Iptables et blocage du port 25

1. As-tu essayé de changer le mot de passe de ton compte de messagerie (celui depuis lequel les spams sont envoyés) ?
Dans 80% des cas le mdp a été découvert par le spamer sans pour autant avoir compromis le serveur.
Exemple : Monpass123
devient : M$&oNP!{asS90}Hqs+

2. Dans Prestashop, as-tu des connexions au panneau d'admin que tu ne reconnais pas ? (lieu, IP)...
Dans ce cas, pareil pour prestashop, tu dois modifier l'URL de l'admin, monsite.tld/admin5456 devient monsite.tld/PjHSz57an7U ainsi que le couple de connexion identifiant / pwd

3. As-tu sécurisé ton serveur ? Je parie que tu te connectes en "root" sans clé et saisissant ton pwd dans putty.
Avant de rentrer dans des configurations qui risquent de bloquer certains de tes services, je t'invite à commencer par drop toutes tentatives de connexion à ton serveur via SSH n'utilisant pas une clef d'authentification.
J'ai fait un tuto facile à suivre ICI

Vu comment tu copie-colle - faut mieux pas peut etre

tcp 0 0 xxx.xxx.xxx.xxx:587 31.181.255.39:45324 ESTABLISHED 16925/smtpd
tcp 0 0 127.0.0.1:8891 127.0.0.1:41152 ESTABLISHED 17029/opendkim
tcp 0 1 xxx.xxx.xxx.xxx:53906 194.85.88.233:25 SYN_SENT 29246/smtp
tcp 0 1 xxx.xxx.xxx.xxx:48931 83.222.23.173:25 SYN_SENT 29247/smtp
tcp 0 0 xxx.xxx.xxx.xxx:587 5.138.31.169:54990 ESTABLISHED 18392/smtpd
tcp 0 1 xxx.xxx.xxx.xxx:58528 173.194.222.27:25 SYN_SENT 27859/smtp
tcp 0 1 xxx.xxx.xxx.xxx:38734 213.180.193.89:25 SYN_SENT 26983/smtp
tcp 0 1 xxx.xxx.xxx.xxx:40846 212.27.42.59:25 SYN_SENT 27624/smtp
tcp 0 1 xxx.xxx.xxx.xxx:45864 91.216.129.73:25 SYN_SENT 27648/smtp
au lieu de
(bien plus claire, non )

Past tout ici http://pastebin.com et casse le lien
Exemple : au lieu de http://pastebin.com/W07gMv92
Tu tape ceci : http ://pastebin dot com/W07gMv92 (ce lien va pas être vu par le filtre comme lien, mais moi, je le vois)

pffff j'ai posté une réponse hier avec plein de copier coller mais toujours pas validé par la modération..... pénible!!

mailq me donne des milliers de trucs dont voici les dernières lignes :

933BD8FEE6 209576 Thu Feb 11 09:57:20 contact@undemesdomaine.tld
(connect to mail.travelgid.ru[85.25.198.175]:25: Connection timed out)
info@travelgid.ru
(connect to travelgp.ru[185.53.177.20]:25: Connection timed out)
info@travelgp.ru
(connect to alt1.aspmx.l.google.com[173.194.222.26]:25: Connection timed out)
info@travelina.spb.ru

934F68FC21 209598 Thu Feb 11 09:48:53 contact@undemesdomaine.tld
(delivery temporarily suspended: connect to mxs.mail.ru[217.69.139.150]:25: Connection timed out)
lunasupermarket@mail.ru
lunayorhidey@mail.ru

9925D90412 209535 Thu Feb 11 10:12:55 contact@undemesdomaine.tld
(delivery temporarily suspended: connect to mx.yandex.ru[87.250.250.89]:25: Connection timed out)
biskbomj@yandex.ru
biskses@yandex.ru

-- 3157569 Kbytes in 16007 Requests.

Quand tu exécute
T'as aussi quelque chose au début :

Ton serveur (ton IP), avec une porte aléatoire essaie de se connecter chez "91.202.253.13", porte "25", donc son serveur mail.
Mais cette connexion n'arrive pas, car OVH à bloqué tout destination "porte 25" pour raison de spam probablement.

Si t'as postfix, la commande
donne quoi ?

Évidemment, ton serveur possède des scripts, uploadé et exécuté par des tiers, qqui sont utilisé pour envoyer des spam (ça rapporte des €€ pour eux, pas pour toi).

- - - Mise à jour - - -

Regarde le log de ton serveur mail pour découvrier qui injecte ces mails.

PS :
Ceci
tcp 0 0 127.0.0.1:8891 127.0.0.1:42629 ESTABLISHED 17029/opendkim
est ton serveur mail qui fait signer ton mail avec une signature DKIM avant l'envoi - il passe le mail sur localhost avec porte 8891 car DKIM est un service qui torune sur ton serveur. Ceci est tout à faut normal.

Bonjour,

Je recois de nouveau des centaines de "Undelivered mail returned to sender"
Ca s'etait calmé après avoir ajouté qq ip à bloqué dans iptables mais :

Ce matin un court extrait de mon netstat -paunt (xxx.xxx.xxx.xxx c'est l'ip du serveur

tcp 0 0 127.0.0.1:46286 127.0.0.1:8891 ESTABLISHED 17065/smtpd
tcp 0 1 xxx.xxx.xxx.xxx:38389 91.202.253.13:25 SYN_SENT 28066/smtp
tcp 0 1 xxx.xxx.xxx.xxx:47454 202.225.89.133:25 SYN_SENT 28210/smtp
tcp 0 0 127.0.0.1:39210 127.0.0.1:8891 ESTABLISHED 25033/smtpd
tcp 0 0 xxx.xxx.xxx.xxx:587 77.35.36.225:46509 ESTABLISHED 17769/smtpd
tcp 0 1 xxx.xxx.xxx.xxx:38691 213.180.193.89:25 SYN_SENT 27957/smtp
tcp 0 1 xxx.xxx.xxx.xxx:40841 207.115.36.20:25 SYN_SENT 27643/smtp
tcp 0 1 xxx.xxx.xxx.xxx:59837 185.79.118.151:25 SYN_SENT 28887/smtp
tcp 0 1 xxx.xxx.xxx.xxx:60357 91.212.137.103:25 SYN_SENT 27736/smtp
tcp 0 0 xxx.xxx.xxx.xxx:587 95.159.136.210:60540 ESTABLISHED 20333/smtpd
tcp 0 1 xxx.xxx.xxx.xxx:36408 194.85.88.232:25 SYN_SENT 26751/smtp
tcp 0 0 127.0.0.1:50596 127.0.0.1:8891 ESTABLISHED 18910/smtpd
tcp 0 1 xxx.xxx.xxx.xxx:35150 194.85.88.229:25 SYN_SENT 28539/smtp
tcp 0 0 127.0.0.1:46175 127.0.0.1:8891 ESTABLISHED 16925/smtpd
tcp 0 1 xxx.xxx.xxx.xxx:35450 81.176.226.55:25 SYN_SENT 27949/smtp
tcp 0 1 xxx.xxx.xxx.xxx:35169 74.125.140.26:25 SYN_SENT 27179/smtp
tcp 0 1 xxx.xxx.xxx.xxx:38695 77.88.21.89:25 SYN_SENT 27802/smtp
tcp 0 0 xxx.xxx.xxx.xxx:587 77.40.39.210:35952 ESTABLISHED 22323/smtpd
tcp 0 0 127.0.0.1:50478 127.0.0.1:80 ESTABLISHED 1504/collectd
tcp 0 1 xxx.xxx.xxx.xxx:40731 212.91.192.20:25 SYN_SENT 28687/smtp
tcp 0 1 xxx.xxx.xxx.xxx:52974 193.28.44.78:25 SYN_SENT 28380/smtp
tcp 0 0 xxx.xxx.xxx.xxx:587 79.105.117.185:55003 ESTABLISHED 25786/smtpd
tcp 0 1 xxx.xxx.xxx.xxx:43717 82.118.18.213:25 SYN_SENT 27789/smtp
tcp 0 1 xxx.xxx.xxx.xxx:43615 88.200.129.147:25 SYN_SENT 26421/smtp
tcp 0 1 xxx.xxx.xxx.xxx:53664 188.93.58.117:25 SYN_SENT 29161/smtp
tcp 0 0 127.0.0.1:8891 127.0.0.1:48655 ESTABLISHED 17029/opendkim
tcp 0 0 127.0.0.1:53557 127.0.0.1:3306 ESTABLISHED 27355/amavisd (ch6-
tcp 0 0 xxx.xxx.xxx.xxx:587 93.177.45.233:36301 ESTABLISHED 18910/smtpd
tcp 0 0 127.0.0.1:56834 127.0.0.1:8891 ESTABLISHED 21683/smtpd
tcp 0 0 127.0.0.1:8891 127.0.0.1:47430 ESTABLISHED 17029/opendkim
tcp 0 3856 xxx.xxx.xxx.xxx:22 109.190.155.143:52147 ESTABLISHED 30287/sshd
tcp 0 1 xxx.xxx.xxx.xxx:35106 194.85.88.229:25 SYN_SENT 27793/smtp
tcp 0 1 xxx.xxx.xxx.xxx:43924 89.179.186.69:25 SYN_SENT 28237/smtp
tcp 0 0 127.0.0.1:47430 127.0.0.1:8891 ESTABLISHED 28301/smtpd
tcp 0 1 xxx.xxx.xxx.xxx:41136 87.250.250.89:25 SYN_SENT 26977/smtp
tcp 0 1 xxx.xxx.xxx.xxx:58523 173.194.222.27:25 SYN_SENT 29414/smtp
tcp 0 0 127.0.0.1:8891 127.0.0.1:40914 ESTABLISHED 17029/opendkim
tcp 0 1 xxx.xxx.xxx.xxx:36361 80.93.62.122:25 SYN_SENT 27516/smtp
tcp 0 0 127.0.0.1:43415 127.0.0.1:8891 ESTABLISHED 26650/smtpd
tcp 0 1 xxx.xxx.xxx.xxx:52747 217.148.199.126:25 SYN_SENT 26917/smtp
tcp 0 0 xxx.xxx.xxx.xxx:587 77.40.7.83:43742 ESTABLISHED 18260/smtpd
tcp 0 0 127.0.0.1:8891 127.0.0.1:42629 ESTABLISHED 17029/opendkim
tcp 0 1 xxx.xxx.xxx.xxx:40797 5.101.158.67:25 SYN_SENT 26811/smtp
tcp 0 0 127.0.0.1:58319 127.0.0.1:8891 ESTABLISHED 22204/smtpd
tcp 0 1 xxx.xxx.xxx.xxx:41121 87.250.250.89:25 SYN_SENT 29102/smtp
tcp 0 1 xxx.xxx.xxx.xxx:51916 81.176.226.57:25 SYN_SENT 27893/smtp
tcp 0 1 xxx.xxx.xxx.xxx:33554 194.85.88.230:25 SYN_SENT 27625/smtp
tcp 0 1 xxx.xxx.xxx.xxx:56027 65.55.92.168:25 SYN_SENT 26548/smtp
tcp 0 0 xxx.xxx.xxx.xxx:587 31.181.255.39:45324 ESTABLISHED 16925/smtpd
tcp 0 0 127.0.0.1:8891 127.0.0.1:41152 ESTABLISHED 17029/opendkim
tcp 0 1 xxx.xxx.xxx.xxx:53906 194.85.88.233:25 SYN_SENT 29246/smtp
tcp 0 1 xxx.xxx.xxx.xxx:48931 83.222.23.173:25 SYN_SENT 29247/smtp
tcp 0 0 xxx.xxx.xxx.xxx:587 5.138.31.169:54990 ESTABLISHED 18392/smtpd
tcp 0 1 xxx.xxx.xxx.xxx:58528 173.194.222.27:25 SYN_SENT 27859/smtp
tcp 0 1 xxx.xxx.xxx.xxx:38734 213.180.193.89:25 SYN_SENT 26983/smtp
tcp 0 1 xxx.xxx.xxx.xxx:40846 212.27.42.59:25 SYN_SENT 27624/smtp
tcp 0 1 xxx.xxx.xxx.xxx:45864 91.216.129.73:25 SYN_SENT 27648/smtp

Personne n'a une piste...? ou au moins une explication de quelques lignes pour que je sois sur de bien interpréter...

Ca veut dire quoi par exemple cette ligne :
tcp 0 0 xxx.xxx.xxx.xxx:587 5.138.31.169:54990 ESTABLISHED 18392/smtpd

SYN_SENT signifie quoi?

bonjour,

J'ai un pb de spam avec un de mes serveurs VPS en release 3 OVH
Je précise que je ne suis pas hyper pointu coté admin système.
Il m'a semblé repérer l'adresse ip qui spammait (avec un netstat -paunt)
J'ai ajouté dans iptables une ligne pour bloquer cette ip (merci gogole) ce qui me donne dans iptables :

Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- mta-v2.mail.vip.ne1.yahoo.com anywhere
DROP all -- mx00.kundenserver.de anywhere
DROP all -- mx3c52.megamailservers.eu anywhere
DROP all -- mx-gate100-haj2.antispameurope.com anywhere
DROP all -- mxe02.berenberg.de anywhere

Mais bien sûr de nouvelles adresses ip sont arrivées.
Je me suis alors dit que j'allais bloquer le port 25 sauf pour mon serveur.
J'ai donc ajouté deux commandes :
iptables -A OUTPUT -p tcp ! -s IPDUSERVEUR --dport 25 -j DROP
et
iptables -A OUTPUT -p tcp ! -s 127.0.0.1 --dport 25 -j DROP

Ce qui donne :
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
DROP tcp -- !localhost.localdomain anywhere tcp dpt:smtp
DROP tcp -- !vpsxxxxx.ovh.net anywhere tcp dpt:smtp

Mais il semble que certains emails envoyés par mon serveur (via prestashop) ne partent pas.
Je reçois les mails de commandes passées mais le client qui a passé la commande ne recoit rien.

Est ce que j'ai fait un truc qu'il ne faut pas?

Je veux (voudrais) simplement empêcher que mon serveur SMTP soit utilisé depuis une ip autre que mon serveur.
Je veux malgré tout que mes boutiques puissent envoyer des mails à mes clients dont les boites ne sont bien sur pas sur mon serveur.

J'avoue ne pas maitriser iptables et certainement qu'il me manque des concepts en matière de mail aussi. Donc si, sans trop vulgariser, on pouvait m'expliquer pourquoi comment et quelles erreurs je fais...?
(en evitant de me dire que l'erreur est d'utiliser la release 3.... )

Merci!