Qmail / SpamCop

WRInaute accro
Hello !

Le site dont je m'occupe est sur un dédié chez OVH et infogéré par une société prestataire (LAMP, Qmail, ...). Voila le type de courrier électronique que je reçoit de la part d'OVH :

abuse@ovh.net à moi

Dear Sir/Madam

We received 2 complaint(s) for SPAM sending from your server.
You can find below a summary of the complaint(s) that have been
sent to OVH abuse services.

Please take quick action to stop SPAM sending from your server.

NB: If this complaint is abusive (if the message is not a SPAM)
contact the rbl manager(s) indicated on top of each alert.

Sincerely,
OVH abuse services

COMPLAINTS SUMMARY :


===============================================
Alert 1 - from SPAMCOP
===============================================

[ SpamCop V1.589 ]
This message is brief for your comfort. Please use links below for details.

Email from ***.***.***.***/ 19 Jul 2006 13:44:21 -0000
http://www.spamcop.net/w3m?i=....

détail des entêtes et du mail, etc...
===============================================
Alert 2 - from SPAMCOP
===============================================

[ SpamCop V1.589 ]
This message is brief for your comfort. Please use links below for details.

idem dans la forme à alert1, etc...

Donc si je comprend bien, je suis inscri dans la liste anti-spam spamCop. Hors, je vous assure que je ne fais aucun spam. Nous n'envoyons même pas de newsletter. Nos e-mails servent juste à contacter nos clients et fournisseurs.

A mon avis, quelqu'un d'extérieur se sert de notre serveur Qmail pour envoyer des spams (mais est-ce que c'est possible ?)

Comment est-ce possible ?
Quelles conséquences ça peut avoir ?
 
WRInaute impliqué
Salut,

Si ton serveur est en openrelay c'est possible, les conséquence ben tu l'as sous les yeux, blacklisté ton domaine et donc si tu contact les clients ou fournisseurs il peuvent gicler ton e-mail selon leur système anti-spam.

Demande à la société qui te gère le serveur ou à OVH si ton serveur est en openrelay.

A+
 
WRInaute accro
1 ère explication de la société qui gère notre serveur :

Il n'y a plus de système anti-spam sur le serveur mail de ns****** depuis la non réception de certains mails en provenance de vos fournisseurs ou partenaires.
De ce fait, il y a un certain nombre de messages qui passent par le serveur mail qui n'ont aucun rapport avec vous.
Ce peut être une machine vérolé qui envoi en masse des mail, cela peut venir de scripts non protégés, ou bien encore de robots (ou non) qui utilisent des trous de sécurité.

Du fait qu'il n'y a pas de système antispam, un certain nombre de mails sont traités par Qmail parce qu'ils ont passé toutes les vérifications.
Cela représente environ 2 ou 3% des mails traités par le serveur.

Pour revenir sur le problème des mails de vos partenaires qui n'arrivaient pas chez vous, c'était dû au fait que leurs serveurs étaient sûrement en BlackList ou mal configurés.
Pour fonctionner avec ns***** correctement protégé, il aurait fallu que leurs serveurs (ceux qui ne pouvaient pas vous envoyer) soient corrects eux aussi ; c.à.d. : avec système antispam, protection contre le relayage, adresse inverse correcte... afin qu'ils ne figurent pas sur une liste noire.

En résumé:
- Soit on n'utilise pas de système antispam et vous pouvez être black-listé par moments.
- Soit on utilise un système antispam et on limite les risques de black-listage mais ceux qui sont black-listé ne peuvent pas vous envoyer de mails.

Je viens de demander pour l'openrelay.

A votre avis, quelle décision je dois prendre ?
 
WRInaute accro
Concernant l'openrelay :

bruno a écrit :
OK, on me demande si le serveur est en openrelay...

Réponse :
Non, car QMail n'autorise que les machines qui ont utilisé un compte pop récement à envoyer des mails (Cette technique s'appelle le PopBeforeSmtp ), et que vPopMail teste si le compte qui envoie des mails existe.
 
WRInaute impliqué
D'après l'e-mail ils ont fait en sorte que le serveur soit pas OpenRelay.

Dans ce cas, ils expliquent que c'est des partenaires qui sont passé en black listage et donc vous qui ne recevez pas les e-mails.

Pour résoudre se problème il faut soit remettre l'anti-spam et ajouter les IP ou noms de serveur de vos partenaires dans la WhiteList du serveur. Soit prendre contact avec le service technique des fournisseurs et leurs dire de mettre à niveau leur serveurs et leur expliquer ce qu'il se passe réellement.
 
WRInaute accro
Sir Dipp a dit:
Pour résoudre se problème il faut soit remettre l'anti-spam et ajouter les IP ou noms de serveur de vos partenaires dans la WhiteList du serveur. Soit prendre contact avec le service technique des fournisseurs et leurs dire de mettre à niveau leur serveurs et leur expliquer ce qu'il se passe réellement.

Nous ne pourrons jamais réglé la situtation de cette manière. La liste d'IP ou de contact serait bien trop longue. (une centaine de fournisseur, presque 20.000 clients et je ne parle pas des prestataires, des partenaires web, ...).

Par exemple,
Est-ce que le fait d'installer un serveur de mail en interne et pas sur notre serveur dédié pourrait régler la situation ?
Est-ce que le choix de ne pas régler Qmail en openrelay est un bon choix ?
Quelle configuration choisiriez-vous pour régler le problème ?
 
WRInaute impliqué
D'après les personnes qui gèrent vorte serveur c'est pas vous qui êtes en tort mais le serveur des vos partenaires qui n'est pas bien configuré. Si vous devez mettre votre serveur à niveau par rapport au nombre de partenaires vous aller vous aussi créer des problèmes chez d'autres.

Quant au choix de ne pas avoir le serveur en OpenRelay est un très bon choix, sinon les spammeur s'empresserait de venir sur votre serveur pour envoyer des e-mails.
 
WRInaute impliqué
Que dises les entêtes de message. Est-ce bien OVH qui a envoyé ce message, il y a 1 mois a peu prêt j'ai essayé d'alerter OVH sur un mail vraiment illicite en ecrivant sur abuse@ovh.net mais cette adresse m'était revenue incorrect.

Il y a aussi chez OVH des sytèmes protections anti-spam et anti-virus juste en changeant les pointages MX des domaines.

Enfin pour l'openrelay il faut surtout pas qu'il soit actif sinon c'est blacklistage automatique. Tu peux passer ton nom de domaine a http://www.dnsreport.com/ tu sauras si il est en openrelay ou pas

A+
 
WRInaute accro
D'accord, j'ai bien compris vos avis. Je ne vais donc toucher à rien pour le moment, on verra bien comment ça va évoluer... Merci beaucoup à vous 2 pour ces précisions.
 
WRInaute impliqué
Ne pas laisser son serveur en OpenRelay (donc que personne a moins d'avoir les accès) puisse envoyer les e-mails.

Bien contrôler les formulaire qui envoie de message pour éviter qu'ils l'utilisent pour faire du spamming.

Et je pense que c'est tout ;-)

A+
 
WRInaute accro
D'après le test sur dnsreport :

Open relay test -> WARNING: One or more of your mailservers appears to be an open relay. If so, this means that you are allowing spammers to freely use the mailserver to send out spam! It is possible that your mailserver accepts all E-mail and later bounces it, or accepts the relay attempt and then deletes the E-mail, but this is not common.
WARNING: mail.*********.com appears to be an open relay: 250 ok
 
WRInaute impliqué
Depeche toi de regler ce problème car SpamCop si ils veulent il peuvent obliger OVH à suspendre l'hebergement pour un certain temps et si tu as personnes qui parle bien anglais pour expliquer ta bonne fois ce sera dur dur de toute façon il faut mieux prévenir que guérir.

A+
 
WRInaute accro
Sir Dipp a dit:
Envoie leurs ce message et demande des explications.

A+

C'est exactement ce que je viens de faire. Je vous tiendrais au courant des explications.

Je vous remercie mille fois de vos avis car ce n'est pas la première fois que j'ai des problèmes avec cette boite et je ne leur fait plus vraiment confiance. La preuve, c'est qu'il m'a dit clairement que le serveur mail n'était pas en OpenRelay alors qu'apparemment, il l'est (et c'est pas la première fois non plus qu'ils me cache des choses ou me mentent sur certains points). Enfin bref, je vais pas vous récapituler toutes mes mésaventures avec cette société. Je vais changer de prestataire en Septembre si tout se passe bien, mais en attendant, il faut bien que nos services web tiennent le coup.
Encore merci...
 
WRInaute impliqué
Si tu veux un nouveau prestataire fait moi signe, je connais quelqu'un qui fait ça très bien et qui est de confiance ;-)

A+
 
WRInaute accro
et c'est quoi ça ?

SPF record
Your domain does not have an SPF record. This means that spammers can easily send out E-mail that looks like it came from your domain, which can make your domain look bad (if the recipient thinks you really sent it), and can cost you money (when people complain to you, rather than the spammer). You may want to add an SPF record ASAP, as 01 Oct 2004 was the target date for domains to have SPF records in place (Hotmail, for example, started checking SPF records on 01 Oct 2004).
 
WRInaute impliqué
C'est une technologie développée par Phodox qui permet d'identifier l'authenticité d'un domaine par une signature numérique au niveau du DNS.

C'est le concurrent direct de SenderID ou CallID de Microsoft.

A+
 
WRInaute accro
Voila la réponse, sommes toute bien expliquée de la société qui infogère notre serveur dédié :

Pour répondre à ton interrogation, le problème est le suivant :
- Un spammeur envoi un mail sur votre serveur ns**** à une adresse du type machin@monsite.com avec comme expéditeur boite@spamée.fr en se faisant donc passer pour un autre.
- Le serveur ns**** remarque que l'adresse machin@monsite.com n'existe pas, alors il la met en bounce. Dans ce cas le serveur ns***** envoi un mail à boite@spamée.fr avec comme expéditeur postmaster@monsite.com, si boite@spamée.fr n'existe pas alors le serveur détruit le mail sinon cette adresse se fait spammer.

Le seul moyen de régler définitivement le problème est d'installer un logiciel anti-spam qui test si le serveur envoyant le mail boite@spamée.fr est blacklisté ou non valide par rapport au RFC.

Sans système anti-spam le seul moyen est de surveiller le serveur et d'exclure les serveurs qui utilisent ns***** au fur et à mesure qu'ils sont connus.

Donc voila, c'est par contre un peu le chat qui se mord la queue :
- si je met un anti-spam, je ne reçois pas certains mails de clients ou fournisseurs ou partenaires parce qu'ils sont dans ces listes
- si je n'en met pas, mes prestataires sont obligés de vérifier si on me spam avec le risque d'en oublier et que ce soit moi qui me retrouve blacklister.

Bon par contre, il ne m'ont toujours pas répondu pour cette histoire d'OpenRelay... J'ais reposer la question, j'attend toujours la réponse. Ca m'inquiète tout de même toutes ces histoires.
 
WRInaute accro
Réponse sur l'openRelay

Chaque testeur d'OpenRelay à des critères d'attribution différents du coup si tu test sur celui-ci par exemple l'OpenRelay sera OK :

http://www.antispam-ufrj.pads.ufrj.br/c ... ***.**.***

Message en pieds de page

Ops!!! Host appeared to accept a message relay, but it may or not may a positive open relay. I need procced a complete test, sending a test message to probe it. This anonymous user test did not send a test message.

Des avis ?
 
WRInaute impliqué
Est-ce que dans la configuration de ton compte e-mail, tu as spécifié que pour l'envoie ton serveur requiert une authentification ?

Si c'est pas le cas c'est que ton serveur est en openRelay et il faudrait corriger cela au plus vite.

Mais en clair, est-ce que vous êtes blacklisté ou pas ?

A+
 
WRInaute accro
Et bien, on vient de sortir de la blacklist apparement : "Vous êtes retiré de la liste de SPAMCOP."

Mais j'aimerais pas que ça ce reproduise...


"Est-ce que dans la configuration de ton compte e-mail, tu as spécifié que pour l'envoie ton serveur requiert une authentification ?"

Je crois pas, je vais demander. On vient de faire un test en telnet pour se connecter au smtp et d'envoyer un mail et il est arriver. Ca prouve bien qu'on est en OpenRelay, non ?
 
WRInaute impliqué
Essai de faire un check de votre serveur auprès d'un autres prestataire... d'une part pour le tester et de l'autre pour avoir un avis externe à la société actuel qui, comme tu l'as dis, ne semble pas très sérieuse. Du moins ils rejettent la faute sur les autres alors que c'est peut-être votre serveur qui est le problème.

A+
 
WRInaute accro
C'est sûr que c'est notre serveur le problème. On vient de faire des tests et les résultats sont étonnants.

Cas de figure très simple :

je vend des pilules pour faire grossir la taille du pénis. Mon mail est bruno@enlargeyourpenis.com
J'ais une base de données de milliers d'adresse mail.
Vu que le serveur smtp de ns***** n'est pas protégé, je peux facilement envoyer des mails "solutions pour avoir un pénis plus gros" à des milliers de personnes à partir de mon adresse mail tout en passant par le smtp ns******.
Vu que l'entête des mails envoyés renvoie l'adresse IP de ns*****, c'est le serveur ns***** qui est blacklisté.
J'ai réussi mon coup, j'ai réussi à envoyer des milliers de spam tout en faisant blacklister un autre serveur que le mien.

Est-ce que c'est incroyable qu'un professionnel de l'infogérance n'ait pas pensé à ce cas de figure ou est-ce que c'est moi qui suit fou ?

De plus, on vient nous même de regarder les logs de Qmail, il y a un paquet d'e-mail inconnu. Ca en est même impressionnant... Donc la surveillance de notre prestataire au coup par coup ne doit pas être très efficace.

PS : on en apprend quand même tous les jours dans ce métier...
 
Haut