Liste noire SpamHaus Zen

,

Mon serveur YunoHost

Matériel: VPS acheté en ligne OVH
Version de YunoHost: 4.3.4.2 (stable)
J’ai accès à mon serveur : En SSH | Par la webadmin
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non

Description du problème

Quand je vais dans diagnostic dans la catégorie mail j’apparais dans la liste noire apparemment:

Votre IP ou domaine 2001:XXXX:XXX:XXXX::XXX est sur liste noire sur Spamhaus ZEN

    La raison de la liste noire est : "https://www.spamhaus.org/sbl/query/SBLCSS", "https://www.spamhaus.org/query/ip/XXXX:XXXX:XXX:XXXX::XXX"
    Après avoir identifié la raison pour laquelle vous êtes répertorié et l'avoir corrigé, n'hésitez pas à demander le retrait de votre IP ou domaine sur https://www.spamhaus.org/zen/

Chez SPAMHAUS j’ai ceci en entrant mon ip v6:



The machine using this IP is infected with malware that is emitting spam, or is sharing a connection with an infected device.

As a result, this IP is listed in the eXploits Blocklist (XBL) and the CSS Blocklist (CSS)

Click on Show Details to see if you can request a delisting from this blocklist. This will also display any further information we have relating to this listing.
Hide details 
Why was this IP listed?

A device (computer, server, mobile phone, etc), or an app on a device that is using XXXX:XXXX:XXX:XXXX::/64 is infected, badly misconfigured, or compromised. It is making SMTP connections with multiple unrelated HELO values on port 25.

The most recent detection was on: December 21 2021, 11:40:00 UTC (+/- 5 minutes). The observed HELO values were sonic327-13.consmr.mail.gq1.yahoo.com, rtwzod-omtalb.mail.rr.com, fed1rmmtao105.cox.net, elasmtp-kukur2.atl.sa.earthlink.net, pacmmta55-web.windstream.net.

Je ne comprend pas bien d’où cela peut provenir… Est-ce que je peux regarder dans des logs pour identifier le problème?

Merci à vous.

Il faut enquéter.

Regarde les logs mails:

tail -f /var/log/mail.log

Si il y a des destinataires anormaux ou trop d’envois, c’est pas normal.

Vérifie qu’un autre processus n’exploite pas le port 25 (pour éviter que les envois de mails ne soient loggués).

lsof -i 25

Liste l’ensemble des apps, de la plus connus à la moins connues, et regarde si elles sont à jour, si il y a des processus étranges pour ces utilisateurs (l’utilisateur est au nom de l’app) ou des choses non voulues dans le crontab.

sudo su wordpress__2
crontab -e

Si tu identifies qu’il y a un soucis mais ne sais pas comment le régler, tu peux fermer ton port 25 en attendant de trouver une solution.

Mon serveur YunoHost

Matériel: VPS acheté en ligne OVH
Version de YunoHost: 4.3.4.2 (stable)
J’ai accès à mon serveur : En SSH
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non

Bonjour,

J’ai le même probléme depuis quelque jours.
j’ai scruté les logs mail mais aucun mail envoyé dans ce fichier.
Comme je n’utilise pas mon yunohost pour envoyer des mail j’ai pu identifié dans les log l’envoie que j’ai fait, et rien d’autre dans les log qui y resemble.

cat /var/log/mail.log | grep "submission" | grep "sasl_username"

Sinon

lsof -i 25

retourne le message “lsof: unknown protocol name (25) in: -i 25”

Dans le doute :

lsof -i@localhost | grep ":25"

ne retourne rien

Je me demande s’il il n’y a pas un truc avec IPv6, je n’ai encore pas creusé le sujet.

Je pense qu’il faut en plus fermer le 587 qui est le port smtp en SSL

En scrutant les logs je ne vois pas de mail envoyé hormis les légitimes qui sont peu nombreux… Par contre j’ai ça:

Dec 24 09:19:49 inrepublica postfix/smtpd[10826]: connect from unknown[2001:470:1:332::3]
Dec 24 09:19:49 inrepublica postfix/smtpd[10826]: lost connection after CONNECT from unknown[2001:470:1:332::3]
Dec 24 09:19:49 inrepublica postfix/smtpd[10826]: disconnect from unknown[2001:470:1:332::3] commands=0/0
Dec 24 09:23:09 inrepublica postfix/anvil[10828]: statistics: max connection rate 1/60s for (smtp:2001:470:1:332::3) at Dec 24 09:19:49
Dec 24 09:23:09 inrepublica postfix/anvil[10828]: statistics: max connection count 1 for (smtp:2001:470:1:332::3) at Dec 24 09:19:49
Dec 24 09:23:09 inrepublica postfix/anvil[10828]: statistics: max cache size 1 at Dec 24 09:19:49
Dec 24 09:51:40 inrepublica postfix/smtpd[11413]: warning: hostname zg-1117a-195.stretchoid.com does not resolve to address 192.241.207.223
Dec 24 09:51:40 inrepublica postfix/smtpd[11413]: connect from unknown[192.241.207.223]
Dec 24 09:51:41 inrepublica postfix/smtpd[11413]: lost connection after UNKNOWN from unknown[192.241.207.223]
Dec 24 09:51:41 inrepublica postfix/smtpd[11413]: disconnect from unknown[192.241.207.223] unknown=0/2 commands=0/2
Dec 24 09:55:01 inrepublica postfix/anvil[11415]: statistics: max connection rate 1/60s for (smtp:192.241.207.223) at Dec 24 09:51:41
Dec 24 09:55:01 inrepublica postfix/anvil[11415]: statistics: max connection count 1 for (smtp:192.241.207.223) at Dec 24 09:51:41
Dec 24 09:55:01 inrepublica postfix/anvil[11415]: statistics: max cache size 1 at Dec 24 09:51:41
Dec 24 09:59:04 inrepublica postfix/smtpd[11516]: connect from unknown[103.167.92.100]
Dec 24 09:59:05 inrepublica postfix/smtpd[11516]: disconnect from unknown[103.167.92.100] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Dec 24 10:02:25 inrepublica postfix/anvil[11518]: statistics: max connection rate 1/60s for (smtp:103.167.92.100) at Dec 24 09:59:05
Dec 24 10:02:25 inrepublica postfix/anvil[11518]: statistics: max connection count 1 for (smtp:103.167.92.100) at Dec 24 09:59:05
Dec 24 10:02:25 inrepublica postfix/anvil[11518]: statistics: max cache size 1 at Dec 24 09:59:05
Dec 24 10:14:22 inrepublica postfix/smtpd[11816]: connect from scan-10.shadowserver.org[74.82.47.3]
Dec 24 10:14:22 inrepublica postfix/smtpd[11816]: lost connection after CONNECT from scan-10.shadowserver.org[74.82.47.3]
Dec 24 10:14:22 inrepublica postfix/smtpd[11816]: disconnect from scan-10.shadowserver.org[74.82.47.3] commands=0/0
Dec 24 10:17:42 inrepublica postfix/anvil[11818]: statistics: max connection rate 1/60s for (smtp:74.82.47.3) at Dec 24 10:14:22
Dec 24 10:17:42 inrepublica postfix/anvil[11818]: statistics: max connection count 1 for (smtp:74.82.47.3) at Dec 24 10:14:22
Dec 24 10:17:42 inrepublica postfix/anvil[11818]: statistics: max cache size 1 at Dec 24 10:14:22
Dec 24 10:59:37 inrepublica dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=80.67.172.144, lip=51.77.159.92, TLS handshaking: Connection closed, session=<BUOvaeHTtqFQQ6yQ>

En faisant lsof -i :25 je n’ai que ça, ce qui me semble légitime:

COMMAND   PID USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
master  14907 root   13u  IPv4 2229883      0t0  TCP *:smtp (LISTEN)
master  14907 root   14u  IPv6 2229884      0t0  TCP *:smtp (LISTEN)

Enfin concernant le crontab je ne vois rien d’anormal…

or is sharing a connection with an infected device.

Y a pas un serveur voisin chez OVH qui envoie de la merde et SPAMHAUS banni des ranges d’IP ?

C’est peut-être ça en effet, mon ip v4 est clean selon eux…

Si c’est quasi systématique, les locations de VPS chez OVH (et ailleurs sans doute) amèneront souvent à se pencher sur du déblaklistage.

Mais pour spamhaus, c’est super simple de se déblacklister :
vous allez sur leur site, rentrez votre adresse IPv4 ou IPv6 blacklistée, votre mail, et quand vous recevez votre mail, vous suivez le lien, et hop, c’est bon.

C’est pas si simple, ils me demandent carrément de voir avec OVH…

Salut clark17,
J’ai le même problème, aussi sur un VPS chez OVH.
J’ai demandé à Spamhaus de me déblacklister, ce qu’ils ont fait, avec ce même message m’invitant à contacter OVH, mais ils m’ont également prévenu que si des spams étaient de nouveau envoyés, mon IP serait à nouveau blacklistée.
Ce qui s’est de nouveau produit ce week-end… soit à peine quelques jours après le déblacklistage.
As-tu pu te faire déblacklister, et as-tu trouvé l’origine du problème de ton côté ?
Du mien, je n’ai (encore) rien trouvé d’anormal.

Et ben, vous devez avoir un petit malin qui s’amuse à spammer à tour de bras, et vous êtes impacté aussi ! En gros, ils vous disent dans ce mail de demander à OVH de vous attribuer une IPV6 plus précise, histoire que vous n’ayez pas les inconvénients actuels… mais je doute qu’ovh le fasse, d’autres infos là aussi. Comme vous pouvez le lire, si vous n’êtes pas en /64, vous partagez l’IP avec tellement de monde que spamhaus ne prend pas la peine de faire la distinction. Ce n’est donc pas vous qui êtes en tort, mais vous en pâtissez.

De toute manière, les recommandations DNS de ynh pour les MX sont en IPv4, donc ce n’est pas très grave si l’IPv6 est en défaut. Vous devez envoyer et recevoir vos mails sans problèmes malgré ça, non ?

Bonjour Cellophile, et merci pour ta réponse.
En effet, c’est la conclusion que j’en ai tirée.
Je vais tenter auprès d’OVH, on sait jamais…
Sinon pour la réputation des mails en IPv4, on observe que nos mails atterrissent dernièrement dans les spams chez Gmail ou Outlook, après est-ce que ça a un lien ?
En tout cas, le spam test de mail-tester.com nous attribue de très bons scores, donc je n’y comprends pas grand-chose.

Après une semaine rebelote en effet, je suis de retour sur la blocklist de spamhaus. J’ai aussi des mails qui tombent dans la boite à spam. Pourtant seulement quelques mails de notifications pas un grand traffic… Ca donne quoi avec OVH tu as des news Gwylohm ?

J’ai les mêmes déboires… sur un vps d’ovh, indeed…
Bon, je leur ai envoyé un message pour me déblacklister en expliquant qu’après concertations (sur ce topic), nous pensons que c’est la configuration des adressages IPv6 de la stack OVH qui est en cause, mais pas de malware trouvé dans nos configurations.
Du coup il m’ont déblacklisté pour l’instant…
Question, que se passe-t-il si on coupe le port 25 sur une Yunohost ? Est-il vraiment indispensable ?