with mx1.uel.com.sg[203.116.66.253] while receiving the initial server greeting
Jun  3 17:45:47 npc-imprimerie postfix/smtp[81946]: connect to kol.com[207.200.74.38]:25: Operation timed out
Jun  3 17:45:47 npc-imprimerie postfix/smtp[81986]: connect to a0l.com[64.12.134.232]:25: Operation timed out
Jun  3 17:45:47 npc-imprimerie postfix/smtp[81946]: connect to kol.com[205.188.100.58]:25: Connection refused
Jun  3 17:45:47 npc-imprimerie postfix/smtp[81986]: 983AF95FBE4: to=<alje2005@a0l.com>, relay=none, delay=165240, delays=165116/2.9/121/0, dsn=4.4.1, status=deferred (connect to a0l.com[64.12.134.232]:25: Operation timed out)
Jun  3 17:45:47 npc-imprimerie postfix/smtp[81946]: 9B5A69789CF: to=<kttttlbi@kol.com>, relay=none, delay=143014, delays=142890/3/120/0, dsn=4.4.1, status=deferred (connect to kol.com[205.188.100.58]:25: Connection refused)
Jun  3 17:45:48 npc-imprimerie postfix/smtp[82019]: connect to smtp1.thirdfederal.com[98.103.47.3]:25: Operation timed out
Jun  3 17:45:48 npc-imprimerie postfix/smtp[81988]: 9999A970802: to=<airj200@zoomtown.com>, relay=mx4.fuse.net[64.8.71.15]:25, delay=147759, delays=147635/3/121/0, dsn=4.7.1, status=deferred (host mx4.fuse.net[64.8.71.15] refused to talk to me: 550 5.7.1 [C17] RBL Restriction: - <193.253.225.99> - See http://csi.cloudmark.com/reset-request/?193.253.225.99)
Jun  3 17:45:48 npc-imprimerie postfix/smtp[81921]: connect to fleet.com[171.161.161.173]:25: Operation timed out
Jun  3 17:45:48 npc-imprimerie postfix/smtp[81921]: C67E396BAD4: to=<carmen_l_rodriguez@fleet.com>, relay=none, delay=152562, delays=152438/34/90/0, dsn=4.4.1, status=deferred (connect to fleet.com[171.161.161.173]:25: Operation timed out)
Jun  3 17:45:49 npc-imprimerie postfix/smtp[82042]: connect to mail01.ng.army.mil[132.79.136.100]:25: Operation timed out
Jun  3 17:45:49 npc-imprimerie postfix/smtp[82042]: A1D7B96FB8D: to=<richard.jones@ar.ngb.army.mil>, relay=none, delay=149295, delays=149170/5.1/120/0, dsn=4.4.1, status=deferred (connect to mail01.ng.army.mil[132.79.136.100]:25: Operation timed out)
Jun  3 17:45:50 npc-imprimerie postfix/smtp[81952]: C75E3978942: to=<kjpluimer@bpsinet.com>, relay=mx2.fuse.net[64.8.71.15]:25, delay=143105, delays=142980/35/91/0, dsn=4.7.1, status=deferred (host mx2.fuse.net[64.8.71.15] refused to talk to me: 550 5.7.1 [C17] RBL Restriction: - <193.253.225.99> - See http://csi.cloudmark.com/reset-request/?193.253.225.99)
Jun  3 17:45:51 npc-imprimerie postfix/smtp[81947]: C77C79785FD: to=<johnray1776@wowway.com>, relay=mx03.wow.synacor.com[64.8.70.203]:25, delay=143505, delays=143379/35/91/0, dsn=4.7.1, status=deferred (host mx03.wow.synacor.com[64.8.70.203] refused to talk to me: 550 5.7.1 RBL Restriction: - <193.253.225.99> - See http://csi.cloudmark.com/reset-request/?193.253.225.99)
Jun  3 17:45:53 npc-imprimerie postfix/smtp[81991]: connect to washingtonmutual.com[159.53.64.61]:25: Operation timed out
Jun  3 17:45:53 npc-imprimerie postfix/smtp[81991]: CD9ED8DF8CF: to=<rogers@washingtonmutual.com>, relay=none, delay=335263, delays=335135/38/90/0, dsn=4.4.1, status=deferred (connect to washingtonmutual.com[159.53.64.61]:25: Operation timed out)
Jun  3 17:45:53 npc-imprimerie postfix/smtp[81693]: CD4949619CC: to=<karl54@wideopenwest.com>, relay=mx02.wow.synacor.com[64.8.70.202]:25, delay=162826, delays=162698/38/91/0, dsn=4.7.1, status=deferred (host mx02.wow.synacor.com[64.8.70.202] refused to talk to me: 550 5.7.1 RBL Restriction: - <193.253.225.99> - See http://csi.cloudmark.com/reset-request/?193.253.225.99)
Jun  3 17:45:55 npc-imprimerie postfix/smtp[81929]: CDC88978C5E: to=<lifelink@advancenet.net>, relay=mx3.fuse.net[64.8.71.15]:25, delay=142791, delays=142661/39/91/0, dsn=4.7.1, status=deferred (host mx3.fuse.net[64.8.71.15] refused to talk to me: 550 5.7.1 [C17] RBL Restriction: - <193.253.225.99> - See http://csi.cloudmark.com/reset-request/?193.253.225.99)
Jun  3 17:46:02 npc-imprimerie postfix/smtp[81981]: D4AF6961DAC: to=<lshenefelt@wideopenwest.com>, relay=mx03.wow.synacor.com[64.8.70.203]:25, delay=162362, delays=162225/47/91/0, dsn=4.7.1, status=deferred (host mx03.wow.synacor.com[64.8.70.203] refused to talk to me: 550 5.7.1 RBL Restriction: - <193.253.225.99> - See http://csi.cloudmark.com/reset-request/?193.253.225.99)

J'ai ce réglage :



Dois-je retirer ma plage d'adresse du réseau local 192.168.90/24 et mes utilisateurs pourront-ils toujours utilisés leur client mail ?

Encore merci par avance !

Fabrice.


Dernière édition par candide17 le Dim 3 Juin - 19:43, édité 1 fois
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Mout
Serveur X 10.4
Serveur X 10.4
avatar

Nombre de messages : 701
Age : 35
Localisation : Ain
Date d'inscription : 04/06/2010

MessageSujet: Re: [10.6.8] Serveur Mail Hacké ?   Dim 3 Juin - 19:35

le reverse DNS, il est à réclamer auprès d'Orange, car c'est Orange qui est propriétaire de ton IP. quand on demande une IP, c'est orange qui répond.

Ensuite, pour les entrailles de Mac OS X, pour le moment, je ne suis pas en mesure de t'aider...
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
candide17
AtEase 2.0
AtEase 2.0


Nombre de messages : 5
Date d'inscription : 02/06/2012

MessageSujet: Re: [10.6.8] Serveur Mail Hacké ?   Dim 3 Juin - 19:47

Encore merci de ces précieuses informations.

Je prends contact avec Orange Business Services dès demain matin...

Pour le reste, si une âme charitable peut m'expliquer ce qui se passe sur mon serveur...

Amicalement,

Fabrice.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
candide17
AtEase 2.0
AtEase 2.0


Nombre de messages : 5
Date d'inscription : 02/06/2012

MessageSujet: Re: [10.6.8] Serveur Mail Hacké ?   Lun 4 Juin - 18:29

Voici la solution (définitive ?) que j'ai appliquée à mon problème, en espérant que cela pourra être utile à quelqu'un plus tard (même si je ne lui souhaite pas) :

1-Supression de la file d'attente du courrier avec le terminal en tant que root :
Code:
postqueue -p
postsuper -d ALL
2-Renforcement de l'accès du service "Courrier" aux utilisateurs sélectionnés depuis l'interface générale de l'Admin Serveur,

3-Migration de l'adresse IP d'Orange vers une adresse IP Fixe de chez Completel avec une demande de reverse DNS de notre domaine dessus (fonctionnel au moment où j'écris ces mots),

4-Ajout de l'enregistrement SPF sur le DNS de chez OVH pointant, et donc, légitimant notre nouvelle adresse IPv4,

5-Eplucher régulièrement le log SMTP en mode "déboguage" et intervenir manuellement sur les sites de Blacklist, en croisant les doigts...

Amicalement,

Fabrice.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Contenu sponsorisé




MessageSujet: Re: [10.6.8] Serveur Mail Hacké ?   

Revenir en haut Aller en bas
 
[10.6.8] Serveur Mail Hacké ?
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» Probleme serveur POP3 ?
» [Résolu] Problème d'envoi de mail (smtp)
» Avoir son propre nom de domaine et serveur ?
» probleme mail de masse
» Serveur smtp injoignable

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Forum Mac Os X server :: Services mail-
Sauter vers: