Bonjour à tous,
cela fait plus de 2 ans que j'ai des serveurs chez OVH/
J'ai dû déménager mes serveurs sur des nouveaux serveurs en Février.
Réinstallés quasiment à l'identique, différences : debian 6 au lieu de débian 5 et le kernel qui est du coup plus récent ainsi que tous les package apache postfix, etc ...
Je fais de l'hébergement de site web, j'utilise DTC comme gestionnaire de sites web.
Depuis plus de deux ans, tout fonctionnait très bien, depuis le déménagement c'est la grosse galère ...
depuis la mi mars mon serveur sert de relai spam ... et pourtant d'après tous les tests que je fais nous ne sommes pas openrelay ...
voici un exemple d'entête de spam qu'on reçoit :
http://zy0.de/q/176.31.99.68
Entre temps j'ai effectué plusieurs tests.
- j'utilise webmin pour superviser postfix et autres.
- j'ai installé logwatch, rkhunter, fail2ban et d'autres utilitaires pour diagnostiquer et protéger mon serveur, ils me disent plein de chose mais rien de vraiment concluant me permettant de comprend la source du problème
- rkhunter me dit cependant tous les jours "Please inspect this machine, because it may be infected." or après certaines analyses, ma machine ne semble pas infectée ...
- J'ai configuré iptables afin de bloquer le port 25 en sortie uniquement le temps de trouver une solution, du coup mon serveur ne sert plus de relai, mais les emails de mes clients restent aussi bloqué dans la file d'attente de postfix ...
- J'ai configuré TLS/SSL sur mon serveur SMTP, débloqué le port 587 (submission), dans mon client mail du coup, impec, je peux soit envoyer des mails via le port 587 ou via le port 465 de façon sécurisé, or, au niveau de mon serveur, les emails transitent toujours au final sur le port 25 et donc restent bloqué dans la file d'attente de postfix
(connect to alt4.gmail-smtp-in.l.google.com[173.194.79.26]:25: Connection timed out)
Cela fait maintenant presque un mois que je test tout pour sécuriser ce qui reste à sécuriser, à remettre en question toute mon installation et ma configuration, à scruter internet à la recherche de l'information que je ne sais pas, à essayer diverses configurations récupérées par ci ou par là, rien n'y fait, au bout de plusieurs heures, 24h max, le spam reprend ... et je dois bloquer le port 25 pour éviter de me faire blacklister ...
Il-y a t'il une solution (un peu bourrin certes mais bon), pour bloquer définitivement le port 25 en sortie via iptables et obliger les emails à sortir exclusivement soit par le port 465 soit par le port 587 ?
Pour informations, voici la mécanique des spam dont on est victime :
- des emails sous la forme de "hugo20037@aol.com" ou "benny12335@aol.com" (tous les noms y passent et les numéros changent également, en général on se fait attaquer par vague de même nom suivi de chiffres différents @aol.com)
donc comme je disais, des mails sous la forme de "XXXX12345@aol.com" se font passer pour notre serveur et envoient des emails à des adresses diverses qui n'ont pas l'air d'exister mais qui changent là par contre à chaque fois.
- comme les adresses destinatrices n'existent pas, du coup retour de mail en erreur à l'adresse
XXXX12345@aol.com qui du coup pointe vers notre serveur en raison de l'ip contenu dans l'entête je pense, etc ...
par jour, des 100ène de mails transitent ainsi si je laisse le port 25 ouvert, en moyenne 300 mails par jours d'après mes derniers logs ...
Voilà, merci d'avance si quelqu'un peut me trouver une solution ... on désespère limite ...
A bientôt
Léandre