Plusieurs milliers de requêtes DNS par jour?

:fr: Modèle de message (français)

Mon serveur YunoHost

Matériel: PC Portable de 2010, 4 Go de RAM, SSD 120 Go
Version de YunoHost: Debian 10.7, noyau Linux 4.19.0-13-amd64, YunoHost 4.1.4.4
J’ai accès à mon serveur : complet
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non
. J’ai installé deux domaines, un fourni par Yunohost et l’autre par OVH.
. Enregistrements DNS :
. Enregistrement PTR manquant à cause de SFR
. Sur un domaine, non déclaration des enregistrements DNS suivants : catégorie mail et catégorie xmpp, car je n’en ai pas l’utilité !

Description du problème

Bonjour,

Je viens d’installer “AdGuard Home” sur mon routeur/firewall et je constate une très grande activité sur le serveur Yunohost : des milliers de requêtes DNS par jour !

Le plus grand nombre de ces requêtes est adressé à des serveurs “in-addr.arpa”.
Ci-après une statistique sur deux minutes !

Auriez-vous des explications à ce comportement ?
Par avance, merci de votre aide.
Cordialement.
Ricardo

Voici les requêtes DNS capturées par AdGuard : 
18:22:33 13/01/2021 39.65.125.45.in-addr.arpa Type: PTR, DNS brut Traité 1907 ms 192.168.x.xxx xxx.lan
18:22:33 13/01/2021 39.65.125.45.in-addr.arpa Type: PTR, DNS brut Traité 1795 ms 192.168.x.xxx xxx.lan
18:22:32 13/01/2021 39.65.125.45.in-addr.arpa Type: PTR, DNS brut Traité 1002 ms 192.168.x.xxx xxx.lan
18:22:32 13/01/2021 39.65.125.45.in-addr.arpa Type: PTR, DNS brut Traité 1003 ms 192.168.x.xxx xxx.lan
18:22:32 13/01/2021 39.65.125.45.in-addr.arpa Type: PTR, DNS brut Traité 588 ms  192.168.x.xxx xxx.lan
18:22:32 13/01/2021 39.65.125.45.in-addr.arpa Type: PTR, DNS brut Traité 561 ms  192.168.x.xxx xxx.lan
18:22:32 13/01/2021 39.65.125.45.in-addr.arpa Type: PTR, DNS brut Traité 493 ms  192.168.x.xxx xxx.lan
18:22:32 13/01/2021 39.65.125.45.in-addr.arpa Type: PTR, DNS brut Traité 446 ms  192.168.x.xxx xxx.lan
18:22:32 13/01/2021 39.65.125.45.in-addr.arpa Type: PTR, DNS brut Traité 424 ms  192.168.x.xxx xxx.lan
18:22:31 13/01/2021 39.65.125.45.in-addr.arpa Type: PTR, DNS brut Traité 370 ms  192.168.x.xxx xxx.lan
18:22:31 13/01/2021 39.65.125.45.in-addr.arpa Type: PTR, DNS brut Traité 372 ms  192.168.x.xxx xxx.lan
18:22:31 13/01/2021 39.65.125.45.in-addr.arpa Type: PTR, DNS brut Traité 304 ms  192.168.x.xxx xxx.lan

Bonjour,
Je suis étonné de n’avoir reçu aucune proposition d’aide sur ma question.
Est-ce qu’elle est mal formulée ?
Ou peut-être attendez-vous des informations supplémentaires ?

Par avance, merci pour réponse.
Ricardo

Non c’est bien formulé. Juste, il peut arriver que personne ne répondent soit par manque d’idée, soit parce qu’on a pas vérifié le forum depuis quelques temps.

Il s’agit de requête reverse DNS sur l’ip 45.125.65.39 . J ene sais pas si cette ip t’es connue ?

Peut être qu’il y a un bug avec quelques choses qui t’envoie plein de mail ?

1 Like

Bonjour Ricardo,

in-addr.arpa n’est pas le nom du serveur, mais se serait plutôt la construction d’une requête DNS : Résolution DNS inverse, champ PTR et suffixe in-addr.arpa

(SI j’ai bien compris) C’est donc une requête pour connaitre le nom de domaine associé à l’IP 45.125.65.39

En lisant cet article : Qu’est-ce qu’un enregistrement PTR (Pointer Records) ?
je me demande si ce ne serait pas lié à l’antispam qui vérifie le domaine d’un expéditeur et son adresse IP.

Cyril

1 Like

Merci beaucoup pour votre aide, j’avoue que ne suis un néophyte sur ces sujets !

Tout d’abord les IPs ne me sont pas du tout connues, et d’ailleurs j’ai fait une rapide recherche sur Internet et il semble qu’elles soient rattachées à l’entreprise : tele-asia.net Fanling, Hong Kong.

Qu’est-ce que je peux faire ?
Est-ce que je tente de bloquer toutes ces IPs avec AdGuard ?
Ou bien avez-vous d’autres suggestions ?

Je ne suis pas un grand spécialiste, mais soit ce sont des requêtes sortantes et c’est l’antispam qui fait son boulot, soit ce sont des requêtes entrantes et là, votre firewall fait le boulot !

Y’a pas un peu de doc avec AdGuard qui vous permettrait de mieux comprendre le log ?

Je n’ai pas encore cherché en profondeur sur AdGuard, mais je viens de remarquer quelquechose !
L
orsque je vous ai envoyé la capture du Journal des requêtes d’Adguard, j’avais bloqué RSPAMD, suite à la lecture d’un post du forum !
Mais il y quelques minutes j’ai réactivé RSPAMD et les messages …in-addr.arpa (type PTR) n’apparaissent plus !
En revanche je suis inondé de requêtes sur des sites “bizares” !

1.0.0.127.bl.ipv6.spameatingmonkey.net
1.0.0.127.ix.dnsbl.manitu.net
facebook.com.uribl.spameatingmonkey.net
facebook.com.multi.surbl.org
1.0.0.127.zen.spamhaus.org

Il semble que ce soit RSPAMD qui soit la cause de toutes ces requêtes DNS !

Un extrait de la log de rspamd

2021-01-14 19:32:09 #23631(rspamd_proxy) <1b91b1>; proxy; proxy_accept_socket: accepted milter connection from ::1 port 0
2021-01-14 19:32:09 #23631(rspamd_proxy) <1b91b1>; milter; rspamd_milter_process_command: got connection from 141.98.10.136:50356
2021-01-14 19:32:09 #23631(rspamd_proxy) <1b91b1>; proxy; proxy_milter_finish_handler: finished milter connection
2021-01-14 19:32:37 #23631(rspamd_proxy) <75f9d5>; proxy; proxy_accept_socket: accepted milter connection from ::1 port 0
2021-01-14 19:32:37 #23631(rspamd_proxy) <75f9d5>; milter; rspamd_milter_process_command: got connection from 45.125.65.105:52791
2021-01-14 19:32:37 #23631(rspamd_proxy) <75f9d5>; proxy; proxy_milter_finish_handler: finished milter connection
2021-01-14 19:32:49 #23631(rspamd_proxy) <9393d1>; proxy; proxy_accept_socket: accepted milter connection from ::1 port 0
2021-01-14 19:32:49 #23631(rspamd_proxy) <9393d1>; milter; rspamd_milter_process_command: got connection from 45.125.65.39:64209
2021-01-14 19:32:49 #23631(rspamd_proxy) <9393d1>; proxy; proxy_milter_finish_handler: finished milter connection
2021-01-14 19:32:54 #23631(rspamd_proxy) <27624d>; proxy; proxy_accept_socket: accepted milter connection from ::1 port 0
2021-01-14 19:32:54 #23631(rspamd_proxy) <27624d>; milter; rspamd_milter_process_command: got connection from 103.253.42.54:64169
2021-01-14 19:32:54 #23631(rspamd_proxy) <27624d>; proxy; proxy_milter_finish_handler: finished milter connection
2021-01-14 19:33:41 #23632(controller) <533dwi>; map; http_map_finish: data is not modified for server updates.rspamd.com, next check at Thu, 14 Jan 2021 18:38:41 GMT
2021-01-14 19:35:02 #23631(rspamd_proxy) <3aa65c>; proxy; proxy_accept_socket: accepted milter connection from ::1 port 0
2021-01-14 19:35:02 #23631(rspamd_proxy) <3aa65c>; milter; rspamd_milter_process_command: got connection from 185.36.81.33:64377
2021-01-14 19:35:02 #23631(rspamd_proxy) <3aa65c>; proxy; proxy_milter_finish_handler: finished milter connection
2021-01-14 19:36:27 #23631(rspamd_proxy) <46f120>; proxy; proxy_accept_socket: accepted milter connection from ::1 port 0
2021-01-14 19:36:27 #23631(rspamd_proxy) <46f120>; milter; rspamd_milter_process_command: got connection from 141.98.10.183:63411
2021-01-14 19:36:27 #23631(rspamd_proxy) <46f120>; proxy; proxy_milter_finish_handler: finished milter connection
2021-01-14 19:40:23 #23631(rspamd_proxy) <4f4821>; proxy; proxy_accept_socket: accepted milter connection from ::1 port 0
2021-01-14 19:40:23 #23631(rspamd_proxy) <4f4821>; milter; rspamd_milter_process_command: got connection from 141.98.10.143:61763
2021-01-14 19:40:23 #23631(rspamd_proxy) <4f4821>; proxy; proxy_milter_finish_handler: finished milter connection

Salut,

Ce sont des requêtes vers des blacklistes qui renseignent les ip connues pour être utilisées pour spammer pour que RSPAMD puisse faire son boulot, à savoir bloquer les mails de spammeur.

rspamd met à jour ses listes plusieurs fois par seconde ?
c’est pas un peu exagéré ?
on ne pourrait pas allonger le temps de mise à jour ?
une fois par heure ?

Tu peux jeter un oeil à ton log de mail au cas où ta machine tente d’envoyer du spam.

tail -f /var/log/mail.log

Si il y a des mails bizarres, vérifies que le smot de passe des comptes utilisateurs sont suffisament robustes. Le responsable peut aussi être un siteweb (genre un wordpress ou un joomla)

Mais bon une requête DNS c’est trés léger, rspamd fait effectivement une requete DNS vers les listes antispam RBL à chaque fois (puisque les listes antispam ne sont pas copiées, juste consultées).

Comme l’a dit @ljf les listes antispam ne sont que consultées et heureusement parce qu’il y a plus de 4 milliards d’ipv4 et je ne sais pas combien de puissance de 10 fois plus d’ipv6 (2^128 pour être exact). Donc heureusement que ce n’est pas copié sur ton serveur surtout que sur certaines listes antispam, des ip sont marquées uniquement par qu’elles sont dynamiques ou destinées à un usage résidentiel. C’est le cas de mon ip qui est blacklistée parce qu’elle est dynamique (la joie d’être chez Orange…).

Du coup, à chaque fois que rspamd veut vérifier une ip, il fait une requête mais ce sont des requêtes très légères.

Merci beaucoup pour votre aide !
Je vais regarder tout ça tout à l’heure !
Bon appétit, moi je passe à table :sweat_smile:
Ricardo

Bonjour,
J’ai détecté deux problèmes en un :wink: !

  1. Effectivement une grande partie des requêtes DNS tracées par AdGuard proviennent de RSPAMD. Donc, je ne peux rien faire de particulier, hormis de stopper le service, mais je ne sais pas si ça peut avoir un impact sur le fonctionnement de Yunohost, sachant que je n’utilise le serveur Mail qu’en local (Yunohost et Nextcloud) !

  2. Je fais l’objet d’attaques régulières (tentatives de connexions) sur Postfix

    Log MAIL : tail -f /var/log/mail.log

    Jan 14 21:21:43 rican postfix/smtpd[1438]: connect from unknown[45.125.65.105]
    Jan 14 21:21:43 rican postfix/smtpd[1438]: disconnect from unknown[45.125.65.105] ehlo=1 auth=0/1 quit=1 commands=2/3

    Jan 14 21:23:47 rican postfix/smtpd[1455]: connect from unknown[45.125.65.39]
    Jan 14 21:23:48 rican postfix/smtpd[1455]: disconnect from unknown[45.125.65.39] ehlo=1 auth=0/1 quit=1 commands=2/3

    Jan 14 21:23:49 rican postfix/smtpd[1455]: connect from unknown[103.253.42.54]
    Jan 14 21:23:50 rican postfix/smtpd[1455]: disconnect from unknown[103.253.42.54] ehlo=1 auth=0/1 quit=1 commands=2/3

    Jan 14 21:24:11 rican postfix/smtpd[1455]: connect from unknown[185.36.81.33]
    Jan 14 21:24:11 rican postfix/smtpd[1455]: disconnect from unknown[185.36.81.33] ehlo=1 auth=0/1 quit=1 commands=2/3

C’est ce qui génère les requêtes de Type: PTR sur “xxxx-in-addr.arpa”.
Et là je n’ai aucune idée de ce que je peux faire pour stopper ces tentatives de connexions !
Si vous avez des idées ?

Par avance merci pour votre aide.
Ricardo

Vu l’origine des IP, un blocage GeoIP pourrait être une solution :thinking:

Salut,

Je te conseillerai de le laisser malgré tout, ce n’est pas RSPAMD qui va saturer ton réseau ou ta machine.

Pas d’inquiétudes particulières à avoir je dirais, il y a des bots sur Internet dont le but est de scanner les machines accessibles depuis Internet à la recherche de failles connues et de couples d’utilisateur/mot de passe très simple (admin/admin par exemple) pour en prendre le contrôle. Tant que tu gardes ta machine à jour, que tu as des mots de passe forts et que tu sais ce que tu fais lorsque tu modifies la configuration des services accessibles depuis Internet, tu devrais être tranquille.

J’ai aussi de telles tentatives de connexions dans mes logs mais elles échouent toutes et Fail2ban limite fortement les possibilités d’attaque par force brute puisqu’il va bannir les IP pour un certain temps au bout d’un certain nombres de tentatives (1h toutes les 10 tentatives échouées de mémoire ?). A part ça, il n’y a pas grand-chose d’autres à faire à part bloquer toutes les ip qui ne sont pas françaises ou européennes par exemple si tu penses ne jamais avoir à te connecter à ton serveur en dehors de cette zone.

Si tu n’utilise pas du tout le mail en entrant et en sortant, tu peux aussi fermer les port 25, 587, 993 si ça t’inquiete. C’est les port utilisé pour le mail.

1 Like

Merci beaucoup pour votre aide et vos conseils.
Je vais essayer de les mettre en pratique.
Cordialement.
Ricardo