Bonjour,
J'ai un serveur Plesk 12 sur CentOs.
Ca fait un mois que je tente toutes les solutions possibles (que je trouve dans les guides OVH ou sur Google) et à chaque fois le problème reste le même… spam via mon serveur.
Dans la liste d'attente des emails à envoyer j'ai souvent +/- 30000 emails.
Expéditeur test@ovh.com vers des dizaines d'adresses emails.
J'ai bon chercher une faille sur tous les sites configurés sur ce serveur… je ne trouve pas.
J'ai contacté OVH pour qu'ils me conseillent, mais ça n'a rien changé.
Je commence à désespérer (surtout que l'adresse IP se retrouve bloquée, donc difficile d'envoyer un email) et j'aimerais savoir si quelqu'un pourrait m'aider à reprendre le travail à zéro avec moi afin de régler ce problème définitivement ?
Merci d'avance pour votre réponse,
BAV
Bonjour,
Gérer un serveur mail peut être compliqué si on a pas forcément les bases pour le faire, c'est loin d'être le service le plus facile à gérer.
La première chose à faire serait de vérifier que tu respectes bien les Best Practices et les RFC.
Donc concrètement au minimum pour l'envoie de mail tu dois avoir :
- Un reverse DNS de configuré sur l'IP
- Un champ SPF indiquant les serveurs mails autorisés pour l'envoie
En plus de cela tu peux ajouter d'autres éléments comme le DKIM… Tu es bloqué par OVH ou d'autres services ?
Si c'est OVH, sache que tu peux nous envoyer les mails en questions au format EML (avec les headers) afin qu'on puisse mettre-à-jour nos filtres si nécessaire.
Si ce n'est pas nous, il faudrait contacter les différents services pour demander le déblacklistage et leur indiquer que tu respectes bien les RFC…
La réputation d'une IP est très difficile à acquérir, si tu fais beaucoup de mails je te conseille d'utiliser une IPFO (ce qui te permettra d'avoir la même IP si tu changes de machine).
Il s'agit là de quelques éléments généraux mais qui te donneront probablement un début de piste.
Sur Plesk tes logs mails se trouvent sur /usr/local/psa/var/log/maillog
Cordialement, Alexandre R.
Merci pour ta réponse.
J'essaye de supprimer point par point ce qui poserait problème.
- Si mon serveur envoie 20 emails par jour c'est beaucoup (mais là, il est à 30k).
- Un reverse DNS est créé sur l'IP V4 et V6.
- Une liste SPF est active et un template DNS avec l'option "v=spf1 +a +mx -all" afin de ne pas devoir rajouter manuellement chaque adresse email créée.
- Un "dig -x [IP serveur] +short" retourne bien la liste des domaines autorisés (et c'est correct).
Mais le spam persiste 
.
Si vous avez la gentillesse de me donner d'autres pistes … ?
BAV
Je t'en prie 
Envoie moi en message privé ton domaine si tu veux, je pourrais vérifier ta configuration comme cela.
Si tout est à-priori fait de ton côté, la seule chose qui reste à faire serait de contacter les services qui te blacklistent.
Tu peux voir sur http://mxtoolbox.com/blacklists.aspx par exemple pour vérifier sur les différentes RBL.
Pour le nombre sinon cela n'est pas impactant, nous avons des clients dont leur métier est de faire du mailing et cela ne pose pas de problèmes.
Cordialement, Alexandre R.
Comment on envoi un message privé ?
Tu cliques sur le profil et tu auras message privé sur la droite normalement 
Cordialement, Alexandre R.
Je ne trouve pas … c'est pas grave tu sais m'en envoyer un et je répondrai.
Tu peux aussi essayer de désactiver le bounce, et regarder dans tes logs de quelle adresse les emails partent, éventuellement changer le mot de passe de la boîte si elle a été piratée.
L'expéditeur sont des adresses fictives et inexistantes sur mon serveur. Par exemple, test@ovh.com a été utilisée. Je n'héberge évidemment pas ovh.com .
Je pensais a un abus d'une fonction mail (via PHP par exemple), mais j'ai vérifié partout et je ne trouve pas… ce qui serait génial se serait de savoir d'où proviennent les spams et comment "on" arrive à utiliser l'adresse IP de mon serveur pour ce faire…
les causes peuvent être multiples :
- les spammeurs abusent du bounce que ton serveur envoie
- ton serveur est en open-relay et donc n'importe qui peut l'utiliser pour envoyer des emails sans s'identifier
- tu as un script (soit une faille dans un de tes scripts de contact par exemple, soit un hacker a placé un script) quelque part qui envoie des emails
- tu as un compte email légitime qui a été hacké
J'en oublie sûrement mais c'est chiant les spammeurs…
Ton serveur a du être infecté d'une manière ou d'une autre.
Le mieux est de tout réinstaller en mettant au passage un os à jour et à jour tous les CMS.
c'est un peu violent comme suggestion ça, si il a beaucoup de sites dessus ça va être compliqué (et le script infecté fera peut être partie du backup qu'il va restaurer)
(je ne peux pas poster plus de 3 messages donc tu peux tester ça par exemple pour l'open relay : http://www.mailradar.com/openrelay/ )
Oui, tout réinstaller n'est pas possible dans mon cas .
Une solution que je n'ai pas encore creusée, c'est celle de l'open-relay… comment puis-je vérifier cela ?
Je pensais a un abus d'une fonction mail (via PHP par exemple), mais j'ai vérifié partout et je ne trouve pas... ce qui serait génial se serait de savoir d'où proviennent les spams et comment "on" arrive à utiliser l'adresse IP de mon serveur pour ce faire...
Il faut bien vérifier dans les options du serveur mail que le relai smtp nécessite une authentification si ce n'est pas déjà la cas.
Après, utiliser une plateforme externe comme zoho (1 domaine / 25 boites gratuites) et enlever le serveur mail de Plesk peut également être une solution afin d'être tranquille.
En général les spams proviennent d'une page web pirate sur un de tes sites, ou bien d'un serveur mail "trop accueillant".
Il faudrait que tu nous retranscrives fidèlement l'entièreté d'un des spams en queue (avec les en-têtes SMTP surtout), peut-être pourra-t-on avancer un peu…
Il faut évidemment partir sur d'ancien backups sains..
Si une page a été infectée c'est limite plus simple de tout réinstaller à partir de backup sains plutôt que de chercher dans chaque fichier d'éventuels codes malicieux.
Merci pour toutes ces réponses.
Il y a bien une identification requise pour le SMTP.
J'ai vidé la liste de spam (liste d'attente de QMail), mais au prochain spam je noterai une en-tête ici.
J'ai demandé un retrait de l'adresse IP des blacklist, mais spamCannibal refuse pour cette raison "These IP's are NOT eligible for removal until provisioned with a distinguishing PTR record".
Tous les domaines hébergés sur ce serveur ont un champ PTR pointant vers le domaine.tld.
Comment pourrais-je avoir un champ PTR pour mon serveur ?
Après tout, il pointe vers le domaine nsXXXXXXX.ovh.net : Est-ce configurable ?
Je suis fatigué pour aujourd'hui 
mais demain, j'essayerai de configurer PHP pour que la fonction "mail()" requière une authentification également (autrement dit que la fonction mail() ne fonctionne plus sans mot de passe et identifiant, c'est faisable non ?).
Première fois que je me penche autant sur la sécurité des emails sur un serveur… j'ai le présentement que ça va devoir devenir une habitude…
BAV,
Fabrice
Bonjour,
Tu ne peux pas utiliser le nom de ton serveur comme reverse ou t'en servir pour les mails. Ce nom de domaine appartient à OVH et il sert uniquement à identifier le produit.
Si tu veux configurer correctement ton serveur, tu dois choisir un nom de domaine qui t'appartiens que tu choisiras en tant que reverse ce qui te permettra d'avoir ce que tu souhaites.
Si tu en as plusieurs : tu peux faire un reverse par IP ou bien prendre le risque d'envoyer tous tes mails depuis une seule IP.
Cordialement, Alexandre R.
Ok merci.<br />C'est pas le plus important pour le moment.<br /><br />Les spams ont recommencés aujourd'hui, voici un en-tête : <br /><br /> Received: (qmail 17939 invoked from network); 13 Dec 2016 14:21:04 +0100<br /> Received: from localhost (HELO User) (127.0.0.1)<br /> by localhost with ESMTPA; 13 Dec 2016 14:21:04 +0100<br /> Reply-To: gmail.com><br /> From: "Allen Mordi & Associates"ovh.com><br /> Subject: REQUEST FOR BUSINESS PARTNERSHIP<br /> Date: Tue, 13 Dec 2016 05:21:32 -0800<br /> MIME-Version: 1.0<br /> Content-Type: text/plain;<br /> charset="Windows-1251"<br /> Content-Transfer-Encoding: 7bit<br /> X-Priority: 3<br /> X-MSMail-Priority: Normal<br /> X-Mailer: Microsoft Outlook Express 6.00.2600.0000<br /> X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000<br /><br />Message envoyé 5800 fois (bloqués dans la file d'attente QMail, vu que configurée pour n'envoyer que 20 emails par heure).<br /><br />Ca ne me dit pas d'où ça provient, si ?<br /><br />BAV,<br />Fabrice<br /><br />EDIT : <br />Pour infos dans le maillog j'ai aussi ceci : <br /><br /> Dec 13 04:32:49 ns2291060 /var/qmail/bin/relaylock[30335]: /var/qmail/bin/relaylock: mail from 46.183.221.136:53169 (ip-221-136.dataclub.biz)<br /> Dec 13 04:32:50 ns2291060 smtp_auth[30336]: SMTP connect from ip-221-136.dataclub.biz [46.183.221.136]<br /><br />Je comprend plus rien pff, dataclub.biz n'est pas autorisé sur mon serveur...<br /><br /> Dec 13 04:35:36 ns2291060 /var/qmail/bin/relaylock[30569]: /var/qmail/bin/relaylock: mail from 91.200.12.121:54228 (dedic869.hidehost.net)<br /> Dec 13 04:35:37 ns2291060 smtp_auth[30570]: SMTP connect from dedic869.hidehost.net [91.200.12.121]<br /> Dec 13 04:35:37 ns2291060 smtp_auth[30570]: Invalid mail address 'test'<br /> Dec 13 04:35:37 ns2291060 smtp_auth[30570]: FAILED: test - password incorrect from dedic869.hidehost.net [91.200.12.121]<br /><br />dedic869.hidehost.net ???<br />Je vais pas baisser les bras, mais j'ai surement pas le niveau pour agir seul.<br /><br />RKHunter ne trouve rien.<br />Spamd ne bloque pas tous les spams.<br />Comment je peux trouver le fichier qui envoie tout ça ?
Avec les SPF et toutes les opérations menées je remarque que le spam ne sait plus partir de domaines non hébergés.
Cela n'empêche pas le spammeur d'utiliser les domaines existants.
J'essaye toujours de comprendre d'où ça vient.
Il faut absolument que cela cesse … personne n'a une dernière idée ?
C'est tout de même malheureux… bientôt les hackers feront tout ce qu'ils veulent sur la planète juste parce que les systèmes actuels sont pleins de faille ?
Et le pire, c'est que je ne sais toujours pas qui est assez bête de nos jours pour ouvrir un spam 
… (je pars du principe que si personne ne les ouvrait, personne n'aurait encore l'envie d'en envoyer, si ?).
Aîe,
Fabrice