Bonjour,

Pour les besoins de mon site en plus de mon hébergement mutualisé d'OVH, j'utilise un VDS chez Nexlink.

Depuis hier je reçois un spam d'hameçonnage bancaire sur une e-mail de mon VDS et je me demande si ce n'est pas mon VDS qui envoie le spam.

Voici le header du spam :

Return-Path: <mailing.id758-8491CBF@citi.com>
Delivered-To: 1-xxxxxxx@mon_domaine.com
Received: (qmail 5889 invoked from network); 8 Mar 2008 03:06:06 +0100
Received: from unknown (HELO 80.86.202.114) (58.122.221.113)
by v085.nexlink.ch with SMTP; 8 Mar 2008 03:06:06 +0100
Received: from lawrence.ebaystatic.com (unknown [18.224.152.72])
by second-ns.com with SMTP id G34XA0HS91
for <xxxxxxx@mon_domaine.com>; Fri, 07 Mar 2008 18:06:12 -0800
Received: from drill.aol.com (unknown [78.67.7.158])
by DEC.com with SMTP id TAQQ1ZLKLE
for <xxxxxxx@mon_domaine.com>; Sat, 08 Mar 2008 06:04:12 +0400
From: "Citi" <mailing.id758-8491CBF@citi.com>
To: "Echange" <xxxxxxx@mon_domaine.com>
Subject: *****SPAM***** CitiBusiness customer service: new enhanced online security measures. -Fri, 07 Mar 2008 18:06:12 -0800
X-Authenticated: #06281605
User-Agent: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--FJ1hat3888o8gCO"
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 2.63 (2004-01-11) on v085.nexlink.ch
X-Spam-Level: ******
X-Spam-Status: Yes, hits=6.2 required=3.0 tests=DATE_MISSING,FAKE_HELO_AOL,
HTML_20_30,HTML_FONTCOLOR_UNSAFE,HTML_MESSAGE,HTML _TAG_BALANCE_HTML,
MIME_HTML_ONLY,MIME_HTML_ONLY_MULTI,PRIORITY_NO_NA ME,
RCVD_NUMERIC_HELO autolearn=no version=2.63
X-Spam-Report:
* 1.0 DATE_MISSING Missing Date: header
* 0.3 RCVD_NUMERIC_HELO Received: contains a numeric HELO
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 0.1 HTML_FONTCOLOR_UNSAFE BODY: HTML font color not in safe 6x6x6 palette
* 0.5 HTML_20_30 BODY: Message is 20% to 30% HTML
* 0.4 HTML_TAG_BALANCE_HTML BODY: HTML has unbalanced "html" tags
* 0.1 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
* 1.9 FAKE_HELO_AOL Host HELO did not match rDNS: aol.com
* 0.8 PRIORITY_NO_NAME Message has priority setting, but no X-Mailer
* 1.1 MIME_HTML_ONLY_MULTI Multipart message only has text/html MIME parts

Si un spécialiste pouvez me dire qui envoie le spam (serveur) le 80.86.202.114 ou le 58.122.221.113.

Received: from drill.aol.com (unknown [78.67.7.158]) by DEC.com with SMTP id TAQQ1ZLKLE

Normalement, il faut lire les Received de bas en haut.

Merci TBC_Ly0n pour ton aide.

Je suis soulagé d'apprendre que ce n'est pas mon serveur qui sert pour envoyer ce spam.

Bien que je cherche depuis 2 jours avec Google comment interpréter le haeder d'un mail, je n'arrive pas a savoir pourquoi l'ip de mon serveur apparait.

Parce qu'il l'a reçu !!! (Received en anglais !)

Merci TBC_Ly0n

J'ai compris maintenant l'analyse du header d'un mail.

Pour ceux que cela intéresse, j'ai trouvé ce site en allemand http://www.spamtrack.de/header.php qui permet de savoir après analyse du header la géolocalisation de l'adresse ip du serveur éméteur.

J'ai voulu faire un DNSReport pour re-vérifier que mon serveur n'était pas en open-relay, mais celui-ci est devenu payant. Est-ce que quelqu'un connait un site avec des services équivalents mais gratuit.

Received: from drill.aol.com (unknown [78.67.7.158]) by DEC.com with SMTP id TAQQ1ZLKLE

Normalement, il faut lire les Received de bas en haut.

Pas tout à fait... les lignes Received: se lisent de haut en bas,
en descendant jusqu'à trouver une incohérence, ce qui indique que les lignes suivantes sont falsifiées.

D'ailleurs en injectant l'en-tête dans http://www.spam-rbl.com/parser.cgi
on vérifie que la seule partie fiable est:
Delivered-To: 1-xxxxxxx@mon_domaine.com
Received: (qmail 5889 invoked from network); 8 Mar 2008 03:06:06 +0100
Received: from unknown (HELO 80.86.202.114) (58.122.221.113)
by v085.nexlink.ch with SMTP; 8 Mar 2008 03:06:06 +0100et que ce qui suit est falsifié.

C'est un spam injecté directement par 58.122.221.113 (Hananet, Corée du Sud) vers le serveur qui héberge ta BAL: v085.nexlink.ch

PS: il est facile de se débarasser de tels spams chinois et coréens en refusant d'accepter des mails en provenance directe d'adresses IP sans DNS inverse déclaré (champ PTR): ces FAI n'en mettent pas sur leurs IP dynamiques/résidentielles.

Spam-RBL, version 1.23i

Received: (qmail 5889 invoked from network); 8 Mar 2008 03:06:06 +0100
Received: from unknown (HELO 80.86.202.114) (58.122.221.113) by v085.nexlink.ch with SMTP; 8 Mar 2008 03:06:06 +0100
IP trouvée : 58.122.221.113
Received: from lawrence.ebaystatic.com (unknown [18.224.152.72]) by second-ns.com with SMTP id G34XA0HS91 for <xxxxxxx@mon_domaine.com>; Fri, 07 Mar 2008 18:06:12 -0800
Le 'by second-ns.com' ne permet pas de déterminer une IP. On considère la chaine cassée !
IP trouvée : 18.224.152.72
Received: from drill.aol.com (unknown [78.67.7.158]) by DEC.com with SMTP id TAQQ1ZLKLE for <xxxxxxx@mon_domaine.com>; Sat, 08 Mar 2008 06:04:12 +0400
Le 'by DEC.com' ne permet pas de déterminer une IP. On considère la chaine cassée !
IP trouvée : 78.67.7.158
Fin des champs Received
Résultat des courses : 58.122.221.113 est le spammeur (IN) :
Cette IP n'est pas recensée dans notre blacklist.
Il n'y a pas de reverse associé.
On a trouvé des emails associés à 58.122.221.113 :abuse@hanaro.com ip-adm@hanaro.com

Bonjour Spamplemousse,

Merci pour aide.

Peux-tu m'expliquer comment je fais pour refuser des mails en provenance directe d'adresses IP sans DNS inverse déclaré. Je ne suis pas hélas un spécialiste dans ce domaine comme cela peut se constater !

Est-ce que je dois juste envoyé un mail à abuseatono.com pour régler le problème ?

Contacte l'administrateur système qui gère ton serveur de mail.

Si c'est toi l'administrateur, tu te doutes déjà que ça dépend du serveur de mail que tu utilises, donc consulter la doc du serveur en question.

Sendmail, postfix, qmail, exim... ne se configurent pas de la même façon, et je n'évoque même pas les serveurs de mail sur les autres plateformes (Windows Server ?)

Par exemple pour qmail:
http://forum.ovh.net/showthread.php?t=19555

En soit, c'est vrai qu'à y regarder de plus prêt, y a beaucoup de merdes dans les headers... Même le vrai HELO est falsifié en tentant de se faire passer pour 80.86...
Ceci dit, le "by ..." est formaté par le serveur récepteur, en se basant généralement sur la variable "me" (présente dans qmail, courier...), du coup, on pourrait facilement avoir une incohérence là-dedans avec une personne qui ne maitrise vraiment pas son système...

Je te rejoins sur l'IP hananet après regard plus profond...

C'est qmail.
J'utilise sbl.spamhaus.org, il semble peu efficace, je vois que sur sur le How-To c'est pbl.spamhaus.org, est-il plus efficace ?

Je devrais peut-être utiliser bl.spamcop.net est-il toujours aussi agressif ?

J'ai trouvé le pendant de DNSReport mais en gratuit http://www.intodns.com/ (http://www.intodns.com/) pour ceux que cela intéresse.