Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites". Attention, le forum rencontre actuellement quelques difficultés. En cas d'erreur 502, il ne faut pas re-valider l'envoi d'un message ou l'ouverture d'une discussion, au risque de créer un doublon.

La section divers se réorganise ! De nouvelles sous-sections à venir. (plus d'infos + donner son avis)

#1 Le 06/04/2013, à 11:03

bollob

[résolu] comment déterminer qui envoie du spam avec mon sendmail ?

Bonjour à tous,

Je suis bien embêté, j'ai récupéré la gestion d'un serveur de mails avec sendmail qui utilise LDAP pour les comptes utilisateurs. Je suppose que c'est du SMTP authentifié (pas du POP before SMTP), mais ce n'est qu'une supposition puisque je ne sais pas le vérifier.

Quelqu'un envoie du spam en grande quantité et je suis en train de me faire blacklister. Le serveur n'est en principe pas en OpenRelay, je suppose donc qu'un des comptes s'est fait voler ses identifiants mais je n'arrive pas à déterminer lequel. J'ai l'impression que cette info n'est ni disponible dans les logs, ni dans les processus en cours d'exécution, ni dans les mails eux-mêmes.

Quelqu'un a-t-il une idée de la façon dont je pourrais m'y prendre pour tracker l'origine de ce spammeur ? SVP, je suis désespéré...

Merci d'avance et bonne journée.

Olivier

Dernière modification par bollob (Le 06/04/2013, à 15:35)

Hors ligne

#2 Le 06/04/2013, à 12:33

jplemoine

Re : [résolu] comment déterminer qui envoie du spam avec mon sendmail ?

A part décortiquer le /var/log/mail.log, je ne vois pas mais s'il n'y a rien, je vais peut-être dire des bêtises mais ça ne peux pas être un rookit ?
Et donc, un utilisateur 'caché' qui serait chrooté et donc ce ne serait pas le sendmail officiel mais celui chrooté qui écririat dans les log du chroot.
Prière aux spécialistes (malbo ou tiramiseb par exemple) de confirmer ou d’infirmer cette possibilité...

Sinon, une  solution est peut-être de changer tous les mots de passe en prenant des "vrais" mot de passe :
- Au moins 8 caractères
- Au moins 1 majuscule, 1 minuscule
- Au moins 1 chiffre
- Au moins 1 caractère non alpha-numérique
même remarque.

Jean-Philippe


Cordialement, Jean-Philippe.
Sous Ubuntu en système principal depuis 2009
Ubuntu 14.04 desktop (2 postes) & server (1 poste)

Hors ligne

#3 Le 06/04/2013, à 12:50

bollob

Re : [résolu] comment déterminer qui envoie du spam avec mon sendmail ?

Merci pour réponse Jean-Philippe,

je suis en train d'étudier le mail.log, il est plutôt assez fourni et je ne sais pas vraiment quoi chercher à part un grep sur la fausse adresse de l'expéditeur... Quelqu'un a-t-il des propositions ?

Si c'est un rootkit, j'ai bien peur de ne pas savoir m'en sortir et pour ce qui est de changer les mots de passe, il doit y avoir près de 500 comptes, ça va être difficile... Des conseils ?

En attendant d'autres réponses je continue à investiguer dans le mail.log...

Merci d'avance

Olivier

Hors ligne

#4 Le 06/04/2013, à 13:03

jplemoine

Re : [résolu] comment déterminer qui envoie du spam avec mon sendmail ?

Attention : j'ai émis la possibilité que peut-être, il se pourrait que ce soit un rootkit. Donc avant de faire quoi que ce soit, il faut que quelqu'un (un spécialiste) confirme.
dans le mail.conf , si l’adresse est invalide, chercher 550 : c'est le numéro d'erreur.
Si c'est du spam vers une adresse valide, aucune idée.


Cordialement, Jean-Philippe.
Sous Ubuntu en système principal depuis 2009
Ubuntu 14.04 desktop (2 postes) & server (1 poste)

Hors ligne

#5 Le 06/04/2013, à 15:35

bollob

Re : [résolu] comment déterminer qui envoie du spam avec mon sendmail ?

Merci pour vos réponses je viens de trouver :

la réponse était bien dans mail.log, mais il était tellement volumineux que je n'y voyait rien. J'ai fait un

grep -i "auth" mail.log

et je suis tombé sur des milliers de lignes d'authentifications avec le même compte. J'en ai donc déduit que c'était lui le coupable, j'ai alors changé son mot de passe qui n'était, comme par hasard, pas du tout sécurisé (adresse "info@bidule.com", mot de passe "info") !
Ça a l'air calme depuis, espérons que cela tienne...

@Whoies : Merci pour ta méthode, je la garde précieusement car je suis sûr qu'elle va servir un jour ou l'autre.

Merci à tous pour votre aide et bon WE

Olivier

Hors ligne

  • Accueil
  • » Forum
  • » Serveurs
  • » [résolu] comment déterminer qui envoie du spam avec mon sendmail ?

Haut de page ↑