Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 01/11/2017, à 09:21

garthh

Problème de SPAM avec Postfix/LDAP/Dovecot

Bonjour,

Depuis quelques jours mon serveur émet du SPAM et je n'en trouve pas la source.

129464 Nov  1 08:12:54 srv1 postfix/smtpd[732]: connect from localhost.localdomain[127.0.0.1]
129465 Nov  1 08:12:54 srv1 postfix/smtpd[732]: 32B9FC01E5: client=localhost.localdomain[127.0.0.1]
129466 Nov  1 08:12:54 srv1 postfix/cleanup[714]: 32B9FC01E5: message-id=<DC463FB4-585C-4B8D-B0E6-51D64FF78069@bagsbug.net>
129467 Nov  1 08:12:54 srv1 postfix/smtpd[732]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
129468 Nov  1 08:12:54 srv1 postfix/qmgr[20348]: 32B9FC01E5: from=<chayak687@bagsbug.net>, size=1226, nrcpt=1 (queue active)
129469 Nov  1 08:12:54 srv1 amavis[30478]: (30478-12) Passed CLEAN {RelayedInbound}, [106.198.211.210]:35489 [106.198.211.210] <chayak687@bagsbug.net> -> <shialabeouf@celeb
129470 Nov  1 08:12:54 srv1 postfix/smtp[728]: B5974C006F: to=<shialabeouf@celebritykidz.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=2.5, delays=0.97/0/0/1.5, dsn=2.0.0,
129471 Nov  1 08:12:54 srv1 postfix/qmgr[20348]: B5974C006F: removed

Si j'identifie bien, c'est un envoie qui provient d'un service local sur ma machine ? (localhost.localdomain[127.0.0.1])
Je me suis dit que ça pouvait venir d'un script PHP moisi, j'ai ajouter un log de tout envoie de mail par les fonctions PHP et rien dans ce log lié aux envois.

J'ai ajouté l'interdiction d'émettre avec une adresse inconnue (en l'occurence chayak687 est inconnue), mais lorsque ça fonctionne, c'est une adresse connue qui est employée pour l'enveloppe.
Pour cette configuration, tout marchait très bien hier, et depuis ce matin, non !!!?

dans main.cf

smtpd_reject_unlisted_sender = yes
smtpd_sender_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     reject_unlisted_sender,
     reject_non_fqdn_hostname,
     reject_unknown_sender_domain,
     permit

Quelqu'un a-t-il une idée de où je peux regarder ? Je n'ai pas de sites dans d'autres langage que PHP qui sont hébergés en ce moment (le seul qui était encore en service est désactivé depuis hier pensant que le SPAM pouvait provenir de là => Mastodon)

Si quelqu'un a une idée... un garnd merci


Modération : merci d'utiliser les balises code (explications ici).

Dernière modification par cqfd93 (Le 01/11/2017, à 09:54)

Hors ligne