Bonjour,

J'ai un gros probleme de spams ces derniers temps (du genre 1000 à 5000 par jours)
Tant que ce n'etait que du spam que je recevais, je listais à la main mais là nous avons passé une nouvelle et malheureuse étape.

Les spammeurs utilisent les noms de domaine de mon dédié pour generer des adresses emails fictives et les inserer en return path. Du coup je suis submergé par les messages des mailer daemons :-(

Je vous mets 2 exemples de header significatifs :

***********************************
Return-Path: <waswefficientnet @ wefficient.com>
Received: from dju174.neoplus.adsl.tpnet.pl (83.23.254.174) by smtp-b1.antel.net.uy (7.2.072.1)
id 456AF18202B545D1; Fri, 5 Jan 2007 11:38:46 -0200
Received: from 213.186.46.97 (HELO mx1.wefficient.com)
by adinet.com.uy with esmtp (M@66U4,5/3 01F0*Q)
id )10@9<-2*J+40-81
for migg@adinet.com.uy; Fri, 5 Jan 2007 13:38:45 -0060
Date: Fri, 5 Jan 2007 13:38:45 -0060
From: "Refugio Hearn" <waswefficientnet @ wefficient.com>
X-Mailer: The Bat! (v3.60.07) UNREG / CD5BF9353B3B7091
X-Priority: 3 (Normal)
Message-ID: <329165714.71088690621639@thebat.net>
To: migg@adinet.com.uy
Subject: Hey dude good news for u
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----------F057DA48D3F29C38"
X-Spam: Not detected
****************************

et

***************************
Hi. This is the qmail-send program at ns35910.ovh.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<xxx @ xxx.fr>:
Sorry, no mailbox here by that name. vpopmail (#5.1.1)

--- Below this line is a copy of the message.

Return-Path: <noxwefficienttur @ wefficient.com>
Received: (qmail 3276 invoked by uid 503); 27 Dec 2006 13:09:11 -0000
Received: from unknown (HELO xxxx-c286099cf9) (83.27.148.119)
by ns35910.ovh.net with SMTP; 27 Dec 2006 13:09:11 -0000
Return-Path: <noxwefficienttur @ wefficient.com>
Received: from 213.186.46.97 (HELO mail.wefficient.com)
by es2.fr with esmtp (>7G/ME(O YWY26)
id ;OC+@N-+<FYR--MY
for xxx @ xxx.fr; Wed, 27 Dec 2006 13:10:56 -0060
Date: Wed, 27 Dec 2006 13:10:56 -0060
From: "Erin Barnard" <noxwefficienttur @ wefficient.com>
X-Mailer: The Bat! (v3.5) Home
X-Priority: 3 (Normal)
Message-ID: <854899899.76023451709174@thebat.net>
To: xxx @ xxx.fr
Subject: Hey dude good news for u
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------5BD3E54096712CF"
X-Spam: Not detected

**********************************

Les ip sont souvent changeantes, et parfois ce sont meme les plages d'ip qui changent bien que l'email de retour soit identique (du genre une ip thai, polonaise, hongroise ou bresilienne)
Cela semble sentir le reseau de zombies mais comment le prouver et le combattre ?

Un avis, une idée, une solution ?

Merci d'avance

Charles

Que puis-je faire pour prevenir ce genre de désagréments ?
Quels solutions utiliser ?

Une chose toute simple peux déjà t'aider : la désactivation du catchall.

En effet, tu remarqueras que les adresses email générées en return-path par ces spameurs n'existent que très rarement.

Tu peux donc désactiver le catchall sur tes domaines (fonction qui permet de récupérer nimportequoi@domaine.tld sur une boite donnée), tu ne recevras plus ces email car ils seront simplement rejetés.

J'ai eu ce genre d'attaque il y a quelque temps : cela à duré 24 heures.

Pas grand choses à faire ... si ce n'est d'éviter de "bouncer" ces spams :

- A raison d'un mail par seconde (à peu près ce que j'avais): le spam + le bounce + le bounce du bounce = serveur KO.
- De plus en plus de listes blacklistes les "bouncer" de spams.

Il y a plus de détails dans le thread de Spamplemousse en section dédié (voir les sujets traitant des DSN).

Neliger> le probleme c'est que j'ai besoin du catchall car je l'utilise pour recuperer des emails generés sur le domaine et pour lesquels je n'ai pas créé de boite appropriées. genre pour m'inscrire sur un site, c'est nomdusite@mondomaine ainsi je sais qui revends les emails ou pas...

Yggdrasil> Auparavant cela ne durait pas trop longtemps ces attaques de spams. Leur particularité c'etait qu'ils generaient un email par message envoyé. La c'est le meme email par phase (genre tous les 2-3 jours) et ils envoient bcp bcp plus d'emails.


Si j'utilise la fonction MAPS de mon dédié, cela peut il les empecher d'utiliser un email de mes domaines (vu que cela ne sera pas issu de mon ip de domaine) cela peut il faire qqch ?

Une question conne :

As-tu un champ SPF dans tes zones DNS ?

spf ?
j'ai du NS, A CNAME, MX, PTR pas pas de SPF en stock que je sache...

Le SPF sert justement à ca, vérifier que les emails envoyés proviennent bien du serveur qui possède le domaine.

http://www.openspf.org/

Désolé j'avais mal lu la première fois :o ... j'avais compris que tu recevait des spams à des adresses inexistantes mais d'un domaine de ton dédié ... ce qui m'était arrivé :o

En l'occurence, un SPF ne changera pas grand chose, le problème ici vient des serveurs qui bouncent :

- Le serveur du destinataire recoit un mail qui n'est destiné à personne, qui est considéré comme spam, ... enfin un mail dont il ne veut pas pour une raison ou pour une autre .... et qu'il renvoi à son expéditeur (faux naturellement).

--> L'expéditeur à son insu (celui dont on a abusé de l'adresse), se retrouve alors noyé de "retour à l'expéditeur" ...

Raison pour laquelle, et c'est ce que je disais dans mon post précédant, de plus en plus de listes considérent les "retour à l'expéditeur" comme du spam (et blacklistent donc ceux qui bouncent à tout va) afin (entre autre) d'éviter, tant que faire ce peu, ce qui arrive à C.Boone.

Par contre MAPS ... connait pas :( :confused: :eek: ... je vais voir de quoi il en retourne de ce pas ;)

Maps c'est une case a cocher que j'avais vu dans l'interface serveur de plesk.

Tire de l'aide plesk :
Cochez la case Activer la protection antispam MAPS,pour activer la prévention contre les abus de mail, afin de vous protéger, vous et vos clients, des spammeurs. Entrez le nom de la zone DNS (ex : domaine.com)dans les champs zones MAPS. Vous pouvez entrer plusieurs noms de domaines, séparés par des points virgules.

A partir du moment où un SPF est mis, il ne recevra plus de messages des MD sur les nouveaux spam (encore faut-il que les serveurs prennent en charge les SPF)

C.Boone > Il te suffit de faire des alias, et plus besoin de catchall. Dans tous les cas je te conseille d'abandonner le catchall.

C.Boone > Il te suffit de faire des alias, et plus besoin de catchall. Dans tous les cas je te conseille d'abandonner le catchall.

C'est facile à dire ...

... lorsque depuis des annèes tu à pris l'habitude de t'abonner à chaque fois avec une adresse différente ... je te laisse imaginer le nombre d'alias que cela représente ... sans compter le risque d'oublier ceux que n'utilise que très rarement ... mais qui, bien souvent, ne sont pas les moins importants (du genre de l'adresse pour les impots en ligne que tu n'utilise qu'une fois par an !)

ben voila, la est le probleme, je dois avoir quelques centaines d'emails qui sont stoqués pour mon nom de domaine. De là a me souvenir de toutes... :-/