IP blacklistée sur smtp.dsl.ovh.net

Bonjour,

Notifié hier par OVH qui mon IP était de nouveau considérée comme sure.

J'ai remis le relay avec smtp.dsl.ovh.net

J'en ai profité pour durcir encore les règles de connexion chez moi, car les log montraient encore beaucoup de tentatives.

Les IP sans FQDN sont bloquées pour tous les protocoles.

A suivre.....

Patrick

J'ai l'impression que le SMTP des abonnés adsl OVH est aussi paranoïaque que le serveur sip.ovh.fr !

Pour peu que le serveur ait envoyé 10 mails en quelques secondes, ce qu'un client de messagerie ordinaire ne ferait pas,
et on est vite catalogué comme publiposteur ou spammeur professionnel !

La solution d'utiliser sa propre connexion sans passer par le SMTP OVH est préférable, du moins si l'on n'est pas dans une plage d'adresses ip
classifiée comme "résidentielle" par les serveurs des destinataires.

Bonjour,

Le support m'a confirmé que mon IP avait encore été bannie.
Mon analyse des logs ne montrant pas d'utilisation abusive de mon serveur, OVH analyse de son coté la raison de ce bannissement.

Patrick

Bonjour,

Grr !!!! De nouveau des time-out sur le smtp.dsl.ovh.net

J'ai rouvert le ticket et désactivé le relay.

Patrick

Bonjour,

Fail2Ban est activé pour SSH, Postfix, et Dovecot mais n'a pas empêché le hack.

Je vois bien que le tentatives actuelles ne font qu'un essai par IP. (ils doivent essayer d'entrer avec une base de mots de passe crackés) et fail2ban ne banni qu'après plusieurs tentatives. Je pourrais bien descendre à 1 essai mais j'ai peur que les ressources prises par Fail2ban n'augmentent significativement (mon serveur n'est qu'un petit client léger IBM8364 avec un Pentium II à 256MHz et 256Mo de RAM. Il ne faut pas trop lui en demander .....

Patrick

Clos, mais il manque le mot magique.
fail2ban
Fail2ban pourrait t'aider, comme il fait déjà pour dès installation avec la porte SSH (22).

Fail2ban est parfait pour scanner les tentatives sur le 587, 993, etc etc etc etc.

Bonsoir,

Ticket incident clos. Le problème est résolu.

Patrick

Maintenant que ma fille est rentrée de stage à l'étranger, je vais revenir à la solution webmail pour l'envoi de mail à distance. J'ai également un serveur VPN actif mais c'est en effet plus lourd pour l'utilisateur.

Je vais également étudier ce qu'offrent les solutions de gestionnaire de mots de passes. Cela me permettrait de mettre des mots de passe robustes et différents pour chacun des accès distant. Par contre je ne veux pas que ce soit une solution hébergée chez Google ou autres mais centralisée sur mon LAN.

Bref du boulot en prévision pour tenter d'augmenter la sécurité.....

Patrick

Même avec un postfix qui utilise le port 587 ssl pour l'envoi des messages des utilisateurs distants et imap en 993, j'ai déja eu un utilisateur piraté.
Je suis revenu au port 143 de Dovecot et à l'envoi de mails sur le port 25 mais uniquement par un VPN PPTP pour l'envoi de mails, c'est TRES efficace,
mais un peu contraignant pour les utilisateurs sur téléphone portable, qui utilisent du coup le smtp de leur opérateur, peu fiable, qui accepte de relayer un autre nom de domaine, mais pas systématiquement...

J'ai remonté les log et c'est bien le compte de ma fille qui à été cracké le 25 juillet à 12:11 par 194.152.235.4 (IP Croate
)
OVH a réagit le 28 à 09:30:49 en bloquant les messages provenant de mon serveur. En congés à cette date, je ne me suis rendu compte de cela qu'à mon retour.

Patrick

Toujours beaucoup de tentatives d'intrusion
Je suis en train de blacklister toutes les IP de Roumanie
le log associé

Patrick

Bonjour,
Je viens de tester et effectivement, mon message de test est sorti vers mon adresse en user@laposte.net.

J'ai audité mon nom de domaine et il ne semble pas blacklisté dans les bases usuelles.

Je vais rester comme cela quelque temps en surveillant le nombre de messages émis. (j'ai configuré Postfix pour limiter à 10 le nombre de destinataires des messages)

Patrick

Je pense que le mot de passe d'un user a été craqué et le compte utilisé pour spammer.
J'ai eu une recrudescence de tentatives d'intrusions en ssh principalement mais pas mal sur postfix et dovécot.

Durant le stage a l'étranger de ma fille, j'avais autorisé l'envoi de courrier aux utilisateurs authentifiés, mais maintenant, je suis revenu à la restriction au IP du lan et j'ai changé tous les mots de passe.

Le ticket est en cours de traitement chez OVH.

Patrick

Quel genre d'attaques ? Tu t'es mis en open relay ?
Car Postfix me semble difficile à abuser.

Si tu utilises le smtp OVH, je suppose que le serveur Postfix est connecté sur le réseau ADSL ou SDSL OVH.
Rien ne t'empêche de sortir directement sur internet sans passer par un relais SMTP !
Il se trouve que (comme chez Nerim) les adresses ip OVH des connexions ADSL ne sont pas trop blacklistées (à la différence des ip fixes Orange adsl pro ou Free).
La seule précaution est de configurer un nom d'hôte dans ton nom de domaine (champ de type A de la zone DNS) correspondant à ton ip
(exemple smtp.mondomaine.com) et aussi ensuite le reverse ip de la connexion ADSL OVH dans le manager (afin de ne pas être rejeté par des serveurs comme yahoo ou aol qui vérifient les reverse).

Bonjour,

Ce matin, j'ai ouvert un appel dans mon interface client.

Je ne suis pas complètement coincé non plus car j'ai d'autre moyens d'envoyer des mails.

Pour le moment j'ai toujours des
Ce matin j'ai regardé les logs et la plupart des attaques sur mon serveur SMPT proviennent d'un dédié OVH ayant l'IP 188.165.235.21.

Je remonte cette info sur abuse@ovh.net

Patrick

Je dirais: support OVH ?

Bonjour,

J'ai visiblement été victime d'une attaque sur mon serveur Postfix et du coup je me suis fait blacklisté.

J'ai changé les mots de passes et réduit à mon seul LAN les IP autorisées.

Maintenant je voudrais connaitre la procédure pour lever l'interdiction sur smtp.dsl.ovh.net

Patrick