Project

General

Profile

Actions

Anomalie #5025

closed

Blacklister l'adresse contact@chic-time.fr

Added by Frédéric Couchet over 3 years ago. Updated about 3 years ago.

Status:
Fermé
Priority:
Normale
Category:
-
Target version:
Start date:
12/14/2020
Due date:
% Done:

0%

Estimated time:
Difficulté:
2 Facile

Description

Bonjour, l'adresse a fait du spam massif, et c'est la deuxième fois.

Merci de blacklister cette adresse au niveau de Postfix.

Actions #1

Updated by Frédéric Couchet over 3 years ago

  • Description updated (diff)
Actions #3

Updated by Quentin Gibeaux over 3 years ago

  • Target version changed from Backlog to Décembre 2020
Actions #4

Updated by Quentin Gibeaux over 3 years ago

  • Status changed from Nouveau to Résolu

c'est fait :

(April) root@mail:/etc/postfix[master$]# git show
(...)
--- a/postfix/hash/sender_access
+++ b/postfix/hash/sender_access
@@ -25,4 +25,5 @@ juliasxnylon@gmx.com       REJECT
 replyonline@ids.apple.org  REJECT
 contact@internet-libre.eu  REJECT
 contact@internet-libre.fr  REJECT
+contact@chic-time.fr      REJECT

(April) root@mail:/etc/postfix[master*$]# postfix reload

Actions #5

Updated by Christian P. Momon over 3 years ago

  • Assignee set to Quentin Gibeaux
Actions #6

Updated by Quentin Gibeaux over 3 years ago

  • Status changed from Résolu to Fermé
Actions #7

Updated by Frédéric Couchet over 3 years ago

  • Status changed from Fermé to Confirmé

L'adresse nous fait du spam massif. Il vaudrait vérifier le blacklistage.

Actions #8

Updated by Frédéric Couchet over 3 years ago

  • Target version changed from Décembre 2020 to Janvier 2021
Actions #9

Updated by Frédéric Couchet over 3 years ago

  • Assignee changed from Quentin Gibeaux to Frédéric Couchet
Actions #10

Updated by Frédéric Couchet over 3 years ago

Le fichier /etc/postfix/hash/sender_access avait bien été modifié mais le fichier sender_access.db n'avait pas été généré, donc

  1. cd /etc/postfix/hash/sender_access
  2. postmap sender_access

Test d'envoi d'un courriel en utilisant en From, le courriel est bien rejeté (/var/log/mail.log) :

Jan 22 10:06:19 mail postfix/submission/smtpd5139: NOQUEUE: reject: RCPT from lfbn-idf3-1-1027-210.w90-46.abo.wanadoo.fr[90.46.10.210]: 554 5.7.1 <>: Sender address rejected: Access denied; from=<> to=<> proto=ESMTP helo=<mail.couchet.org>

Actions #11

Updated by Frédéric Couchet over 3 years ago

  • Status changed from Confirmé to Fermé
Actions #12

Updated by Frédéric Couchet over 3 years ago

  • Status changed from Fermé to En cours de traitement
  • Target version changed from Janvier 2021 to Mars 2021

De nouveau des spams en provenance de chic-time.fr. Les spammeurs ont visiblement changé leur méthode d'envoi :

Mar 11 15:48:10 mail postfix/smtpd[16054]: 5AF1A149B: client=localhost[127.0.0.1]
Mar 11 15:48:10 mail postfix/cleanup[16048]: 5AF1A149B: message-id=<0102017821c24e31-0df71ce1-a290-4a2f-8803-518a83de5867-000000@eu-west-1.amazonses.com>
Mar 11 15:48:10 mail opendkim[12116]: 5AF1A149B: no signing table match for 'contact@chic-time.fr'
Mar 11 15:48:10 mail opendkim[12116]: 5AF1A149B: message has signatures from chic-time.fr, amazonses.com
Mar 11 15:48:10 mail opendkim[12116]: 5AF1A149B: DKIM verification successful
Mar 11 15:48:10 mail opendkim[12116]: 5AF1A149B: s=korlgceugryh2wyxqyrv3wivzxgjh6oa d=chic-time.fr SSL 
Mar 11 15:48:10 mail postfix/qmgr[16022]: 5AF1A149B: from=<SRS0=nRcZ=IJ=eu-west-1.amazonses.com=0102017821c24e31-0df71ce1-a290-4a2f-8803-518a83de5867-000000@april.org>, size=57341, nrcpt=1 (queue active)
Mar 11 15:48:10 mail postfix/smtp[16051]: 79A4A145A: to=<mad@april.org>, relay=127.0.0.1[127.0.0.1]:10024, delay=4.4, delays=0.34/0/0/4, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 5AF1A149B)
Mar 11 15:48:11 mail postfix/local[16170]: 5AF1A149B: to=<mad@april.org>, relay=local, delay=0.67, delays=0.46/0/0/0.21, dsn=2.0.0, status=sent (forwarded as D72E2145A)
Mar 11 15:48:11 mail postfix/qmgr[16022]: 5AF1A149B: removed

j'ai ajouté chic-time.fr dans /etc/postfix/hash/domain_access.map (puis cd .. ; make) avec un reject peut-être faudrait-il mettre aussi amazonses.com

Actions #13

Updated by Frédéric Couchet over 3 years ago

Solution mise en œuvre : le filtre des headers.

vi /etc/postfix/conf.d/50-restrictions.conf

ajout de

header_checks = regexp:/etc/postfix/header_checks

création de /etc/postfix/header_checks contenant

/^From:.*contact@chic-time.fr.*/ REJECT

Génération de la config et reload de postfix :

cd /etc/postfix
make
postfix reload

Vérification avec

grep chic-time /var/log/mail.log
Mar 11 19:04:58 mail postfix/cleanup[15868]: 50949139C: reject: header From: Chic Time <contact@chic-time.fr> from a52-154.smtp-ou
t.eu-west-1.amazonses.com[54.240.52.154]; from=<SRS0=ezvM=IJ=eu-west-1.amazonses.com=0102017822768b01-73d56c87-152e-4385-b2cc-c9a3
85505ec0-000000@april.org> to=<chapril-request@april.org> proto=ESMTP helo=<a52-154.smtp-out.eu-west-1.amazonses.com>: 5.7.1 messa
ge content rejected
Actions #14

Updated by Quentin Gibeaux about 3 years ago

  • Status changed from En cours de traitement to Fermé
  • Target version changed from Mars 2021 to Avril 2021
Actions #15

Updated by Quentin Gibeaux about 3 years ago

  • Target version changed from Avril 2021 to Mars 2021
Actions #16

Updated by Frédéric Couchet about 3 years ago

Nouveaux spams, ce coup-ci c'est @chic-time.com (et non plus .fr). Modification de /etc/postfix/header_checks pour ajouter

/^From:.*contact@chic-time.com.*/ REJECT

Puis

cd /etc/postfix
make
postfix reload

Puis

git commit -a
Actions #17

Updated by Frédéric Couchet about 3 years ago

je n'avais pas vu que ce n'était pas l'adresse contact@ de chic-time qui spamait ce coup-ci mais l'adresse audrey@. En conséquence :

Modification de /etc/postfix/header_checks

/^From:.*@chic-time.fr.*/ REJECT
/^From:.*@chic-time.com.*/ REJECT

Puis

cd /etc/postfix
make
postfix reload

Vérification dans les logs :

Apr 12 12:20:09 mail postfix/cleanup32485: 461225AB: reject: header From: Audrey de Chic Time <> from a52-155.smtp-out.eu-west-1.amazonses.com[54.240.52.155]; from=<SRS0=jqb3=JJ=eu-west-1.amazonses.com=> to=<XXXXX> proto=ESMTP helo=<a52-155.smtp-out.eu-west-1.amazonses.com>: 5.7.1 message content rejected

Actions

Also available in: Atom PDF