Il semble que les gens envoient du spam via mon serveur de messagerie en utilisant l'authentification du serveur SMTP.
- Je reçois des courriers de courrier non remis
- Les rebonds contiennent les en-têtes Received: corrects de mon serveur de messagerie.
- Mon serveur mail n'est pas un relais ouvert
- J'ai changé les mots de passe pour tous les comptes sur le serveur
Exemples d'en-têtes du courrier d'origine:
Received: from mydomain.net ([190.236.249.21])
(authenticated bits=0)
by mymailserver.net with ESMTP id tA9FuD9m015519
for <[email protected]>; Mon, 9 Nov 2015 16:56:34 +0100
La propriété intellectuelle n’est pas la mienne, c’est en fait du Pérou et les mêmes types de courrier sont envoyés par des IP en Inde, en Malaisie, etc.
L'entrée correspondante dans le mail.log:
Nov 9 16:56:17 mymailserver sm-mta[15519]: AUTH=server, relay=[190.236.249.21], [email protected], mech=PLAIN, bits=0
Nov 9 16:56:20 mymailserver sm-mta[15519]: tA9FuD9h015519: from=<[email protected]>, size=428, class=0, nrcpts=1, msgid=<[email protected]>, proto=ESMTP, daemon=MTA, relay=[190.236.249.21]
Nov 9 16:56:20 mymailserver sm-mta[15519]: tA9FuD9h015519: Milter insert (0): header: Received-SPF: pass (mymailserver.net: authenticated connection) receiver=mymailserver.net; client-ip=190.236.249.21; helo=mydomain.net; [email protected]; x-software=spfmilter 0.97 http://www.acme.com/software/spfmilter/ with libspf-unknown;
Nov 9 16:56:23 mymailserver sm-mta[15519]: tA9FuD9i015519: from=<[email protected]>, size=451, class=0, nrcpts=1, msgid=<[email protected]>, proto=ESMTP, daemon=MTA, relay=[190.236.249.21]
Nov 9 16:56:23 mymailserver sm-mta[15519]: tA9FuD9i015519: Milter insert (0): header: Received-SPF: pass (mymailserver.net: authenticated connection) receiver=mymailserver.net; client-ip=190.236.249.21; helo=mydomain.net; [email protected]; x-software=spfmilter 0.97 http://www.acme.com/software/spfmilter/ with libspf-unknown;
Je suis perplexe - je ne sais pas comment ils obtiennent un) AUTH=server
et B) [email protected]
. Mais je ne suis pas sûr de savoir comment déboguer ceci, et je ne trouve rien sur Google pour désactiver ce type d'authentification, tout se réfère uniquement à l'authentification des clients (ce que je fais) et à l'identification vers d'autres serveurs lorsque sendmail est un client. (ce que je ne fais pas).