2 votes

hsinxh avatar

Serveur de messagerie compromis. Yahoo refuse les mails

Demandé el 21 de Novembre, 2011
Quand la question a-t-elle été
5314 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je pense que notre serveur de messagerie a été compromis. Aujourd'hui matin, quand j'ai vérifié, il y avait 1298 mails refusés de Yahoo. avec ce message Messages from x.x.x.x.x(our ip) temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)

Les mails sont livrés à gmail pourtant. Je suis nouveau dans ce domaine, quelqu'un peut-il me suggérer où je dois commencer à chercher ? Nous utilisons Postfix et Dovecot sur le serveur Ubuntu 10.04. Et j'ai suivi ce guide ici https://help.ubuntu.com/community/MailServer

Demandé el 21 de Novembre, 2011 par hsinxh

Réponses

Trop de publicités?

3voto

ewwhite avatar
ewwhite Points 193555

PREMIEREMENT - Vérifiez votre système pour les signes d'un rootkit comme documenté ici , ici o ici . J'aime personnellement chkrootkit pour une vérification rapide.

1298 messages échoués, c'est beaucoup, en fonction de votre volume normal. Vous devez vérifier les messages de rebond pour voir s'ils ressemblent à des messages normaux de votre environnement. S'ils ne vous sont pas familiers, vous avez été compromis.

Nettoyez ! Si cela signifie une reconstruction, la recherche des mauvais processus, la restauration à partir de la sauvegarde, etc. Vous devez remédier à la situation qui a provoqué le blocage.

Je recommande également en faisant exactement ce que le message d'erreur indique . De là, naviguez jusqu'à :

http://help.yahoo.com/l/us/yahoo/mail/postmaster/errors/421-ts01.html

Yahoo déclare :

Lorsque vous voyez ce message d'erreur dans vos journaux SMTP (où x.x.x.x est votre adresse IP), cela est dû à l'une ou l'autre des raisons suivantes : Nous constatons un trafic inhabituel en provenance de votre adresse IP. Les e-mails provenant de votre serveur de messagerie génèrent des plaintes de la part des utilisateurs de Yahoo ! Mail. Veuillez noter qu'il s'agit généralement d'une situation temporaire, et nous vous encourageons à réessayer d'envoyer des e-mails à nos serveurs environ quatre heures après avoir rencontré ce message d'erreur. Si vous voyez cette erreur de façon constante sur une période de 48 heures, veuillez remplir le formulaire suivant ce formulaire pour nous donner assez d'informations pour que nous puissions poursuivre activement la question.

Visitez le formulaire mentionné dans l'avertissement et travailler à son déblocage.

Mais fixez les attentes de vos utilisateurs. Cela peut prendre un certain temps.

Répondu el 21 de Novembre, 2011 par ewwhite (193555 Points )

3voto

Andriyev avatar
Andriyev Points 9238

Je commencerais par regarder les logs de votre postfix. Recherchez une augmentation du flux de courrier supérieure à ce que vous voyez dans vos journaux dans le passé. Je rechercherais en particulier le courrier à destination de Yahoo, au cas où il s'agirait d'un problème spécifique à cette entreprise.

Si vous constatez une augmentation du flux de courrier, regardez dans les journaux pour voir à quoi correspond cette augmentation. S'agit-il de tonnes de courrier destinées à un seul utilisateur (comme un script qui envoie des messages automatisés), ou à un grand nombre de personnes (spam) ? Une fois que vous avez identifié une partie du courrier anormal, il suffit de le retracer et de trouver d'où il vient.
Vous pouvez également exécuter qshape deferred pour voir si vous avez encore du courrier en attente pour yahoo (ce qui devrait être le cas puisque vous obtenez un code de réponse 4xx). Si c'est le cas, vous pouvez voir les messages dans /var/spool/postfix/deferred (utilisez la commande postcat pour visualiser les messages).

Il est également possible que ce ne soit rien. Si votre serveur de messagerie n'envoie pas beaucoup de courrier au départ, même une augmentation minime, mais légitime, pourrait avoir déclenché les seuils de spam de Yahoo.
Le message de blocage que vous avez reçu disparaît généralement au bout de quelques heures si le problème à l'origine de votre blocage est résolu.

Répondu el 21 de Novembre, 2011 par Andriyev (9238 Points )

2voto

Bob Aman avatar
Bob Aman Points 19110

Il se peut que vous ayez été compromis. Mais avant cette hypothèse, quelques questions :

1) Est-ce que vous envoyez des mails en masse à partir de ce serveur ? Si c'est le cas, il se peut que les destinataires de Yahoo vous aient signalé comme un spam et qu'ils vous refusent.

2) Êtes-vous configuré comme un relais ouvert ? En d'autres termes, pouvez-vous relayer du courrier SMTP vers des domaines autres que le vôtre à partir de machines situées en dehors de votre réseau ? (Pour tester, utiliser ces instructions pour envoyer du courrier à un compte gmail ou autre). Si vous êtes un relais ouvert, il est possible que les spammeurs fassent rebondir le courrier sur votre serveur et que vous receviez des plaintes pour spam de la part de Yahoo.

Répondu el 21 de Novembre, 2011 par Bob Aman (19110 Points )

0voto

tasmanian_devil avatar
tasmanian_devil Points 204

J'ai eu un problème similaire avec Trend Micro. Votre adresse publique figure peut-être sur une liste noire ? Si vos utilisateurs utilisent internet via cette IP, peut-être que certains d'entre eux utilisent torrent ou d'autres logiciels p2p.

Répondu el 21 de Novembre, 2011 par tasmanian_devil (204 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X