Je suis en grande galère, j'espère de tout coeur que vous pourrez me donner des pistes :
Depuis le début de la semaine nous sommes envahit de SPAMS de toute part, oui, tout d'un coup ! Le pire c'est qu'on reçoit même des spams venus de nous même
Le problème c'est qu'en quelque jours le problème a pris tellement d'ampleur que notre IP est blacklistée chez pleins de systèmes anti-spams (Blocklist, spamhaus, orange BL, spamcop,...) du coup c'est l'enfer.
Le pire c'est que je ne comprend pas comment est-ce que cela a pu arriver, les spams ne sont pas envoyés de l'extérieur, ils passent bien par notre serveur smtp car je les retrouve tous dans /qmail/current. Je serais bien tenté de vous copier le log ici, mais il y a pleins de mails de clients et de fournisseur parmis tout cela et je ne peux pas les diffuser. Mais voici un exemple d'envoi de spam que l'on retrouve :
- Code : Tout sélectionner
2013-09-26 23:23:18.600049500 new msg 7373559
2013-09-26 23:23:18.600050500 info msg 7373559: bytes 1961 from <mike.sfsd4f564s6df45dsyota@gmail.com> qp 16433 uid 101
2013-09-26 23:23:18.607262500 starting delivery 944: msg 7373559 to local alias-localdelivery-admin-junkmail@mega-p.fr
2013-09-26 23:23:18.607264500 status: local 2/10 remote 0/20
2013-09-26 23:23:18.607265500 delivery 943: success: condredirect:_qp_16433/did_0+0+1/
2013-09-26 23:23:18.607267500 status: local 1/10 remote 0/20
2013-09-26 23:23:18.607268500 end msg 7373566
2013-09-26 23:23:18.645800500 new msg 7373566
2013-09-26 23:23:18.645802500 info msg 7373566: bytes 2089 from <mike.sfsd4f564s6df45dsyota@gmail.com> qp 16436 uid 400
2013-09-26 23:23:18.649533500 starting delivery 945: msg 7373566 to local admin-junkmail@gaston.mega-p.fr
2013-09-26 23:23:18.649535500 status: local 2/10 remote 0/20
2013-09-26 23:23:18.649536500 delivery 944: success: forward:_qp_16436/did_0+0+1/
2013-09-26 23:23:18.649538500 status: local 1/10 remote 0/20
2013-09-26 23:23:18.649539500 end msg 7373559
2013-09-26 23:23:18.854560500 delivery 945: success: did_1+0+1/
2013-09-26 23:23:18.854562500 status: local 0/10 remote 0/20
2013-09-26 23:23:18.854563500 end msg 7373566
Je ne comprend pas où chercher !
Est-ce une usurpation d'adresses mails ? Ce qui est vraiment étrange c'est que certains de ces mails sont adressés à des boites mails n'existant plus depuis de nombreuses années, certaine même n'ont jamais existé.
Une usurpation d'IP ? Non car nous disposons de 8 adresses IP fixes sur le net et j'ai tenté de nous connecter à une autre IP pour savoir si par hasard cela pouvait être cela. Ca n'a rien changé..
Serait-ce une intrusion dans notre SMTP ? C'est inquiétant mais est-ce vraiment possible ?
Je suis en train de voir à mettre un antispam en sortie, mais ce n'est que contourner le problème non ?
Merci beaucoup pour votre aide
EDIT : Je viens de voir que d'après le fichier /qpsmtpd/current les spams sont en plus envoyé depuis de nombreuses adresses IP (en plus d'être envoyé bien sûr depuis de nombreuses adresses mails). Donc, impossible de blacklister toutes ces IP manuellement...
Une piste ?
EDIT 2 : D'après mes recherches il semble que certaines de nos machines soient infectées par un virus qui les fait participer à un réseau botnet. Je suis actuellement ce tuto :http://forum.malekal.com/spambot-identifier-une-machine-qui-spam-sur-reseau-lan-t27238.html#p218766
Mais n'y a-t-il pas moyen d'utiliser la SME pour faire cette recherche, étant donné qu'elle fait déjà le NAT ?
EDIT 3 : Après coup, je ne pense pas que mon edit 2 soit la solution car je vois encore des spams défiler alors que tous les ordinateurs de la sociétés sont éteints...
Notre Config :
SME 8.0
Serveur et passerelle
SDSL orange avec plage de 8 IP consécutives