Matériel: VPS acheté en ligne OVH Version de YunoHost: 4.3.4.2 (stable) J’ai accès à mon serveur : En SSH | Par la webadmin Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non
Description du problème
Quand je vais dans diagnostic dans la catégorie mail j’apparais dans la liste noire apparemment:
Votre IP ou domaine 2001:XXXX:XXX:XXXX::XXX est sur liste noire sur Spamhaus ZEN
La raison de la liste noire est : "https://www.spamhaus.org/sbl/query/SBLCSS", "https://www.spamhaus.org/query/ip/XXXX:XXXX:XXX:XXXX::XXX"
Après avoir identifié la raison pour laquelle vous êtes répertorié et l'avoir corrigé, n'hésitez pas à demander le retrait de votre IP ou domaine sur https://www.spamhaus.org/zen/
Chez SPAMHAUS j’ai ceci en entrant mon ip v6:
The machine using this IP is infected with malware that is emitting spam, or is sharing a connection with an infected device.
As a result, this IP is listed in the eXploits Blocklist (XBL) and the CSS Blocklist (CSS)
Click on Show Details to see if you can request a delisting from this blocklist. This will also display any further information we have relating to this listing.
Hide details
Why was this IP listed?
A device (computer, server, mobile phone, etc), or an app on a device that is using XXXX:XXXX:XXX:XXXX::/64 is infected, badly misconfigured, or compromised. It is making SMTP connections with multiple unrelated HELO values on port 25.
The most recent detection was on: December 21 2021, 11:40:00 UTC (+/- 5 minutes). The observed HELO values were sonic327-13.consmr.mail.gq1.yahoo.com, rtwzod-omtalb.mail.rr.com, fed1rmmtao105.cox.net, elasmtp-kukur2.atl.sa.earthlink.net, pacmmta55-web.windstream.net.
Je ne comprend pas bien d’où cela peut provenir… Est-ce que je peux regarder dans des logs pour identifier le problème?
Si il y a des destinataires anormaux ou trop d’envois, c’est pas normal.
Vérifie qu’un autre processus n’exploite pas le port 25 (pour éviter que les envois de mails ne soient loggués).
lsof -i 25
Liste l’ensemble des apps, de la plus connus à la moins connues, et regarde si elles sont à jour, si il y a des processus étranges pour ces utilisateurs (l’utilisateur est au nom de l’app) ou des choses non voulues dans le crontab.
sudo su wordpress__2
crontab -e
Si tu identifies qu’il y a un soucis mais ne sais pas comment le régler, tu peux fermer ton port 25 en attendant de trouver une solution.
Matériel: VPS acheté en ligne OVH Version de YunoHost: 4.3.4.2 (stable) J’ai accès à mon serveur : En SSH Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non
Bonjour,
J’ai le même probléme depuis quelque jours.
j’ai scruté les logs mail mais aucun mail envoyé dans ce fichier.
Comme je n’utilise pas mon yunohost pour envoyer des mail j’ai pu identifié dans les log l’envoie que j’ai fait, et rien d’autre dans les log qui y resemble.
En scrutant les logs je ne vois pas de mail envoyé hormis les légitimes qui sont peu nombreux… Par contre j’ai ça:
Dec 24 09:19:49 inrepublica postfix/smtpd[10826]: connect from unknown[2001:470:1:332::3]
Dec 24 09:19:49 inrepublica postfix/smtpd[10826]: lost connection after CONNECT from unknown[2001:470:1:332::3]
Dec 24 09:19:49 inrepublica postfix/smtpd[10826]: disconnect from unknown[2001:470:1:332::3] commands=0/0
Dec 24 09:23:09 inrepublica postfix/anvil[10828]: statistics: max connection rate 1/60s for (smtp:2001:470:1:332::3) at Dec 24 09:19:49
Dec 24 09:23:09 inrepublica postfix/anvil[10828]: statistics: max connection count 1 for (smtp:2001:470:1:332::3) at Dec 24 09:19:49
Dec 24 09:23:09 inrepublica postfix/anvil[10828]: statistics: max cache size 1 at Dec 24 09:19:49
Dec 24 09:51:40 inrepublica postfix/smtpd[11413]: warning: hostname zg-1117a-195.stretchoid.com does not resolve to address 192.241.207.223
Dec 24 09:51:40 inrepublica postfix/smtpd[11413]: connect from unknown[192.241.207.223]
Dec 24 09:51:41 inrepublica postfix/smtpd[11413]: lost connection after UNKNOWN from unknown[192.241.207.223]
Dec 24 09:51:41 inrepublica postfix/smtpd[11413]: disconnect from unknown[192.241.207.223] unknown=0/2 commands=0/2
Dec 24 09:55:01 inrepublica postfix/anvil[11415]: statistics: max connection rate 1/60s for (smtp:192.241.207.223) at Dec 24 09:51:41
Dec 24 09:55:01 inrepublica postfix/anvil[11415]: statistics: max connection count 1 for (smtp:192.241.207.223) at Dec 24 09:51:41
Dec 24 09:55:01 inrepublica postfix/anvil[11415]: statistics: max cache size 1 at Dec 24 09:51:41
Dec 24 09:59:04 inrepublica postfix/smtpd[11516]: connect from unknown[103.167.92.100]
Dec 24 09:59:05 inrepublica postfix/smtpd[11516]: disconnect from unknown[103.167.92.100] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Dec 24 10:02:25 inrepublica postfix/anvil[11518]: statistics: max connection rate 1/60s for (smtp:103.167.92.100) at Dec 24 09:59:05
Dec 24 10:02:25 inrepublica postfix/anvil[11518]: statistics: max connection count 1 for (smtp:103.167.92.100) at Dec 24 09:59:05
Dec 24 10:02:25 inrepublica postfix/anvil[11518]: statistics: max cache size 1 at Dec 24 09:59:05
Dec 24 10:14:22 inrepublica postfix/smtpd[11816]: connect from scan-10.shadowserver.org[74.82.47.3]
Dec 24 10:14:22 inrepublica postfix/smtpd[11816]: lost connection after CONNECT from scan-10.shadowserver.org[74.82.47.3]
Dec 24 10:14:22 inrepublica postfix/smtpd[11816]: disconnect from scan-10.shadowserver.org[74.82.47.3] commands=0/0
Dec 24 10:17:42 inrepublica postfix/anvil[11818]: statistics: max connection rate 1/60s for (smtp:74.82.47.3) at Dec 24 10:14:22
Dec 24 10:17:42 inrepublica postfix/anvil[11818]: statistics: max connection count 1 for (smtp:74.82.47.3) at Dec 24 10:14:22
Dec 24 10:17:42 inrepublica postfix/anvil[11818]: statistics: max cache size 1 at Dec 24 10:14:22
Dec 24 10:59:37 inrepublica dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=80.67.172.144, lip=51.77.159.92, TLS handshaking: Connection closed, session=<BUOvaeHTtqFQQ6yQ>
En faisant lsof -i :25 je n’ai que ça, ce qui me semble légitime:
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
master 14907 root 13u IPv4 2229883 0t0 TCP *:smtp (LISTEN)
master 14907 root 14u IPv6 2229884 0t0 TCP *:smtp (LISTEN)
Enfin concernant le crontab je ne vois rien d’anormal…
Si c’est quasi systématique, les locations de VPS chez OVH (et ailleurs sans doute) amèneront souvent à se pencher sur du déblaklistage.
Mais pour spamhaus, c’est super simple de se déblacklister :
vous allez sur leur site, rentrez votre adresse IPv4 ou IPv6 blacklistée, votre mail, et quand vous recevez votre mail, vous suivez le lien, et hop, c’est bon.
Salut clark17,
J’ai le même problème, aussi sur un VPS chez OVH.
J’ai demandé à Spamhaus de me déblacklister, ce qu’ils ont fait, avec ce même message m’invitant à contacter OVH, mais ils m’ont également prévenu que si des spams étaient de nouveau envoyés, mon IP serait à nouveau blacklistée.
Ce qui s’est de nouveau produit ce week-end… soit à peine quelques jours après le déblacklistage.
As-tu pu te faire déblacklister, et as-tu trouvé l’origine du problème de ton côté ?
Du mien, je n’ai (encore) rien trouvé d’anormal.
Et ben, vous devez avoir un petit malin qui s’amuse à spammer à tour de bras, et vous êtes impacté aussi ! En gros, ils vous disent dans ce mail de demander à OVH de vous attribuer une IPV6 plus précise, histoire que vous n’ayez pas les inconvénients actuels… mais je doute qu’ovh le fasse, d’autres infos là aussi. Comme vous pouvez le lire, si vous n’êtes pas en /64, vous partagez l’IP avec tellement de monde que spamhaus ne prend pas la peine de faire la distinction. Ce n’est donc pas vous qui êtes en tort, mais vous en pâtissez.
De toute manière, les recommandations DNS de ynh pour les MX sont en IPv4, donc ce n’est pas très grave si l’IPv6 est en défaut. Vous devez envoyer et recevoir vos mails sans problèmes malgré ça, non ?
Bonjour Cellophile, et merci pour ta réponse.
En effet, c’est la conclusion que j’en ai tirée.
Je vais tenter auprès d’OVH, on sait jamais…
Sinon pour la réputation des mails en IPv4, on observe que nos mails atterrissent dernièrement dans les spams chez Gmail ou Outlook, après est-ce que ça a un lien ?
En tout cas, le spam test de mail-tester.com nous attribue de très bons scores, donc je n’y comprends pas grand-chose.
Après une semaine rebelote en effet, je suis de retour sur la blocklist de spamhaus. J’ai aussi des mails qui tombent dans la boite à spam. Pourtant seulement quelques mails de notifications pas un grand traffic… Ca donne quoi avec OVH tu as des news Gwylohm ?
J’ai les mêmes déboires… sur un vps d’ovh, indeed…
Bon, je leur ai envoyé un message pour me déblacklister en expliquant qu’après concertations (sur ce topic), nous pensons que c’est la configuration des adressages IPv6 de la stack OVH qui est en cause, mais pas de malware trouvé dans nos configurations.
Du coup il m’ont déblacklisté pour l’instant…
Question, que se passe-t-il si on coupe le port 25 sur une Yunohost ? Est-il vraiment indispensable ?
@clark17 : pas de nouvelles d’OVH, je vais relancer. À vrai dire, j’avais en un peu zappé car ignoré ce problème dans le diagnostic. Edit du 01/02/2022 à 17h53 : J’ai obtenu la réponse d’OVH. L’IPv6 fourni sur les VPS est inévitablement en /128. Pour obtenir une IPv6 en /64, il faut commander un serveur dédié. Bref, circulez, y a rien à voir…
@rodinux : j’ai aussi pensé fermer le port 25 en IPv6, mais vu les messages d’erreur renvoyés par le diagnostic, et ne maîtrisant pas réellement les conséquences de cette fermeture, j’ai préféré rouvrir le port et ignorer l’erreur en me fondant sur le message de Cellophile quu indiquait que la mauvaise réputation en IPv6 n’était pas grave.