Diagnostique IP sur liste noire

Matériel: Raspberry Pi (4) à la maison /
Version de YunoHost: 11.0.10.2
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : oui
Si oui, expliquer: Mon serveur est connecté via un VPN de chez FDN

Description du problème

Mon diagnostique me dit:

[ERROR] Votre IP ou domaine 80.67.179.253 est sur liste noire sur Spamhaus ZEN - La raison de la liste noire est : “https://www.spamhaus.org/sbl/query/SBLCSS” - Après avoir identifié la raison pour laquelle vous êtes répertorié sur cette liste et l’avoir corrigée, n’hésitez pas à demander le retrait de votre IP ou de votre domaine sur The Spamhaus Project - ZEN

J’ai trouvé un sujet semblable ici

J’ai essayé cette commande:

sudo tail -f /var/log/mail.log

J’ai pas mal de connexion de ce type:

Jan  3 20:18:42 pgcc postfix/anvil[24448]: statistics: max connection rate 2/60s for (smtp:80.67.172.144) at Jan  3 20:13:58
Jan  3 20:18:42 pgcc postfix/anvil[24448]: statistics: max connection count 1 for (smtp:80.67.172.144) at Jan  3 20:13:58
Jan  3 20:18:42 pgcc postfix/anvil[24448]: statistics: max cache size 4 at Jan  3 20:13:58
Jan  3 20:33:52 pgcc postfix/smtpd[25480]: connect from unknown[79.110.63.63]
Jan  3 20:33:52 pgcc postfix/smtpd[25480]: disconnect from unknown[79.110.63.63] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Jan  3 20:37:12 pgcc postfix/anvil[25485]: statistics: max connection rate 1/60s for (smtp:79.110.63.63) at Jan  3 20:33:52
Jan  3 20:37:12 pgcc postfix/anvil[25485]: statistics: max connection count 1 for (smtp:79.110.63.63) at Jan  3 20:33:52
Jan  3 20:37:12 pgcc postfix/anvil[25485]: statistics: max cache size 1 at Jan  3 20:33:52
Jan  3 20:42:41 pgcc postfix/smtpd[25709]: connect from unknown[103.151.125.9]
Jan  3 20:42:41 pgcc postfix/smtpd[25709]: disconnect from unknown[103.151.125.9] ehlo=1 quit=1 commands=2

Toutes les 2 à 6 minutes

Cette commande:

lsof -i :25

me retourne :

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME master 7535 root 13u IPv4 4917493 0t0 TCP *:smtp (LISTEN) master 7535 root 14u IPv6 4917494 0t0 TCP *:smtp (LISTEN)

Ce matin mon diagnostique était bon et je n’ai pas réussi à envoyer un mail à un contact protonmail. Il a été rejetté, est ce que ça, a un lien?
Depuis mes mails ne sont plus reçu par personne, ils tombent directement dans les spams de Gmail par exemple.

Comment puis m’asurer que tout est en ordre avant de blanchir mon domaine ?

Bonjour,

Oui ça a lien. Tu dois le voir dans le fichier de log /var/log/mail.log, fais une recherche avec le mot-clef protonmail. Voici un exemple de ce que j’ai dans les logs (ici avec orange):

Jan  3 22:08:10 metyun postfix/smtp[104851]: AF2B21258D7: to=<xxx.yyy@orange.fr>, relay=smtp-in.orange.fr[xx.xx.xx.xx]:25, delay=3.4, delays=0.13/0.03/3.2/0, dsn=4.0.0, status=deferred (host smtp-in.orange.fr[xx.xx.xx.xx] refused to talk to me: 550 opmta1mti91nd1 smtp.orange.fr CoVzpSr4cJv0J Adresse IP source bloquee pour incident de spam. Client host blocked for spamming issues. OFR006_101 Ref http://r.orange.fr/r/Oassistance_adresserejetee?ec=OFR006_101&amp;ip=xx.xx.xxx.xx [101])

Je suis le sujet, j’ai posté pour le même problème mais je n’ai pas eu de réponse.

Bonjour,

@metyun est ce que tu as du coup réussi à repasser en liste blanche ton domaine?
Est ce que tu as essayé de le passer en liste blanche chez Proton mail?

J’ai l’impression que c’est suite à l’action de demander d’être en liste blanche chez eux que tout a dérapé…

Dans les log j’ai trouvé cette ligne:

Jan 3 09:30:42 pgcc postfix/smtp[11399]: 18BF05EB62: to=<xxxx@coincoin.fr.eu.org>, relay=mail.protonmail.ch[xxx.xx.xx.xxx]:25, delay=7.4, delays=0.46/0.13/6.2/0.64, dsn=5.7.1, status=bounced (host mail.protonmail.ch[xxx.xx.xx.xxx] said: 554 5.7.1 rejected by rspamd filter (in reply to end of DATA command))

Edit: ce matin mon IPv6 est en liste noire aussi…

Au bout de 4 jours, je n’étais plus dans cette liste mais j’étais revenu dans la liste PBL. Je demande le retrait de cette liste 1 fois/an, ce sont entre autre les adresses IP de particuliers, ici je suis revenu avant le terme d’un an à l’issue de cet incident. J’ai demandé alors le retrait le 25 décembre.
Ça a fonctionné 1 semaine environ mais je suis à nouveau dans SBLCSS et PBL. De ce que je comprends, ça pourrait être dû à un périphérique vérolé, PC ou smartphone par exemple et pas forcément du serveur lui-même…ce qui n’est pas impossible, de nouvelles machines ont été connectées 1 ou 2 jours avant le 1er listage et pour la dernière fois quelques heures avant le second.
Donc oui j’ai réussi à repasser en liste blanche mais ça n’a pas duré.
Non je n’ai pas essayé de le passer en liste blanche chez proton Mail. Éventuellement un autre utilisateur du serveur, ça ce n’est pas impossible. Il faudrait que je demande confirmation.

1 Like

De mon côté je suis revenu en liste blanche, mais pour combien de temps ?
Affaire à suivre…

Après @metyun étant le seul utilisateur mail de mon domaine (ma compagne se sert de Nextcloud principalement) je ne pense pas avoir fait de bêtises ou avoir un appareil infecté.
J’utilise Linux et un Android basé sur Lineage (/e/ OS)

Si quelqu’un de qualifié pouvait passer par là nous apporter quelques lumière ce serait sympa

The Spamhaus est une vraie galère. Sur un de mes serveurs il m’a blacklisté en ipv6 et sur le second en ipv4.

Sur le soucis ipv6 c’est le prefixe ipv6 qu’il n’aime pas (/128 mais mais mon hébergeur n’en fournir pas d’autres sur les VPS), tant pis ça reste comme ça

Sur mon serveur auto hébergé , il me blackliste régulièrement en ipV4, sans trop savoir pourquoi. Un vrai yoyo… Puis me remet correct avant de me re blacklister…

Finalement, tout est bien configuré et je n’y fais plus attention car c’est une vraie perte de temps et d’énergie…

Mais j’aimerais également voir ces soucis résolus un jour…

Bon courage à vous :wink:

Tout ça pour dire que Spamhaus semble poser divers problèmes à beaucoup de monde.

Le problème c’est qu’il est impossible d’envoyer des mails quand on se trouve dans cette liste donc c’est difficile de ne pas y faire attention.

Quelle liste? SBLCSS également?

@Guygoye
As-tu demandé le retrait ou es-tu revenu en liste blanche sans intervention de ta part? je suis également revenu en liste blanche ce soir sans rien faire de plus. J’ai juste eu à demander le retrait de la liste PBL car dès qu’on tombe dans une liste, l’IP est automatiquement ajoutée à celle-ci même si le délai d’un an n’est pas écoulé.

@crustyourmind merci pour ton soutien :slight_smile: et comme le dit @metyun j’étais complétement bloqué également, je ne pouvais envoyer aucun mail.

@metyun j’ai fait une demande de blanchiement de mon adresse directement sur le site, j’ai mis une raison bidon dans celle sugérées.

Ca va faire 2 jours sans problème, je surveille ça.

Oui pour mon VPS dont l’ipV6 est souvent blacklistée

[ERROR] Your IP or domain XXXXXXXX is blacklisted on Spamhaus ZEN

Mais ça ne me gêne pas c’est l’ipv4 qui gère les mails :wink: Plus pour la santé d’internet :wink:

Et pour celui bloqué en ipv4, le message est différent

[ERROR] Your IP or domain XXXXXXXX is blacklisted on Spamhaus ZEN

Et lui ce qui est bizarre ce sont que les mails envoyé via des crons qui sont rejetés. Les autres si envoyés du webmail ou d’un client mail ne le sont pas.
Pas d’ipv6 sur celui là.

Je viens de demander le déblacklistage des 2 serveurs, on verra ce que ça donne et combien de temps ça tient …

Vraiment une poisse ce blocage. Seul ce site pose soucis…

Et pourtant https://www.mail-tester.com me donne 10/10 pour le VPS et 9.8 pour l’autohébergé (car ma box ne me permet pas un rDNS.)

A n’y rien comprendre à leur logique.

Bon courage à tous en tout cas :wink:

@Guygoye : Je me demande si notre souci n’aurait pas un lien avec notre domaine qui est un sous-domaine de ynh.fr qui est listé dans DBL (liste des noms de domaine blacklistés) ce qui n’est pas le cas des noho.st ou nohost.me.

@crustyourmind
Même note que toi sur mail-tester lié à l’absence de rDNS mais ça n’a visiblement aucun impact, je n’ai pas vu de différence par rapport à mon ancienne IP qui avait le reverse.
Pour le message de Spamhaus, j’ai le même avec la liste ZEN, en vérifiant il s’agit de la liste PBL, je suppose que c’est la même chose pour toi si tu t’héberges derrière une box perso. Par contre bizarre si tu dois demander le retrait plus d’une fois l’an. Merci pour ton soutien :slightly_smiling_face:

retour à la case départ, je suis à nouveau sur la liste SBLCSS.

Rien d’anormal dans les logs, il n’y a plus que les périphériques habituels sur le réseau, les machines connectées quand ça a commencé ne sont plus là.

Le serveur tourne depuis 4 ans sans jamais avoir été mis sur cette liste, je ne sais plus où chercher, d’autant plus que c’est bizarre de sortir de la liste sans rien faire et d’y retourner. S’il y avait réellement un problème, je ne vois pas pourquoi l’IP sortirait de cette liste sans intervention de ma part. J’hésite à demander le retrait si c’est pour y retourner d’ici quelques jours et amplifier le problème.

Je me demande comme toi si le domaine .ynh.fr n’est pas touché. La première fois que j’ai regarder dans spamhaus j’ai juste tapé mon nom de domaine et cela m’a sorti un problème avec ynh.fr.
Peut-être faut il faire une demande de nettoyage du sous domaine. Vu qu’il est utilisé par énormément de monde, il y a dû y avoir un grand nombre d’irrégularité qui font que le sous domaine est suspect?

A vrai dire je ne sais pas trop , est-ce que demander le retrait du sous-domaine qu’on utilise serait suffisant ou faudrait-il demander le retrait de ynh.fr? Ça sort de mes compétences, j’aimerais bien connaître l’avis d’un des dev de Yunohost, savoir si ça peut avoir un lien. Si c’est le cas, il est peut-être temps pour nous de s’émanciper en se prenant un nom de domaine perso.
C’est un peu lourd de devoir changer l’adresse mail sur tous les services/contacts mais comme les mails reçus arrivent bien par ailleurs, est-ce possible sur Yunohost d’avoir 2 mails, en gardant l’adresse en ynh.fr qui redirigerait les mails vers cette nouvelle adresse, et d’utiliser la nouvelle pour écrire? Comme ça en cas d’oubli, ça pourrait se faire progressivement. Mais je ne sais pas si c’est possible.

Je suis dans le même cas que toi. Mon adresse yhn.fr est mon adresse principale.
C’est donc un peu relou oui, au moins nous recevons les mails même si l’envoie est bloqué.

La prochaine fois que ça m’arrive je tente le retrait du sous domaine ynh.fr

Ca je ne sais pas par contre

J’ai trouvé ça sur divers blog, ça vaut ce que ça vaut comme ce ne sont pas des sources officielles. Cependant ça expliquerait bien des choses:

SBL CSS : Cette liste noire est liée à la liste DBL. Si votre IP est inscrite sur cette liste, cela signifie que le domaine concerné a été inscrit sur la liste DBL. Dans ce cas, DBL et SBL CSS doivent tous deux être mis sur liste blanche pour que vous puissiez sortir de la liste noire.

ynh.fr n’est plus blacklisté à cette heure. Si j’avais demandé le retrait de la liste DBL quand je suis sorti de SBLCSS, ça m’aurait peut-être évité de retomber dedans.

1 Like

Petit retour au bout de 8 jours: Moins de 24h après que le domaine ynh.fr n’était plus blacklisté, mon ip ne l’était plus non plus sans faire de demande de retrait. Une semaine a passé depuis et ça tient, ça semble confirmer ce que je disais ci-dessus.

Hello,

Idem de mon côté tout roule !

1 Like