Il faudrait savoir quel est la machine qui envoie ce genre de courrier, dans les logs de postfix, vous devez avoir l’adresse IP à l’origine de ce mail.
Par défaut Blue Mind autorise:
[list=*] ]les IP des plages définies dans la console d’administration, menu Gestion du système → configuration système, onglet Messagerie./] ]les mails destinés à un des domaines gérés par Blue Mind/] ]les mails expédiés depuis n’importe où, si une authentification SMTP est réalisée avec succès/]
[/list]
sigMate,
dernier cas que j’ai pu avoir , c’était un petit malin qui avait trouvé par brute-force le mot de passe admin de mon serveur.
Du SPAM envoyé depuis des belles requettes SMTP
(ou je soupsonne un malware keylogger ayant infecter le PC du co-admin de ce serveur)
J’ai eut pour ma part le cas un jour ou j’avais autorisé le réseau directement connecté à notre routeur.
Nous faisons du NAT derrière celui-ci et il était donc autorisé à envoyer des mails depuis sa patte interne. Le port 25 étant ouvert pour laisser transiter les courriers électroniques, la machine à spam s’est rapidement mise en route.
Par simple ligne de commande à travers l’agent Zabbix , mon serveur de supervision grep un tas d’info dans mail.log (et autres log) , ainsi que la queue Postfix …
Je vais donc de joli stat et en ayant mis des alertes, je suis prévenu aussitôt si ce type de problème survient …
Merci pour vos réponses. Je surveille en permanence mail.log pour voir si tout est normal. Quoiqu’il en soit, la réputation de mon IP est flinguée et je suis grillé auprès de Gmail. La belle affaire. Heureusement, c’est une IP failover donc je ne vais pas tarder à basculer sur une autre adresse, mais tant qu’à y être, je veux m’assurer que tout est robuste et je continue mes tests en l’état. J’ai aussi eu un volume de mails non sollicités élevé à cause de la réponse du MAILER-DAEMON de Postfix qui veut faire son boulot en expliquant que l’adresse n’existe pas (sauf que l’adresse expéditeur, elle, existe) donc bref.
J’avoue que j’ai quand même un drôle de sentiment, et je suis prêt à vous transmettre tous mes mail.logs détaillés car rien de franchement confidentiel et c’est surtout que je n’ai pas réussi à trouver de preuve flagrante soit de bruteforce ou encore de connexion SMTP authentifiée. Je me dis que si cela peut être utile. N’hésitez pas à me dire.
La réputation d’une IP se corrige toute seule lorsque vous avez réglé le problème. Divers outils permettent de suivre cette réputation (http://postmaster.free.fr/ pour l’opérateur free par exemple, ou http://www.senderbase.org utilisé par une grande variété de filtres…).
Vous pouvez me transmettre vos logs, mais avez-vous vu l’origine de ces mails ? N’est-ce pas une IP du réseau définie les IP dans la console d’administration, menu Gestion du système → configuration système, onglet Messagerie ?
