blacklist par free.fr

Nous venons d’être blacklisté par les serveurs de mail de free.fr :

L’IP xx.xx.xx.xx est blacklistée pour une duré de 77841s (too many errors (unexisting recipients, broken connections), rejecting mail)

or en consultant la log de notre serveur bluemind, nous constatons que des adresses farfelues @free.fr (certainement inexistantes) nous ont envoyés de nombreux mails sur des adresses inexistantes @notreDomaineBlueMind.fr et aussi sur de bonnes adresses mais avec des pièces jointes aux extensions bloquées par notre serveur (ou contenant des virus et donc bloqué également).
A priori le blocage sur les serveurs de messagerie de free.fr est du à nos retours qui ont été envoyé vers les adresses de l’expéditeur @free.fr et que vous avez supposé être du SPAM vers des adresses inexistantes (451 too many errors from your ip et 554 too many errors detected from your IP (xx.xx.xx.xx), please visit http://postmaster.free.fr/)).

Comment sortir de cette impasse ?

Si quelqu’un se trompe d’adresse email à destination de notre domaine mail ou envoie des documents dont les extensions sont bloquées, il est important de le prévenir. Mais comment faire pour ne pas prévenir quand c’est une adresse bidon ou utilisée par un spammeur ?

Si quelqu’un a une piste, je suis preneur.
Merci d’avance.

Normalement, les mails destinés à des adresses inexistantes de votre domaine devraient être rejetés immédiatement, sans même qu’ils soient pris en charge par votre serveur.

Avez-vous une passerelle SMTP située avant le serveur BlueMind ?

Pour votre politique de bloquage sur les pièces jointes… C’est à vous de voir si vous souhaitez prévenir ou pas l’expéditeur, cependant il ne faudrait jamais répondre à un mail qui est détecté comme du SPAM.

Pour le reste, votre serveur est simplement bloqué temporairement par le SMTP de free. Il n’y a rien à faire de particulier, sauf à corriger votre politique de réponse afin de générer moins de mail de ce type.
Il est possible de définir des règles dans postfix afin de limiter le nombre de mails envoyés dans un laps de temps à un serveur, mais ce n’est pas censé être utilisé, sauf dans des cas très précis, ou comme paliatif temporaire.

Merci pour votre réponse. Nous n’avons pas de passerelle SMTP avant le serveur BlueMind.
Je suis d’accord qu’il ne faut pas répondre à un mail détecté comme du SPAM. Je me demande si la détection a bien fonctionné dans ce cas.
Nous avons mis en place un “ralentissement” des envois vers free.fr, comme vous le suggérez. En espérant que cela évitera que ce problème se renouvelle à nouveau.

Sans passerelle il est étonnant qu’un mail destiné a une adresse inconnue de votre domaine ait été pris en charge.
Par défaut, BlueMind rejette les mails dont les destinataires du domaine local sont inconnus.

Avez-vous modifié la configuration de Postfix ?

Nous avons du certainement modifier quelques paramètres. Je peux vous faire parvenir nos fichiers de conf de postfix si vous le souhaitez.

Au moment de l’incident, nous avions dans mail.log le genre de lignes suivantes, dont voici quelques exemples :

Apr 27 10:05:30 bmail postfix/smtpd[11938]: NOQUEUE: reject: RCPT from net-93-64-241-181.cust.vodafonedsl.it[93.64.241.181]: 550 5.1.1 <d0404@artifrance.fr>: Recipient address rejected: mailbox does not exist; from=<accessedds1@free.fr> to=<d0404@artifrance.fr> proto=ESMTP helo=<[93.64.241.181]>
Apr 27 10:05:30 bmail postfix/smtpd[11938]: NOQUEUE: reject: RCPT from net-93-64-241-181.cust.vodafonedsl.it[93.64.241.181]: 550 5.1.1 <d0404@artifrance.fr>: Recipient address rejected: mailbox does not exist; from=<poultryhlm4@free.fr> to=<d0404@artifrance.fr> proto=ESMTP helo=<[93.64.241.181]>
Apr 27 10:05:49 bmail postfix/smtpd[11416]: NOQUEUE: reject: RCPT from host-194-183-86-134-static.telecomitalia.sm[194.183.86.134]: 550 5.1.1 <ation@artifrance.fr>: Recipient address rejected: mailbox does not exist; from=<depilatoriesjq08@free.fr> to=<ation@artifrance.fr> proto=ESMTP helo=<[194.183.86.134]>
Apr 27 10:11:29 bmail postfix/smtpd[12706]: NOQUEUE: reject: RCPT from unknown[212.91.164.134]: 550 5.1.1 <ctaidd@artifrance.fr>: Recipient address rejected: mailbox does not exist; from=<malleabilityffrg8@free.fr> to=<ctaidd@artifrance.fr> proto=ESMTP helo=<[212.91.164.134]>

Ce lignes indiquent bien que ces mails n’ont pas été pris en charge (NOQUEUE).

La machine qui tentait d’envoyer ce mail (IP: 93.64.241.181) a reçu cette erreur lors de la commande SMTP RCTP TO. Votre serveur n’a donc pas généré de mail vers l’expéditeur pour ces cas car il a rejeté le mail avant même de l’avoir pris en charge - c’est éventuellement 93.64.241.181 qui l’a fait.

Merci pour cette précision.
Alors c’est peut-être les lignes suivantes qui ont été la raison du blacklistage :

Apr 27 10:11:39 bmail postfix/cleanup[10519]: 240E7F81E67: warning: header Content-Type: application/zip; name="facture luc....2016.pdf.zip" from net-93-64-208-99.cust.vodafonedsl.it[93.64.208.99]; from=<modelsxk5@free.fr> to=<cigacgueb@artifrance.fr> proto=ESMTP helo=<[93.64.208.99]>: ThisFileName=facture luc....2016.pdf.zip
Apr 27 10:11:44 bmail postfix/qmgr[1840]: 240E7F81E67: from=<modelsxk5@free.fr>, size=204616, nrcpt=1 (queue active)
Apr 27 10:11:44 bmail postfix/cleanup[10519]: 1F733F81E84: warning: header Content-Type: message/delivery-status; name="dsn_status" from localhost[127.0.0.1]; from=<> to=<modelsxk5@free.fr> proto=ESMTP helo=<localhost>: ThisFileName=dsn_status
Apr 27 10:11:44 bmail postfix/cleanup[10519]: 1F733F81E84: warning: header Content-Disposition: inline; filename="dsn_status" from localhost[127.0.0.1]; from=<> to=<modelsxk5@free.fr> proto=ESMTP helo=<localhost>: ThisFileName=dsn_status
Apr 27 10:11:44 bmail postfix/cleanup[10519]: 1F733F81E84: warning: header Content-Type: text/rfc822-headers; name="header" from localhost[127.0.0.1]; from=<> to=<modelsxk5@free.fr> proto=ESMTP helo=<localhost>: ThisFileName=header
Apr 27 10:11:44 bmail postfix/cleanup[10519]: 1F733F81E84: warning: header Content-Disposition: inline; filename="header" from localhost[127.0.0.1]; from=<> to=<modelsxk5@free.fr> proto=ESMTP helo=<localhost>: ThisFileName=header
Apr 27 10:11:44 bmail amavis[12648]: (12648-06) Blocked BANNED (.exe,facture luc....2016.pdf.exe) {BouncedInbound,Quarantined}, [13.77.33.83] <modelsxk5@free.fr> -> <+cigac@artifrance.fr>, quarantine: Y/banned-Y8DnGUZtvhuv, Message-ID: <c2323b646e0a.6855092c69204b@daaorklbix.qjyryieumr.pt>, mail_id: Y8DnGUZtvhuv, Hits: -, size: 204579, 104 ms
Apr 27 10:11:45 bmail postfix/cleanup[11054]: D0976F81E67: warning: header Content-Type: application/zip; name="facture luc....2016.pdf.zip" from net-93-64-208-99.cust.vodafonedsl.it[93.64.208.99]; from=<kalenwr5@free.fr> to=<cigacstrasbourg@artifrance.fr> proto=ESMTP helo=<[93.64.208.99]>: ThisFileName=facture luc....2016.pdf.zip
Apr 27 10:11:45 bmail postfix/smtp[12621]: 1F733F81E84: to=<modelsxk5@free.fr>, relay=mx1.free.fr[212.27.48.7]:25, delay=1.5, delays=0/0/1/0.48, dsn=5.1.1, status=bounced (host mx1.free.fr[212.27.48.7] said: 550 5.1.1 user unknown (UserSearch) (in reply to RCPT TO command))
Apr 27 10:11:53 bmail postfix/qmgr[1840]: D0976F81E67: from=<kalenwr5@free.fr>, size=204650, nrcpt=1 (queue active)
Apr 27 10:11:53 bmail postfix/cleanup[11054]: 61BCBF81E68: warning: header Content-Type: message/delivery-status; name="dsn_status" from localhost[127.0.0.1]; from=<> to=<kalenwr5@free.fr> proto=ESMTP helo=<localhost>: ThisFileName=dsn_status
Apr 27 10:11:53 bmail postfix/cleanup[11054]: 61BCBF81E68: warning: header Content-Disposition: inline; filename="dsn_status" from localhost[127.0.0.1]; from=<> to=<kalenwr5@free.fr> proto=ESMTP helo=<localhost>: ThisFileName=dsn_status
Apr 27 10:11:53 bmail postfix/cleanup[11054]: 61BCBF81E68: warning: header Content-Type: text/rfc822-headers; name="header" from localhost[127.0.0.1]; from=<> to=<kalenwr5@free.fr> proto=ESMTP helo=<localhost>: ThisFileName=header
Apr 27 10:11:53 bmail postfix/cleanup[11054]: 61BCBF81E68: warning: header Content-Disposition: inline; filename="header" from localhost[127.0.0.1]; from=<> to=<kalenwr5@free.fr> proto=ESMTP helo=<localhost>: ThisFileName=header
Apr 27 10:11:53 bmail amavis[12325]: (12325-15) Blocked BANNED (.exe,facture luc....2016.pdf.exe) {BouncedInbound,Quarantined}, [153.81.25.58] <kalenwr5@free.fr> -> <+cigac@artifrance.fr>, quarantine: y/banned-yjN8CVYgSFuL, Message-ID: <fbedeb23bd61.02156c39830bb2@izpwhfdfwy.jdbsv.org>, mail_id: yjN8CVYgSFuL, Hits: -, size: 204613, 105 ms
Apr 27 10:11:56 bmail postfix/smtp[12621]: 61BCBF81E68: to=<kalenwr5@free.fr>, relay=mx1.free.fr[212.27.48.6]:25, delay=3.5, delays=0.01/0/2.4/1.1, dsn=5.1.1, status=bounced (host mx1.free.fr[212.27.48.6] said: 550 5.1.1 user unknown (UserSearch) (in reply to RCPT TO command))

Effectivement, mais il faudrait voir d’où proviennent ces mails.
Par exemple le mail d’ID 240E7F81E67 a été reçu depuis quelle IP ? Si c’est localhost, qui a émis ce mail, votre anti-spam/anti-virus ? Si oui, ce mail a été émis suite au traitement de quel mail, qui provenait d’où à son tour ?

Ce n’est à priori pas normal que vous ayiez accepté de traiter des mails destinés à des adresses inexistantes.

Je n’ai malheureusement plus les fichiers mail.log pour creuser le mail d’ID 240E7F81E67. Mais ce message a lui été envoyé à un destinataire existant (cigacgueb@artifrance.fr).
Je pense que c’est amavis qui bloque certaines extensions et rejette alors le mail en répondant à l’expéditeur.
Je vais voir pour ne plus prévenir en cas de blocage d’un mail sur pièce jointe avec extension non autorisée, ce qui évitera pas mal de réponses vers des adresses utilisées pour envoyer des virus.

Dans ce cas, le mail d’origine est légitime, il faut donc voir ce qui est faisable/envisageable au niveau de la politique de notification d’Amavis effectivement.

Pour ceux que cela pourrait éventuellement intéresser, pour éviter de notifier en cas de PJ dont le type est banni, dans la config amavis, remplacement de la directive “$final_banned_destiny = D_BOUNCE;” par celle-ci pour ne plus notifier : "$final_banned_destiny = D_DISCARD; ".