OVH Community, votre nouvel espace communautaire.

Compatibilité solution GFIMax MailProtection et service mail OVH


elyotherm
06/02/2012, 13h20
Bonjour à tous les deux !

Une réponse tardive car suite à vos conseils, nous avons employé les grands moyens (formatage et réinstallation) sur nos machines.

Ainsi, malheureusement, sans vouloir remettre en doute vos compétences, je ne pense pas que le problème vienne d'un problème de mot de passe dérobé ou d'un troyen. Car les NDR continuent, avec plus ou moins de virulence suivant les jours. Êtes-vous réellement sur de l'interprétation du header ?

Par exemple :
Delivery has failed to these recipients or groups:

j_krussell@centurytel.net
The e-mail address you entered couldn't be found. Please check the recipient's e-mail address and try to resend the message. If the problem continues, please contact your helpdesk.

The following organization rejected your message: mx1c35.carrierzone.com.

Diagnostic information for administrators:

Generating server: mo2.mail-out.ovh.net

j_krussell@centurytel.net
mx1c35.carrierzone.com #... User unknown> #SMTP#

Original message headers:

Return-Path:
Received: from mail190.ha.ovh.net (b6.ovh.net [213.186.33.56]) by
mo2.mail-out.ovh.net (Postfix) with SMTP id A3194DC45D1 for
; Mon, 6 Feb 2012 14:17:22 +0100 (CET)
Received: from b0.ovh.net (HELO queueout) (213.186.33.50) by b0.ovh.net with
SMTP; 6 Feb 2012 15:15:17 +0200
Received: from 109.178.220.87.dynamic.jazztel.es (HELO elyotherm.fr)
(contact@elyotherm.fr@87.220.178.109) by ns0.ovh.net with SMTP; 6 Feb 2012
15:15:14 +0200
From: Naomi Watts
X-Ovh-Mailout: 178.32.228.2 (mo2.mail-out.ovh.net)
Subject: You in sexy moms underwear?
To:
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="UTF-8"
Reply-To: Naomi Watts
Date: Mon, 6 Feb 2012 14:15:15 +0100
X-Ovh-Tracer-Id: 15159679295954029316
Message-ID: <87.220.178.109.1328534115.4190@ns0.ovh.net>
X-Ovh-Remote: 87.220.178.109 (109.178.220.87.dynamic.jazztel.es)
X-Ovh-Local: 213.186.33.20 (ns0.ovh.net)
X-OVH-SPAMSTATE: OK
X-OVH-SPAMSCORE: 0
X-OVH-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrfeegtddrgedtucetggdote fuucfrrhhofhhilhgvmecuqfggjfenuceurghilhhouhhtmecu fedttdenucenucfhrhhomhepfdfprghomhhiucghrghtthhsfd cuoegtohhnthgrtghtsegvlhihohhthhgvrhhmrdhfrheqnecu ffhomhgrihhnpehsrghmmhgrshhtvghrrdgtohhmnecujfgurh ephffuvffgtghrsehtkedttddttdej
X-Spam-Check: DONE|U 0.511098/N
X-VR-SPAMSTATE: OK
X-VR-SPAMSCORE: 0
X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrfeegtddrgedtucetggdote fuucfrrhhofhhilhgvmecuqfggjfenuceurghilhhouhhtmecu fedttdenucenucfhrhhomhepfdfprghomhhiucghrghtthhsfd cuoegtohhnthgrtghtsegvlhihohhthhgvrhhmrdhfrheqnecu ffhomhgrihhnpehsrghmmhgrshhtvghrrdgtohhmnecujfgurh ephffuvffgtghrsehtkedttddttdej
MIME-Version: 1.0
Alors maintenant nous sommes bien coincés : car avec l'offre d'OVH hosted exchange, on ne peut pas changer notre adresse mail, et vous semblez aussi dire que les filtrages des solutions évoquées plus haut ne seront pas forcément efficaces ...

Comme dirait l'autre, "What else ?" ...

Bien cordialement,
Jean
fritz2cat
21/01/2012, 09h24
L'adresse chinoise est peut-être celle d'un pc d'une mémé, qui est infecté par un bon gros trojan et contrôlé à distance.

Frédéric
fritz2cat
21/01/2012, 09h21
Vois les dates dans les retours-erreur (parfois en pièce jointe). Si tout est en russe, au moins il n'y aura que ça de lisible.

Maintenant qu'on sait que le mot de passe de contact@ a été compromis il faut tirer les conclusions qui s'imposent.

1- Soit il était trop facile et il a pu être découvert lors d'une attaque de type bruteforce / dictionary attack.
2- Soit il a été dérobé par un virus/trojan sur une machine où il était sauvegardé dans Outlook / Outlook Express / Thunderbird / ...
3- Soit il a été dérobé par un virus/trojan via un "keyboard logger".
4- Soit il a été dérobé alors que tu utilisais un réseau douteux, par exemple un WiFi non sécurisé ou un WiFi qui ne t'appartient pas, dans lequel un "sniffer" a capturé ton password lorsque tu ouvres ta messagerie.

Pour les 2 et 3 c'est très grave, et tu es invité à changer depuis une machine saine tous tes mots de passe sauvegardés ou utilisés depuis la machine infectée.
La désinfection je n'y crois pas. Reformatter et réinstaller.

Pour le 4 utiliser des connexions sécurisées SMTP et IMAP TLS/SSL ou alors établir un VPN avant de balancer des mots de passe qui voyagent en clair sur le fil ou le sans-fil.

Frédéric
elyotherm
21/01/2012, 00h13
Vraiment merci beaucoup pour votre aide à tous les deux ! Très sympa

Mais à nouveau, ce que je ne comprend pas, c'est que le password a bien été changé sur le compte "contact" (depuis une machine en dehors de notre périmètre) et que les retour de mail ont continué ... De plus, nos machines ne semblent pas infectées (virus ou autres). Alors comment les "chinois" récupèraient le mdp ? Pour info, l'adresse accolée n'était pas toujours 60.222.226.210.

En outre, en bloquant (avec les règles de courriers indésirables de outlook) les .ru (ainsi que les mails avec caractères russes), le tri fonctionnait bien (mais peut-être comme vous semblez l'indiquer uniquement à cause des caractères et non du domaine).

De plus, depuis le milieu de l'après-midi, plus rien ?! Est-que ça va continuer ... on verra demain ...

Est-ce que les retours pourraient-être des retours d'erreur de "vieux" envois juste avant le changement de mdp ?

Encore merci.
Jean
fritz2cat
20/01/2012, 16h41
Je plussoie Toorop pour dire que des chinois à l'adresse IP 60.222.226.210 ont volé les identifiants de ta boîte aux lettres contact@ et postent leur crasse depuis la Chine.

Cette adresse est d'ailleurs identifiée pour héberger des spammeurs:
http://www.projecthoneypot.org/ip_60.222.226.210

Voir aussi http://www.blacklistalert.org/
Cette plage IP est mal gérée: < Forward DNS for 210.226.222.60.adsl-pool.sx.cn is: 65.19.157.228. >>

Les block lists majeures l'ont mis en liste noire (cbl.abuseat.org, zen.spamhaus.org, etc)

Tout porte à croire donc que ce diagnostic est irréfutable.

Change immédiatement le mot de passe de cette boîte si ce n'est pas déjà fait.

Frédéric
Toorop
20/01/2012, 13h15
Citation Envoyé par elyotherm
Je ne maitrise pas forcément toutes les suptilités techniques des headers, mais le "contact.arobase.elyotherm.fr@60.222.226.210" ne serait-ce pas en fait simplement une technique pour faire encore croire justement ce que tu avance ?
Possible mais peu probable.

Avec Outlook, on peut ajouter dans les règles de filtrage du courrier indésirables ce type de règles. C'est d'ailleurs ce que l'on fait pour l'instant (filtrage sur les domaines en .ru et avec caractères en provenance de pays avec lesquels nous ne devons normalement pas recevoir de mail).

Alors pourquoi les solution ProtectMail ou GFi ne pourrait pas faire la même chose ?
Ces mails de bounce ne viennent pas de Russie mais des serveurs d'OVH.
Donc bloquer les mails venant de Russie ne t'apporterait pas grand chose

Ce qui se passe d'apres les échantillons fournis :

- Un spammeur utilise des adresses @elyotherm.fr comme adresses d'expedition de spams.

- Ces spams sont emis en utilisant tes acces aux SMTP d'OVH, d'ou les :
Code:
Received: from unknown (HELO yixrjphjgdc)
 (contact@elyotherm.fr@60.222.226.210)  by ns0.ovh.net with SMTP; 14 Jan 2012 19:40:48 +0200
- Les serveurs d'OVH n'arrivent pas a transmettre les mails.
Exemple d'erreur :
Code:
mxs.mail.ru # #SMTP#
- Donc le SMTP sortant d'OVH, va retourner un message d'erreur a l'expediteur déclaré, en l'occurrence l'adresse en @elyotherm.fr.

- Et ce sont ces messages que tu reçois.
elyotherm
20/01/2012, 09h49
Bonjour Toorop,

Merci pour ta réponse. Désolé pour ma réponse tardive, mais tu nous a foutu la trouille ! et on a donc passé au peigne fin tous les matériels (sans trop y croire non plus car assez bien protégé on va dire).

Enfin, bref, je ne pense pas que ce soit qqun qui utilise notre compte (d'ailleurs le mdp a été changé et toujours pareil, des milliers de NDR en provenance de la Russie chaque jours).

Je ne maitrise pas forcément toutes les suptilités techniques des headers, mais le "contact.arobase.elyotherm.fr@60.222.226.210" ne serait-ce pas en fait simplement une technique pour faire encore croire justement ce que tu avance ? Est-ce qu'un admin OVH pourrait nous confirmer cela ?

PS: Le filtrage sur la zone géographique ne donnerait rien dans ton cas puisque le bounce est généré mail un "mail-out" OVH
Avec Outlook, on peut ajouter dans les règles de filtrage du courrier indésirables ce type de règles. C'est d'ailleurs ce que l'on fait pour l'instant (filtrage sur les domaines en .ru et avec caractères en provenance de pays avec lesquels nous ne devons normalement pas recevoir de mail).

Alors pourquoi les solution ProtectMail ou GFi ne pourrait pas faire la même chose ?

Merci pour tes éclaircissements.

Bien cordialement,
Jean
Toorop
15/01/2012, 06h35
Hum je ne voudrais pas t'affoler, mais j'ai jeté un coup d'oeil rapide aux bounces que tu as mis sur pastebin et il semblerait que l'on se servent des tes identifiants SMTP pour envoyer des spams.

Si on regarde par exemple les headers du spam envoyé, qui sont contenu dans le premier bounce que tu as mis sur pastebin :

Code:
Original message headers:
 
Return-Path: 
Received: from mail239.ha.ovh.net (b9.ovh.net [213.186.33.59])  by
 mo1.mail-out.ovh.net (Postfix) with SMTP id 205E710302E7       for
 ; Sat, 14 Jan 2012 18:42:12 +0100 (CET)
Received: from b0.ovh.net (HELO queueout) (213.186.33.50)       by b0.ovh.net with
 SMTP; 14 Jan 2012 19:40:51 +0200
Received: from unknown (HELO yixrjphjgdc)
 (contact@elyotherm.fr@60.222.226.210)  by ns0.ovh.net with SMTP; 14 Jan 2012
 19:40:48 +0200
On voit que le mail a été injecté en se connectant a ns0.ovh.net via la compte contact@elyotherm.fr depuis l'IP 60.222.226.210.

Si l'on considere que ces headers ne sont pas falsifié, SMTP AUTH a été utilisé pour pouvoir relayer sur ns0. Ce qui veux dire que le spammeur a ton mot de passe.

Reste a savoir comment il l'a eu....

- Il est super simple
- Ta machine est compromise (keylogger)
- Il a trainé quelque part
- Autre

Ce que je te conseille dans un premier temps : Depuis *une autre machine que la tienne* (idéalement sur un autre réseau) connecte toi a ton interface OVH et change tous les mots de passe. Change aussi tous les mots de passe critiques (si tu as un keylogger l'attaquant a pu récupérer pas mal de choses...).

Apres il te faut chercher comment ce mot de passe a été récupéré.
Tu as un AV résident et a jour sur ta machine ?

PS: Le filtrage sur la zone géographique ne donnerait rien dans ton cas puisque le bounce est généré mail un "mail-out" OVH.
elyotherm
14/01/2012, 18h00
Bonjour Toorop,

Merci beaucoup pour le temps pris pour nous répondre.

La vague de NDR Spam dure depuis environ une dizaine de jours, avec de légères accalmies en nombre de réception certains jours mais c'est pratiquement toutes les minutes une réception.

Si je comprends bien, ce n'est pas sûr que la solution ProtectMail puisse filtrer tous les bounces (en tout cas ceux qui n'ont pas le spam d'origine, ce qui semble être parfois notre cas). En revanche, si j'ai bien compris la solution GFi, il est semble-t-il possible de filtrer sur pays (zone géographique), langues, etc ... Cela pourrait nous être utile car en ce moment nous recevons apparemment pas mal de NDR russes !

Je confirme sinon que c'est bien une adresse existante qui est usurpée.

Je vous joins quelques copies de bounce :
message 1
message 2
message 3
message 4

Merci d'avance.
Jean
Toorop
13/01/2012, 04h43
Bonjour,

Avant toute chose, pour qu'il n'y ait pas d'ambiguité, je tiens a preciser que je bosse pour Protecmail.

Concernant ton problème, c'est assez courant mais contrairement a ce que l'on peut penser ce n'est pa si simple que ça a résoudre.

Il y a deux cas :
  • Les bounces qui "embarquent" le spam d'origine : ils sont facile a filtrer car le scanner va être chatouillé par le spam inclus.
  • Les bounces qui ne l'intègrent pas : la c'est beaucoup plus complexe car on n'a pas d'éléments objectifs pour le différencier d'un bounce légitime.


Sinon :

- Tu as ce problème depuis quand ? (en général ce sont des vagues qui ne durent pas plus de 4-5 jours, si c'est plus long il se peut qu'il y ait un problème ailleurs.)

- Peux tu mettre quelque part (par exemple sur pastebin) des échantillons complets de ces bounces (headers + corps) que je jette un oeil.

- Tu confirmes que tu n'as pas de catchall et que ces bounces arrivent uniquement sur des adresses existantes ? ( des adresses génériques (contact@, info@,...) donc ?)

Si tu le souhaites tu peux me contacter en PV par mail : toorop@protecmail.com

PS: oui je sais c'est mal de mettre son adresse mail "en clair" sur un forum, mais que voulez vous ? moi j'aime etre spammé
elyotherm
12/01/2012, 22h53
En fait le NDR Spam dont nous sommes victimes est effectivement quand les spammeurs qui cannardent des adresses mails qui n'existent pas forcément ou qui refusent l'IP de l'expéditeur, utilisent en adresse de retour ton adresse mail qui elle existe bel et bien !!

Nous recevons ainsi en retour des tas de "Delivery has failed to these recipients or groups" ou des variantes. Quand je dis des tas, c'est des milliers par jours ! C'est vraiment très très pénibles ... et je comprend vraiment pas pourquoi les standards de messagerie ou les technologies n'évoluent pas pour contrer ce type de spam ...

Bonne soirée.
Jean
pokinwilly
12/01/2012, 20h50
Citation Envoyé par elyotherm
Nous subissons essentiellement du NDR Spam : est-ce que ProtectMail permet de filtrer correctement ce type de message (sans supprimer par exemple les echecs légitimes d'envoi de mail, quand qu'un se trompe dans une adresse mail par exemple).
Si NDR fait référence aux messages d'erreur genre boite mail saturée ou inexistante, je dirais que oui, les messages d'erreur légitimes passent, les spams sont stoppés.

Attention, aucune protection antispam n'est parfaite, il y a quelques erreurs (du spam qui passe ou du message légitime bloqué), mais un coup d'oeil dans le mail de quarantaine de la veille permet de se rassurer (et repêcher les mails arrêtés par erreur). Et il est possible de soumettre les messages de spam passés à travers. Dans tous les cas, en ce qui me concerne, bien moins que quand j'utilisais l'antispam OVH !
elyotherm
12/01/2012, 19h26
Bonsoir Christophe et Pokinwilly,

Merci beaucoup pour votre retour... je vais donc regarder votre solution de plus près.

Pouvez-vous simplement me confirmer une chose ? Nous subissons essentiellement du NDR Spam : est-ce que ProtectMail permet de filtrer correctement ce type de message (sans supprimer par exemple les echecs légitimes d'envoi de mail, quand qu'un se trompe dans une adresse mail par exemple).

Encore merci.
Bonne soirée.
Jean
tof_mio
12/01/2012, 07h53
Citation Envoyé par elyotherm
Nous aurions voulu savoir si la solution hébergée de GFI (GFI Max MailProtection), qui semble pouvoir aussi filter de manière "intelligente" les NDR, serait compatible avec le service mail d'OVH (nous avons des adresses mail classiques et aussi hosted exchange). Il semble qu'il ne faille que rediriger le MX ?

Et si cette solution va nous permettre effectivement de réduire notre soucis de spam NDR ? Quelqu'un a-t-il testé ?

A moins que vous connaissiez d'autres solutions au niveau d'OVH ou autres systèmes ?
Bonjour Jean,

Je ne connais pas GFI mais si tu es abonné sur une des ML OVH tu verras qu'il y a trois prestataires principaux :

- OVH qui propose une solution antispam sur leur BAL mutualisées. Je n'utilise pas et cette solution semble mériter pour le moment d'un peu de vieillissement (comme le vin) car il semble que les faux positifs soient un peu plus nombreux que la moyenne d'après les retours sur les ML.

- KHSrakoonsky qui propose une solution que je n'ai pas très bien comprise, mais à priori ils ont une solution sur laquelle tu fais pointer tes MX puis ils font le travail. Je n'utilise pas.

- Protecmail (www.protecmail.com) qui propose également une solution sur laquelle tu fais pointer tes MX et ils te livrent les mails propres. Pour ma part, j'utilise cette solution et j'en suis particulièrement satisfait. C'est complètement paramétrable, tu peux choisir si les mails foireux partent en quarantaine ou t'arrivent directement taggé (c'est ton client de messagerie qui fait le tri). Si tu choisi de laisser les mails en quarantaine, tu recois quotidiennement un mail de résumé des mails bloqués (tu peux le personnaliser aux couleurs de ta boite). Si jamais y'a un faux positif, tu cliques sur un lien et tu le recois immédiatement et les admins de protecmail sont alertés afin de régler leur outil. De plus, ils ont une fonction très originale, et j'ai l'impression qu'ils sont les seuls à le proposer, c'est qu'ils sont capables de marquer les mails de pub. C'est à dire ceux qui sont entre spam et mail utile, ainsi tu peux faire une règle de messagerie et ces mails là t'arrivent et sont triés. PAr exemple : les mails de promo de voyages-sncf t'arrivent correctement mais vont direct au bon endroit grace à la règle de ton client de messagerie. Le dernire pour la route, ils ont aussi un antivirus, mais ca je pense que c'est standard pour les trois solutions évoquées.

J'espère que cela te sera utile,
Bonne journée,
A bientot,
Christophe
pokinwilly
12/01/2012, 07h17
Citation Envoyé par elyotherm
A moins que vous connaissiez d'autres solutions au niveau d'OVH ou autres systèmes ?
Je connais/utilise/recommande http://www.protecmail.com : c'est ultra-efficace, compatible OVH (à priori, les serveurs sont même directement sur le réseau OVH) et vraiment pas cher.
elyotherm
11/01/2012, 17h33
Bonjour à tous,

Nous recevons (comme certainement beaucoup ) des milliers de spam de type "Spam NDR" chaque jours.

Nous aurions voulu savoir si la solution hébergée de GFI (GFI Max MailProtection), qui semble pouvoir aussi filter de manière "intelligente" les NDR, serait compatible avec le service mail d'OVH (nous avons des adresses mail classiques et aussi hosted exchange). Il semble qu'il ne faille que rediriger le MX ?

Et si cette solution va nous permettre effectivement de réduire notre soucis de spam NDR ? Quelqu'un a-t-il testé ?

A moins que vous connaissiez d'autres solutions au niveau d'OVH ou autres systèmes ?

Merci d'avance pour votre aide.
Bien cordialement,
Jean