fr - Re: [sympa-fr] Innondation des logs par process bounced.pl

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Re: [sympa-fr] Innondation des logs par process bounced.pl

From: Olivier Fauveaux <adresse@cachée>
To: Cyril Quémeras <adresse@cachée>
Cc: adresse@cachée
Subject: Re: [sympa-fr] Innondation des logs par process bounced.pl
Date: Mon, 03 Dec 2007 13:45:03 +0100

Cyril Quémeras wrote:
    Bonjour à tous :-)

   Depuis quelques semaines, je remarque que sympa.log est littéralement innondé par des lignes comme celles-ci (plusieurs dizaines de milliers par jour, ça commence à faire !):

---------------------------------------------------------------------------
Nov 24 21:58:14 port-briac bounced[3604]: Cannot create /adresse@cachéeadresse@cachée|ihemail2.lucent.com|135.245.0.35|ihemail3.lucent.com|135.245.0.37|ihemail4.lucent.com|135.245.0.39|hoemail1.alcatel.com|192.160.6.148|hoemail2.alcatel.com|192.160.6.149|ihemail1.lucent.com|135.245.0.33|hoextdns1.lucent.com|192.11.226.171|hoextdns2.lucent.com|192.11.226.172|ihextdns1.lucent.com|135.245.0.1|ihextdns2.lucent.com|135.245.0.2%22%2c

Nov 24 21:58:14 port-briac bounced[3604]: error: no address found in message from "adresse@cachée|e.mx.mail.yahoo.com|216.39.53.1|f.mx.mail.yahoo.com|209.191.88.247|f.mx.mail.yahoo.com|209.191.88.247|g.mx.mail.yahoo.com|206.190.53.191|g.mx.mail.yahoo.com|206.190.53.191|a.mx.mail.yahoo.com|209.191.118.103|b.mx.mail.yahoo.com|66.196.97.250|c.mx.mail.yahoo.com|216.39.53.3|c.mx.mail.yahoo.com|216.39.53.3|d.mx.mail.yahoo.com|216.39.53.2|ns1.yahoo.com|66.218.71.63|ns2.yahoo.com|68.142.255.16|ns3.yahoo.com|217.12.4.104", for list enfants-malades

Nov 24 21:58:14 port-briac bounced[3604]: Cannot create /adresse@cachéeadresse@cachée|e.mx.mail.yahoo.com|216.39.53.1|f.mx.mail.yahoo.com|209.191.88.247|f.mx.mail.yahoo.com|209.191.88.247|g.mx.mail.yahoo.com|206.190.53.191|g.mx.mail.yahoo.com|206.190.53.191|a.mx.mail.yahoo.com|209.191.118.103|b.mx.mail.yahoo.com|66.196.97.250|c.mx.mail.yahoo.com|216.39.53.3|c.mx.mail.yahoo.com|216.39.53.3|d.mx.mail.yahoo.com|216.39.53.2|ns1.yahoo.com|66.218.71.63|ns2.yahoo.com|68.142.255.16|ns3.yahoo.com|217.12.4.104%22%2c

Nov 24 21:58:14 port-briac bounced[3604]: error: no address found in message from "adresse@cachée|bgw-mx3.surecom.com|137.236.154.108|bgw-mx3.surecom.com|137.236.154.106|bgw-mx3.surecom.com|137.236.154.105|bgw-mx3.surecom.com|137.236.154.106|bgw-mx1.surecom.com|137.236.154.101|bgw-mx1.surecom.com|137.236.154.101|bgw-mx2.surecom.com|137.236.154.104|bgw-mx2.surecom.com|137.236.154.104|ns1.xpedite.com|137.236.4.7|ns2.xpedite.com|137.236.4.11|ashdns1.xpedite.com|66.54.164.130|ashdns3.xpedite.com|66.54.164.132|nsmaster.xpedite.com|137.236.4.30", for list enfants-malades

Nov 24 21:58:14 port-briac bounced[3604]: Cannot create /adresse@cachéeadresse@cachée|bgw-mx3.surecom.com|137.236.154.108|bgw-mx3.surecom.com|137.236.154.106|bgw-mx3.surecom.com|137.236.154.105|bgw-mx3.surecom.com|137.236.154.106|bgw-mx1.surecom.com|137.236.154.101|bgw-mx1.surecom.com|137.236.154.101|bgw-mx2.surecom.com|137.236.154.104|bgw-mx2.surecom.com|137.236.154.104|ns1.xpedite.com|137.236.4.7|ns2.xpedite.com|137.236.4.11|ashdns1.xpedite.com|66.54.164.130|ashdns3.xpedite.com|66.54.164.132|nsmaster.xpedite.com|137.236.4.30%22%2c

Nov 24 21:58:14 port-briac bounced[3604]: error: no address found in message from "adresse@cachée|mailhost.eurosport.com|193.109.87.57|mailhost2.eurosport.com|212.23.181.104|ns1.coltfrance.com|195.68.0.12|indom10.indomco.com|217.174.200.97|indom20.indomco.net|67.30.129.90|ns0.eurosport.com|212.23.181.24|ns0.coltfrance.com|195.68.0.11|ns1.eurosport.com|212.23.181.25", for list gmo
---------------------------------------------------------------------------

   Est-ce que quelqu'un aurait une idée de l'origine de ce flood ?? Attaques à but de DOS ? Quelqu'un a-t-il déjà rencontré ça ?

   L'ajout, hier, d'un procédé anti-spam basé sur DNSBL, n'a strictement rien changé dans la quantité de ces lignes alors que pourtant, d'après mail.log, plusieurs milliers de spams sont depuis rejetés.

   Nous sommes sous Debian Etch, Sympa 5.2.3, Apache 2.2.3, MySQL 5.0.32, Perl 5.8.8, Sendmail 8.13.8.

Merci beaucoup pour votre avis :-)

Bonne fin de week-end,
Bonjour,

Il semblerait bien que vous soyez victime de spam par "retro-diffusion". Les mails sont envoyés avec "enfants-malades" comme expéditeur, vers des adresses récupérées dans les carnets d'adresses et autres clients de messagerie ou caches de navigateur, elles peuvent être également forgées...
Les messages sont donc probablement des notifications (bounce) comme quoi les mails n'ont pas été délivrés, ils sont envoyés par des domaines pour lesquels les adresses de destination empruntées sont invalides (ou bal pleines).
Plutôt que faire une vérification de la validité des adresses destinatrices, ils acceptent le mail, puis génèrent un bounce.
Ce bounce est adressé à l'expéditeur supposé, dans votre cas, la liste "enfants-malades"
Comme il's'agit de bounce, l'expéditeur côté enveloppe doit être "<>" .
Il y a actuellement, pas mal de spam qui arrivent par des serveurs de messagerie légitimes, car en plus de générer un bounce, celui-ci contient tout ou partie du message original (le SPAM).

J'ai fait l'expérience suivante avec une des adresses du log de votre mail :

1 - Envoi d'un mail à l'adresse adresse@cachée
# telnet mailhost.eurosport.com 25
Trying 193.109.87.57...
Connected to mailhost.eurosport.co.uk (193.109.87.57).
Escape character is '^]'.
220 mailhost.eurosport.com ESMTP Symantec Mail Security
ehlo mx1-lesseps.ac-versailles.fr
250-mailhost.eurosport.com
250-PIPELINING
250-SIZE 10485760
250-VRFY
250-ETRN
250 8BITMIME
mail from: adresse@cachée
250 Ok
rcpt to: adresse@cachée
250 Ok
data
354 End data with <CR><LF>.<CR><LF>
Subject : Test
From: adresse@cachée
To: adresse@cachée
Test, do not reply.
.
250 Ok: queued as B2B4F49800B
quit
221 Bye
Connection closed by foreign host.

2-Le mail a bien été accepté par le serveur, un bounce n'a pas tardé à arriver, l'expéditeur côté enveloppe étant "<>" :

##################################### Quelqu'entetes #####################################

Return-path: <>
Received: from EUISAEX801.headoffice.eurosport.tv (unknown [10.196.144.161])
	by mailhost2.eurosport.com (Symantec Mail Security) with ESMTP id 20BD94DC002
	for <adresse@cachée>; Mon, 03 Dec 2007 15:16:51 퍝 (CET)
From: adresse@cachée
Subject: Delivery Status Notification (Failure)

#######################################################################################
##################################### Le corps #####################################

This is an automatically generated Delivery Status Notification.

Delivery to the following recipients failed.

       adresse@cachée



  
Reporting-MTA: dns;EUISAEX801.headoffice.eurosport.tv Received-From-MTA: dns;mailhost.eurosport.com Arrival-Date: Mon, 3 Dec 2007 13:20:27 +0100 Final-Recipient: rfc822;adresse@cachée Action: failed Status: 5.1.1

Subject:
Test
From:
adresse@cachée
Date:
Mon, 3 Dec 2007 13:19:04 +0100 (CET)
To:
adresse@cachée
Test, do not reply.

  

############################################################################################

3-Si j'envoi un SPAM avec "enfants-malades" comme expéditeurs, que celui-ci n'est pas détecté comme tel par leur passerelle anti-spam, le bounce sera certainement renvoyé à "enfants-malades"...

Voilà une origine probable de ce qui génère autant de lignes dans vos logs de Sympa...Envoyer une copie des mails destinés à cette liste sur une autre adresse pourrait donner plus d'info sur le contenu des messages en question.

Cdlt.

-- 
Olivier Fauveaux
Rectorat de Versailles

Re: [sympa-fr] Innondation des logs par process bounced.pl, David Verdin, 03/12/2007
- <Suite(s) possible(s)>
- Re: [sympa-fr] Innondation des logs par process bounced.pl, Olivier Fauveaux, 03/12/2007

Archives gérées par MHonArc 2.6.19+.

Archives de la liste

Re: [sympa-fr] Innondation des logs par process bounced.pl