Remove From My Forums

Envoie de spams par le, port 25

Question
1

Connectez-vous pour voter

Bonjour,

Je suis sous Windows serveur 2008 R2.

J'ai une gestions de ma clientèle sous Plesk et une gestion de mails toujours pas plesk avec MalEnable.

La configuration de ma messagerie est sur le port 587. MailEable fonctionne parfaitement et pas de spams.

Je reçois depuis quelques jours des alerte d'OVH (j'ai le serveur là bas,vous aurez compris) comme quoi j'ai des spams envoyés du serveur par le port 25 qui est donc suspendu pour cette raisons.

Les sites qui tournent sur mon serveur sont paramétrés en envoie de mails par une protection mot de passe et sur le port 587, là no soucis.

Je n'arrive pas à trouver un moyen pour savoir quelle serait le site piraté ou autre chose qui enverrait des spams par le port 25 vue que MaiEnable ne les voit pas passer...

Merci de votre aide.

Thierry

mardi 19 septembre 2017 18:18

Réponses

0

Connectez-vous pour voter
Bonjour,

Kaspersky réinstallé sous l’égide de Kaspersky.

Virus viré.

Serveur opérationnelle.

J'ai posé lé question suite au post de Loïc.. :"Je vous le point de vue sécurité : une machine corrompue doit être immédiatement retirée du réseau. Kaspersky ne vous dira pas autre chose, ou alors vous ne nous dites pas tout :)"

Réponse de Kaspersky.. ça c’était avant... -:))

Merci à tous.
- Marqué comme réponse Philippe BarthMVP vendredi 29 septembre 2017 17:52
vendredi 29 septembre 2017 11:43

Toutes les réponses

2

Connectez-vous pour voter
Si vous n'utilisez pas le port SMTP par défaut, activer le firewall intégrée et bloquer le traffic en sortie port TCP:25. Cela résoudra le problème immédiat. Quand à la corruption, vous avez certainement un moteur web cachée qui a son propre service de mailing et qui utilise votre serveur.
- Modifié Loïc Veirman mardi 19 septembre 2017 21:47
mardi 19 septembre 2017 18:29
1

Connectez-vous pour voter

Bonsoir et merci pour cette information,

Mais le port 25 est utilisé pour remonter les informations sur mon adresses mails au niveau de serveur et d'ovh qui passe aussi par le port 25.

Je ne veux pas désactivé ce port.

Mais juste trouver la source du problème...

Merci.

Thierry.

mardi 19 septembre 2017 19:58
1

Connectez-vous pour voter

Eh bien vous venez de trouver le problème : vous avez un virus/spamware sur le serveur visiblement. Passez le offline et faites un scan.

mardi 19 septembre 2017 20:32
2

Connectez-vous pour voter

Si vous n'utilisez pas le port SMTP par défaut, activer le firewall intégrée et bloquer le traffic en sortie port UDP:25. Cela résoudra le problème immédiat. Quand à la corruption, vous avez certainement un moteur web cachée qui a son propre service de mailing et qui utilise votre serveur.

Bonsoir,

le protocole SMTP sur le port 25 ne fonctionne que en TCP !

Et il vaut mieux le bloquer tant que vous ne trouvez pas l'origine des envois.

Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

mardi 19 septembre 2017 21:23
2

Connectez-vous pour voter

Vous pouvez utiliser un autre port pour la remontée d'information.

Pour toute application qui n'est pas une messagerie, c'est le port 587 qu'il faut utiliser.

A bientôt,
Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

mardi 19 septembre 2017 21:25
1

Connectez-vous pour voter

Si vous n'utilisez pas le port SMTP par défaut, activer le firewall intégrée et bloquer le traffic en sortie port UDP:25. Cela résoudra le problème immédiat. Quand à la corruption, vous avez certainement un moteur web cachée qui a son propre service de mailing et qui utilise votre serveur.

Bonsoir,

le protocole SMTP sur le port 25 ne fonctionne que en TCP !

Et il vaut mieux le bloquer tant que vous ne trouvez pas l'origine des envois.

Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(83 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

Tres juste, je me suis planté en rédigeant une doc en parrallèle ^^. Post corrigé (pour la postérité).

mardi 19 septembre 2017 21:47
1

Connectez-vous pour voter

Bonsoir à tous.

Le serveur est en production et je ne peux pas le passer en off line comme ça...

Mes sites sont dessus et je bosse avec...

L'anti virus ne trouve pas de virus ou autres pour répondre à Loïc Veirman.

J'aimerai juste savoir d'ou par les mails pour supprimer le site en question et le traiter lui par contre en off line.

Merci

Thierry.

mardi 19 septembre 2017 23:21
1

Connectez-vous pour voter
Si votre machine est infectée, votre antivirus est déjà mort (sinon, ils vous aurait alerté). Commencez donc déjà par vous assurerez que vos sites et vos ssystèmes sont bien à jour, que vous avez bien suivi les préconisations de configuration. essayez ensuite de détecter tout comportement inhabituel. Par exemple, mettez une sonde derrière votre serveur web et sniffé le traffic. vous pouvez aussi installer WireShark ou Network Monitor pour faire de la capture de paquet et essayer de comprendre ce qui part et vers où.

Bref, pour faire simple : votre système est corrompu et il n'existe pas de méthode pour identifier la source de la corruption si ce n'est de l'ingénierie système et réseau. Par définition, une corruption implique de se cacher, on ne peut donc pas la trouver comme ca.
- Modifié Loïc Veirman mercredi 20 septembre 2017 05:32
mercredi 20 septembre 2017 05:31
1

Connectez-vous pour voter

Bonjour,

Merci pour votre réponse.

Si l'anti-virus était "mort". Il me signalerait un dysfonctionnement, hors il ne l'est pas...

Je vais le désinstallé et le réinstallé par précaution mais je doute que ce soit cela.

Malheureusement tout les scripts qui envoient des spams ne sont pas détecté par l'antivirus.. Ce serait trop beau... (Déjà eut le cas quelque fois...).

Mes sites son à jours, php et les extensions aussi.

Merci par contre pour votre aide et les outils pour essayer de voir d'ou cela part.

Je teindrai le Thread au courant.

si vous avez d'autres lumières...

Merci

Thierry

mercredi 20 septembre 2017 08:10
1

Connectez-vous pour voter

Non, il est "mort", c'est à dire qu'il n'est plus en mesure de vous protéger puisque le virus a déjà fait le nécessaire pour le court-circuiter. En gros, vous ne pouvez plus lui faire confiance et la réinstallation n'y changera rien.

mercredi 20 septembre 2017 09:34
0

Connectez-vous pour voter

Re bonjour.

Kaspersky n'a pas l'air d'accord avec vous, mais en cas je vais en choisir un autre...

Ps : Tous les script qui envoie par les mail des spams ne sont pas obligatoirement détecté par les antivirus surtout en cas de piratage des mot de passe ou autres astuces du genre.

Mais merci de cette précision.. Je continue à chercher avec vos infos, les votre, celle de kaspersky, celle d'ovh et

Je vous tiens au courant...

Thierry

mercredi 20 septembre 2017 10:38
0

Connectez-vous pour voter

Je vous le point de vue sécurité : une machine corrompue doit être immédiatement retirée du réseau. Kaspersky ne vous dira pas autre chose, ou alors vous ne nous dites pas tout :)

Après, vous pouvez avoir un rootkit plus qu'un virus, un exploit sur une faille zero-day... Ou bien une mauvaise config, ca arrive :).

si vous activez le log du pare-feu et que vous tagger le flux sortant TCP/25 (SMTP) vous allez automatiquent connaître le nom du bianaier qui appelle l'appli. Avec ProcMon (sysintenrals) vous pourriez fliquer ensuite quel binaire fait appel à ce binaire précis. Tout cela, c'est de l'ingénierie système et demande bien sûr une certaine expérience. N'hésitez pas à vous faire épauler par un expert sur les technos que vous employé.

mercredi 20 septembre 2017 12:42
0

Connectez-vous pour voter

Bonjour,

Je vous ai tout dis.

Merci pour ces infos complémentaire. Et les versions "kasperky'es" diffèrent...

Je vais creuser et tientais ce Tread au courant.

Merci

Thierry

mercredi 20 septembre 2017 14:02
0

Connectez-vous pour voter

Dans tous les cas aucun antivirus garantit du 100%. Si il permet de fortement diminué le risque il n'est pas infaillible.

Vous pourrez le constatez en suivant les analyses de AV Comparative :

https://www.av-comparatives.org/

Sinon pour l'analyse, si vous ne souhaitez pas installer d'appli sur le serveur vous pouvez utiliser netsh pour capturer le trafic et message analyser pour l'analyser par après sur un autre poste, voir

https://blogs.msdn.microsoft.com/canberrapfe/2012/03/30/capture-a-network-trace-without-installing-anything-capture-a-network-trace-of-a-reboot/

mercredi 20 septembre 2017 19:21
0

Connectez-vous pour voter
Bonjour,

Kaspersky réinstallé sous l’égide de Kaspersky.

Virus viré.

Serveur opérationnelle.

J'ai posé lé question suite au post de Loïc.. :"Je vous le point de vue sécurité : une machine corrompue doit être immédiatement retirée du réseau. Kaspersky ne vous dira pas autre chose, ou alors vous ne nous dites pas tout :)"

Réponse de Kaspersky.. ça c’était avant... -:))

Merci à tous.
- Marqué comme réponse Philippe BarthMVP vendredi 29 septembre 2017 17:52
vendredi 29 septembre 2017 11:43
0

Connectez-vous pour voter

oh my god... Laissé une machine vérolé sur le réseau, quelle horeur... Et je sais de quoi je parles. Votre interlocuteur chez Kaspersky est un cancre, navré de le dire...

vendredi 29 septembre 2017 15:35
2

Connectez-vous pour voter

+1 pour Loïc

Dans les bonnes pratiques, en cas d'infection, il est recommandé d'isolé le poste sur le réseau. Le code malveillant a put s'introduire sur un poste sans être bloqué par l'antivirus, rien ne garantit que ce dernier l’empêchera de s'étendre.

Il est préférable de ne pas le redémarrer, cela permet à l'équipe info d'intervenir...

Voir les recommandations de l'ANSSI :

https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf

Une mauvaise réaction en cas d’incident de sécurité peut faire empirer la situation et empêcher de traiter correctement le problème. Le bon réflexe est de déconnecter la machine du réseau, pour stopper l’attaque. En revanche, il faut la maintenir sous tension et ne pas la redémarrer, pour ne pas perdre d’informations utiles pour l’analyse de l’attaque. Il faut ensuite prévenir la hiérarchie, ainsi que le référent en sécurité des systèmes d’information.

(EXTRAIT du document de l'ANSSI)

vendredi 29 septembre 2017 16:16
0

Connectez-vous pour voter

Bonsoir,

Apparemment les spams ne sont pas partie vue que le port était protégé...

J'ai réussis à enrailler le menace tout en restant en production..

Cancre.. ho ouicre !

Merci pour pour votre aide en tout cas..

vendredi 29 septembre 2017 16:16
0

Connectez-vous pour voter
Bonsoir,

Je vois que comme tout bon IT.. vous allez chercher les infos hautement placées..

Merci pour cette info, mais dans la vrai vie des petites entreprises, c'est une autre histoire.

Je prend note mais n’allons pas épiloguée ayant détecté l’étoffe d'un chef ^^

Merci pour toutes ces précisions.

Bonne continuation.
- Modifié Thierry-fox vendredi 29 septembre 2017 16:43
vendredi 29 septembre 2017 16:43
1

Connectez-vous pour voter

Bonsoir,

Je vois que comme tout bon IT.. vous allez chercher les infos hautement placées..

L'ANSSI cible également les petites entreprises . Les infos sont placées à la même hauteur pour tout utilisateur ayant un accès internet et sachant lire.

Merci pour cette info, mais dans la vrai vie des petites entreprises, c'est une autre histoire.

Merci j'ai fait plus de 10 ans de TPE et PME, la taille n'est pas un argument ...

Mais heureusement qu'il reste des gens comme vous, cela nous permet d'être rassuré sur notre utilité et notre avenir.

;-)

Les phrases du genre "mais dans la vrai vie" c'est bon pour des politiciens pas pour des informaticiens. Je reconnais que ce genre de phrase bidon a tendance à m'agacer ... On est la pour s'entraider et progresser pas pour se chercher des excuses.

J'espère que le lien aidera d'autres personnes également !

vendredi 29 septembre 2017 17:12
0

Connectez-vous pour voter

Bonsoir,

En tout cas le résultat et là, mon serveur est rester en production et mon virus a été dégagé sous l'Egide de Kespersky.

Après vos conseils sont entendus... mais je vois que l'humilité est de rigueur...

Cordialement.

vendredi 29 septembre 2017 17:50
0

Connectez-vous pour voter

En tout cas, c'est bon que vous ayez réussi la remise en service. Maintenant, je me fait l'avocat du diable : comment la vérole s'est-elle installée ? Qu'est-ce qui vous garantie que cela ne se reproduira pas ?

N'oubliez pas que l'AV Kaspersky a déjà été contourné une fois ! C'est important d'identifier comment, à minima pour vous rassurer sur l'impossibilité de voir ce reproduire l'infection :)

Bon courage :)

vendredi 29 septembre 2017 20:28
0

Connectez-vous pour voter

Bonsoir..

Haaa.. Une réaction sympathique... Je souligne avec plaisir.

Une personne à qui j'ai malheureusement laissé un peu trop de liberté... hébergement non surveillé..

Je n'y reviendrai plus..

L'Av etait un version mal adapté.. c’est corrigé depuis.

On apprend au fur et à mesure.

Merci.

vendredi 29 septembre 2017 21:00
0

Connectez-vous pour voter
Bonjour,

Je clos donc ce ticket.

Je remercie les personnes qui m'ont aidé.

Je souligne la sympathie de certains et les envolées lyriques pas toujours sympathiques d'autres dans leur aides...

N’oublions pas que nous sommes là pour nous entraider les uns les autres...

Il y a "manière" et "manière" de répondre même si l'on pense que l’autre se trompe. Cela s'appelle de la bienséance.

Bonne continuation à tous et à la prochaine.
- Modifié Thierry-fox mardi 3 octobre 2017 07:17
mardi 3 octobre 2017 07:16
2

Connectez-vous pour voter

Je souligne la sympathie de certains et les envolées lyriques pas toujours sympathiques d'autres dans leur aides...

C'est clair, on constate bien que vous ne pouvez vous empêcher de lancer des pics dans tous vos commentaire :

Je vois que comme tout bon IT.. vous allez chercher les infos hautement placées..

... Je cite un site accessible à tous désolé si la réponse ne vous arrange pas.

mais je vois que l'humilité est de rigueur...

Je ne vois pas ce que vient faire l'humilité avec le fait d'être franc et direct.

'ai posé lé question suite au post de Loïc.. :"Je vous le point de vue sécurité : une machine corrompue doit être immédiatement retirée du réseau. Kaspersky ne vous dira pas autre chose, ou alors vous ne nous dites pas tout :)"

Réponse de Kaspersky.. ça c’était avant... -:))

On va faire semblant d'y croire. Techniquement cela ne fait que dénigrer l'éditeur ce genre de réponse.

Techniquement je ne peux pas laisser un autre lecteur du forum croire que cette réponse est valable, et ceux même si cela heurte votre susceptibilité. Il est important d'essayer de mettre des conseils judicieux. Vous êtes libre d'argumenter, mais une remarque sans argument contraire au principe, pourrait influencer dans le mauvais sens d'autres lecteurs ..

Bonne continuation.

mardi 3 octobre 2017 09:33
0

Connectez-vous pour voter
Bonjour,

Je voulais voir si votre égo réagirait encore.. Cqfd.

Je n'ai envoyé des "pics" lorsque c'était nécessaire et quand on est agressif. Relisez bien le tout.

Quand à la franchise elle à bon dos.

Techniquement parlant j'ai donné des réponses qui ne vous arrangent pas non plus.

Les lecteurs trierons effectivement.

Bonne continuation aussi.
- Modifié Thierry-fox mardi 3 octobre 2017 10:08
mardi 3 octobre 2017 10:06

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

Envoie de spams par le, port 25

Question

Réponses

Toutes les réponses