Spamhaus, tentatives de connexion smtp et fail2ban

Support
1

What type of hardware are you using: VPS bought online
What YunoHost version are you running: 12.1.35
How are you able to access your server: The webadmin
SSH
Are you in a special context or did you perform specific tweaking on your YunoHost instance ?: no

Describe your issue

Hello,

j’ai depuis quelques jours des alertes du diagnostic auto m’indiquant que mon IP est blacklistée sur Spamhaus Zen et Spamhaus Composite Blocking list. Je ne peux rien y faire d’après eux, des emails semblent ne pas être livrés à leurs destinataires parce que la configuration du serveur de réception n’est pas bonne. Bon…

Ce qui me titille, c’est que mon instance n’est pas utilisée pour envoyer des emails, les domaines pris en charge ne sont pas utilisés à cette fin. J’imagine que les applications installées ont besoin de ça, mais pas les utilisateurs de l’instance. J’ai quand même regardé les logs de postfix et j’y vois beaucoup de choses comme ça

Nov 21 12:08:09 XXXXX postfix/smtpd[2362135]: disconnect from unknown[91.92.240.129] ehlo=1 auth=0/1 quit=1 commands=2/3
Nov 21 12:08:08 XXXXX postfix/smtpd[2362135]: connect from unknown[91.92.240.129]
Nov 21 12:07:47 XXXXX postfix/smtpd[2362135]: disconnect from unknown[213.209.157.185] ehlo=1 auth=0/1 quit=1 commands=2/3
Nov 21 12:07:47 XXXXX postfix/smtpd[2362135]: connect from unknown[213.209.157.185]

En première intention, je me dis que c’est “normal”, au moins autant que toutes les tentatives de connexion ssh sur le port 22. Est ce que quelqu’un peut confirmer ? Et par ailleurs, ces tentatives sont elles automatiquement prises en charge par fail2ban (ie les IP ajoutées à la liste des malfaisantes si elles insistent trop) ? Et enfin, comment savoir plus précisément qui utilise le serveur smtp de l’instance ?

Oui, beaucoup de questions. Très merci par avance.

Share relevant logs or error messages

2

Est-ce que tu peux partager le vrai message concret qui indique ça ..

3

Le voici. Parfois c’est avec l’IPv4 du serveur, parfois l’IPv6, parfois les 2.

=================================
Email (mail)
=================================

[ERROR] Your IP or domain MON_IP_ is blacklisted on Spamhaus ZEN
  - The blacklist reason is: "Error: open resolver; https://check.spamhaus.org/returnc/pub/xxxxx/"
  - After identifying why you are listed and fixing it, feel free to ask for your IP or domain to be removed on https://www.spamhaus.org/zen/
4

Bon, du coup cf toutes les autres discussions qui ont eu lieu a propos de spamhaus sur le forum … TL;DR, en soi ce message ne signifie pas que tu es blocklisté

Est-ce que tu es sur un VPS OVH avec de l’IPv6 ?

5

Je m’en doutais, j’ai déjà eu droit à d’autres messages liés à Spamhaus.
Non, je suis bien sur un VPS, mais chez pulseheberg

6

Et cat /etc/resolv.conf montre bien que ça utilise nameserver 127.0.0.1 comme résolveur DNS ?

7

Oui

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "resolvectl status" to see details about the actual nameservers.

nameserver 127.0.0.1
``
8

Et concernant les logs de postfix, est ce que mon analyse est la bonne (ie des gens/bots tentent et se font rejeter) ?

9

Difficile à dire avec juste les 4 lignes que tu as partagé, dans l’absolu elles me choquent pas, des bots peuvent tenter de bruteforcer SMTP / IMAP de la même manière que SSH, et il y a fail2ban en contre-mesure derrière. Le diagnostique de YunoHost peut aussi poker le serveur pour checker si il est exposé ou non.

10

Ok merci. Je vais rester vigilant mais je n’ai pas plus d’alerte que ça.

11

j’ai ce souci depuis des années… je les ai contacté en 2022 et j’ai eu qq échanges pas très sympathiques avec eux.

Mon IP est considéré comme spammer depuis et cela me pose parfois souci avec certains services ! Quand j’ai déménagé, ils ont recommencé au bout d’un moment sur mon autre adresse IP (mais tjrs chez free.fr) … alors que je n’ai aucun logiciel sur le sujet, ni même l’intention… le seul truc qui envoie plusieurs mails de tps en tps, c’est moodle (et donc, quand j’envoie des infos aux étudiants… rarement plus de 20 mails d’un coup)

Mais en résumé, à la fin du débat, en 2022, ils m’ont simplement demandé des sous. C’est con, j’ai recliqué sur le lien qui menait vers le ticket et tout a disparu ! bon c’était en 2022…

J’ai fait le tour des autres listes, en demandant, encore récemment avec IPQualityScore, ce qui pouvait justifier le fait d’être mis en “spammer” comme ca et aucun n’a pu me répondre.

Le seul point que j’ai glâné au fil du temps, c’est que j’ai une URL, chez 1&1 et que le mail que j’ai mis en contact (mon adresse free.fr) n’était pas du même domaine que mon URL (mooav.eu) et même en ayant corrigé cela, bah tjrs bloqué !

Alors ouais, ca t’aidera pas mais bon… voila.

12

Encore une fois, dans ce dont il est discuté ici, il n’y a rien qui tends à dire que le serveur en question est considéré comme “spammeur”.

Si on parle du message « Error: open resolver » cela ne veut PAS dire que le serveur est flaggué comme “spammeur” …

13

ah mais c’est la réponse qui m’a été faite quand j’ai demandé pourquoi j’étais mis sur leur liste…

et qui m’est confirmé à intervalles réguliers quand je suis bloqué pour utiliser tel ou tel service avec mes autres machines qui sont, pas de bol, sur la même IP. Régulièrement la rhétorique est d’ailleurs de dire que si je ne suis pas un spammeur, j’ai qu’à demander à mon fournisseur de changer mon adresse IP ! Ce qui, de un, n’est pas aussi simple et de deux, serait justement ce que ferait un spammer !

14

J’ai rien compris …

15

j’ai contacté spamhaus … en leur demandant pourquoi j’étais ban.

La seule réponse a été (en résumé) " ou bien vous etes un spammeur ou bien vous vous etes fait piraté" (ca remonte à plus de trois ans), quand mon YNH était sur une IP freebox à Marseille.

J’ai eu beau leur dire qu’ils étaient les seuls à considérer cela, qu’aucun des outils permettant de valider ou pas cette hypothèse disponibles sur le net ne considéraient mon IP comme “spammer” …

et après qq échanges, en gros, fallait sortir des sous pour passer à un niveau “au dessus” pour vérif. Donc, j’ai laissé pisser. C’est une plateforme péda pour aider mes étudiants, y’a pas d’argent dans le bouzin.

Quelque mois plus tard, je bouge mon serveur chez moi à Montpellier (tjrs free, sur une freebox delta) … et comme j’avais neutralisé l’alerte concernant spamhaus, bon… je ne m’en suis plus pré-occupé.

Puis j’ai voulu tester EarnApp par curiosité pour faire qq chose de mes vieux raspberry pi. Et là, flag, alerte, IP de vilain méchant. Je pose la question “ah nous faisons valider par IPQualityScore.. s’ils disent que vous êtes un méchant, ils ont raison.. vous n’avez qu’à demander à votre ISP de changer votre IP (wtf?)” … euh. bon. je re-vérifie mon IP sous toutes les coutures et j’apparais, en fait, uniquement chez Spamhaus. Tous les autres disent ok, no soucy, green light.
J’en discute avec IPQualityScore qui me disent qu’ils escaladent ma demande pour révision, après m’avoir demandé si j’étais un service de VPN et qq autres questions… mais évidemment, rien depuis. Sauf si je prends un service payant, je suppose ? (mais là, c’est une supposition).

Et donc, pour dire que c’est un souci récurrent… et que c’est assez agaçant quand tu essaies d’être carré partout et qu’en fait, ou bien ils s’en foutent, ou bien c’est un moyen pour grapiller trois sous.

16

Encore une fois, si le soucis c’est le message alors « Error: open resolver », alors ton IP n’est PAS listée. Si le message c’est un autre message qui dit que tu es listé, alors ça n’a pas de rapport avec cette discussion.

Bref, je close ce topic, c’était un sujet posté par un autre personne et son problème a été résolu …