 |
Pour les utilisateurs cela devrait se traduire par des mails non reçus quand envoyés depuis Shelter. - Barracuda Central L'IP a été passée en "normal" niveau réputation suite à ma demande pendant au moins 48h. La demande de délistage a été prise en compte. - Backscatterer Il faut payer 89CHF pour être délisté manuellement et rapidement, sinon attendre 4 semaines. La dernière vague de spam enregistrée était le 20/04 du coup le délistage aura vraisemblablement lieu le 20/05 A voir si beaucoup utilisent cette blacklist en paritculier; J'ai aussi crée un compte sur mxtoolbox pour monitorer les blacklistages. Je laisse ouvert tant que c'est pas proprement délisté |
|
|
Suppression de barracuda OK, faut attendre 24/48h que ça se propage. Pendant 30j. Dans 30j l'IP sera réévaluée mais ça devrait être OK |
|
|
Reçu un mail hier comme quoi on avait été retiré de Barracuda central (d'après mxtoolbox) |
|
|
Apparement on est toujorus sur backscatterer et je sais pas comment ça se fait. Il semblerait que la dernière fois qu'on a eu un souci était le 31 Mai. Je pensais pourtant que ça avait été résolu Là je sais pas trop quoi fair pour trouver d'où ça peut venir... |
|
|
Ah j'ai oublié l'URL : http://www.backscatterer.org/index.php |
|
|
A total of 10 Impacts were detected during this listing. Last was 31.05.2019 01:35 CEST +/- 1 minute. Earliest date this IP can expire is 28.06.2019 01:35 CEST. Donc à priori pas de nouveau ping depuis le 31/05 ce qui est quand même un poil bizarre. |
|
|
A noter également que actuellement ça ne fait chier que les gens voulant s'inscrire sur issues.shelter.moe. Les mails envoyés par ce dernier sont systématiquement refusés. J'ai pas eu d'autres retours comme quoi des mails n'auraient jamais été reçus, après c'est toujours difficile de se rendre compte. |
 |
Faille dans un des sites web qui peut envoyer des mails : je ne sais pas lequel par contre. On peut empêcher www-data d'envoyer des mails |
|
|
Possibilité de tracer quel site php, mais faut que je refasse la conf de tous les sites (et de postfix) |
|
|
C'est bien ce que je me disais, y'a un moyen pour faire ça il me semble. Si tu as un bon tuto/site à conseiller, je peux t'aider à le faire après. |
|
|
Apparement des gens voulant s'inscrire sur Mastodon ne peuvent pas recevoir le mail de vérification. Je suis allé voir backscatterer, apparement pas eu de nouvel envoi de spam, on est toujours schedule pour être retirés le 28/06 |
|
|
On a été retiré |
|
|
Je rouvre car on a été remis dessus le 07/07 et je sais pas trop comment identifier le script qui pourrait envoyer des mails... |
|
|
Pas le temps de m'en occuper avant septembre au mieux |
 |
https://www.php.net/manual/fr/mail.configuration.php#ini.mail.log dans le php.ini, on peut indiquer un nom de fichier pour loguer les scripts utilisant la fonction mail() (on pourrait le mettre dans /var/log/phpmail.log ) |
|
|
J'ai ajouté le paramètre à /etc/php/7.2/fpm/php.ini J'ai crée un fichier vide avec les mêmes permissions que php7.2-fpmlog dans /var/log J'ai ajouté le fichier à la rotation des logs dans /etc/logrotate.d/php7.2-fpm Faudrait quand même trouver de quoi auditer la commande système mail. |
|
|
J'ai identifié le coupable présumé : un wordpress mal configuré qui n'avait pas de recaptcha pour les inscriptions, du coup la majorité des mails partant de php venait de là J'ai vu avec l'auteur et ça a été réparé le 28/08 et le dernier hit d'après backscaterer date de ce jour-là, donc rendez-vous dans un mois pour ovir si on est effectivement retiré ou si ça vient d'autre chose |
|
|
On est toujours sur Backscatterer et ça fait chier. A total of 26 Impacts were detected during this listing. Last was 11.09.2019 21:34 CEST +/- 1 minute. Accessoirement je tombe sur ça dnas les logs : Sep 11 21:34:04 shelterv2 postfix/smtp[9766]: 3C4951A0163: to=<keul125@gmail.com >, orig_to=<keul@keul.fr>, relay=gmail-smtp-in.l.google.com[2a00:1450:400c:c0c:: 1a]:25, delay=0.43, delays=0.06/0.02/0.19/0.17, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[2a00:1450:400c:c0c::1a] said: 550-5.7.1 [2001:41d0:2: f15a::] Our system has detected that this message does 550-5.7.1 not meet IPv6 s ending guidelines regarding PTR records and 550-5.7.1 authentication. Please rev iew 550-5.7.1 https://support.google.com/mail/?p=IPv6AuthError for more informa tion 550 5.7.1 . p78si3191986wme.173 - gsmtp (in reply to end of DATA command)) Je suppose que Keul a pas fait un truc comme il fallait dans sa déclaration DNS parce que j'ai jamais vu cette erreur avant |
|
|
Oui, c'est pas fait correctement pour la déclaration DNS |
|
|
J'ai remove php-mail de shelterv2 Si les gens veulent des mails pour leurs sites, il leur faudra configurer correctement la partie mail avec un compte mail (qu'on leur filera) |
|
|
En regardant les logs on est encore blacklist : toujours lié à un mail de keul... Oct 3 20:58:38 shelterv2 postfix/smtpd[29149]: 1928B1A00B5: client=unknown[213.109.235.231] Oct 3 20:58:39 shelterv2 postfix/cleanup[18532]: 1928B1A00B5: message-id=<5B0CD468.42C0CA34@losaass.it> Oct 3 20:58:41 shelterv2 opendkim[2613]: 1928B1A00B5: can't parse From: header value '=?ISO8859-16?B?IkF1ZHJpbmEiIDxUZXJyeUxld2lzdmV5bmFAbG9zYWFzcy5pdD4=?=' Oct 3 20:58:41 shelterv2 postfix/qmgr[3425]: 1928B1A00B5: from=<TerryLewisveyna@losaass.it>, size=28018, nrcpt=1 (queue active) Oct 3 20:58:41 shelterv2 postfix/smtpd[18556]: 8BF321A0383: client=localhost[127.0.0.1], orig_queue_id=1928B1A00B5, orig_client=unknown[213.109.235.231] Oct 3 20:58:41 shelterv2 postfix/cleanup[18532]: 8BF321A0383: message-id=<5B0CD468.42C0CA34@losaass.it> Oct 3 20:58:41 shelterv2 opendkim[2613]: 8BF321A0383: can't parse From: header value '=?ISO8859-16?B?IkF1ZHJpbmEiIDxUZXJyeUxld2lzdmV5bmFAbG9zYWFzcy5pdD4=?=' Oct 3 20:58:41 shelterv2 postfix/qmgr[3425]: 8BF321A0383: from=<TerryLewisveyna@losaass.it>, size=28923, nrcpt=2 (queue active) Oct 3 20:58:41 shelterv2 amavis[2106]: (02106-13) Passed CLEAN {RelayedOpenRelay}, [213.109.235.231]:34387 [67.97.10.52] <TerryLewisveyna@losaass.it> -> <keul@keul.fr>, Queue-ID: 1928B1A00B5, Message-ID: <5B0CD468.42C0CA34@losaass.it>, mail_id: O_03Z7sg1LMI, Hits: -, size: 28497, queued_as: 8BF321A0383, 181 ms Oct 3 20:58:41 shelterv2 postfix/lmtp[18554]: 1928B1A00B5: to=<keul@keul.fr>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.7, delays=3.6/0.01/0/0.18, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8BF321A0383) Oct 3 20:58:41 shelterv2 postfix/qmgr[3425]: 1928B1A00B5: removed Oct 3 20:58:41 shelterv2 postfix/virtual[18557]: 8BF321A0383: to=<keulbox@keul.fr>, orig_to=<keul@keul.fr>, relay=virtual, delay=0.27, delays=0.1/0.01/0/0.15, dsn=2.0.0, status=sent (delivered to maildir) Oct 3 20:58:42 shelterv2 postfix/smtp[18558]: 8BF321A0383: to=<keul125@gmail.com>, orig_to=<keul@keul.fr>, relay=gmail-smtp-in.l.google.com[74.125.133.27]:25, delay=0.57, delays=0.1/0.01/0.26/0.19, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[74.125.133.27] said: 550-5.7.1 [176.31.224.90 14] Messages missing a valid address in From: 550 5.7.1 header, or having no From: header, are not accepted. h17si2785477wmb.8 - gsmtp (in reply to end of DATA command)) Oct 3 20:58:42 shelterv2 postfix/bounce[18561]: 8BF321A0383: sender non-delivery notification: C91381A04DE Oct 3 20:58:42 shelterv2 postfix/qmgr[3425]: 8BF321A0383: removed |
|
|
Changement de milter_default_action = accept en milter_default_action = tempfail dans /etc/postfix/main.cf pour check si ça peut endiguer les merdes. Le problème est lié à A From: header field containing only that is not legal. See RFC2047 section 5. The <user@host> portion can't be encoded. |
|
|
Je m'aperçois que j'avais pas posté les explications de backscatterer sur pourquoi ça gêne, donc je le fais ici : Please note that this listing does NOT mean you are a spammer, it means your mailsystem is either poorly configured or it is using abusive techniques. This kind of abuse is known as BACKSCATTER (Misdirected Bounces or Misdirected Autoresponders or Sender Callouts). Click the links above to get clue how and why to stop that kind of abuse. To track down what happened investigate your smtplogs near 09.10.2019 17:58 CEST +/-1 minute. You will either find that your system tried to send misdirected bounces or misdirected autoresponders to claimed but in reality faked senders, or your system tried sender verify callouts against our members near that time. So you should look for outgoing emails that have a NULL SENDER or POSTMASTER in MAIL FROM. |
|
|
Changement majeur dans le check des headers et la conf postfix : si problème me prévenir en urgence |
|
|
Ca à l'air good avec les derniers changements :) |
- Anonymous
