Bonjour a tous,
 
J'ai un enorme probleme a mon boulot, notre IP internet a été blacklistée sur plusieur site!!!
On s'est deja déblacklisté, mais on se fait reblacklister dans les heures qui suivent, et il nous menace maintenant de ne plus nous déblacklister si on ne regle pas le problème...
 
Si je comprend bien, nous somme considéré comme spameur... c'est ca???
 
Comment diagnostiquer le probleme?
Comment on "sniffe" tout un réseau? (pour trouver les machine infectées)
Comment on snif une interface choisie (d'un pc, d'un serveur, switch,...) a partir de mon poste de travail?
Comment empecher que l'on se serve de notre serveur mail pour spamer?
 
Config:
 
Réseau ethernet.
Serveur Windows 2000 avec Exghange, DNS, DHCP Active directory.
D'autre serveur Windows (2000, 2003), d'autre serveur linux.
Poste de travail en 98 (encor une 50ene) en 200 et xp (la majorité 200PC).
Serveur firewall (interscan viruswall 5) (mandrake 10.0)
Voila en gros...
 
J'ai du mal a saisir le probleme et je ne sais par ou commencer!
 
Merci de m'aider!

Je pense que tu aurais plus de chance si tu mettais ton post dans la section réseau...
Bonne chance.
 
Cyril.
 

dans les logs de ton firewall t'as rien  comme information ?

Salut,
 
d'après moi , ton serveur exchange (SMTP) n'est pas en relais fermé.  
Ce qui veux dire qu'on peut envoyer des messages à partir de ceux-ci sans être sur ton réseau...
 
Essais ça en 1er lieu
 
teste le  
http://vsmtp.pagasa.net/
 
2ement ( si il est ouvert) ferme le
 
http://www.unixwiz.net/techtips/ex [...] relay.html

Je regarde tout ca demain et je vous dit quoi!
 
Merci.

J'ai fais ce que vous me conseilliez, mais je ne me trouve pas plus avancé.
 
-Tout d'abord, les logs du firewall:
 
Trend Micro Interscan Viruswall

"Dupont" et "Mondomaine" sont de moi! ;-)
 
Seulment ces logs ne me dise pas grand chose, je n'ai bien sur mis que des exemple de ce que j'y trouve.
Qu'en penssez vous?
 
-Ensuite j'ai fais les teste sur le sit et le serveur est bien en relais fermé.
 
Pour que vous compreniez ma situation, sachez que je suis a ce poste d'administrateur (mon premier emploi!) depuis moin de 2 mois, ce qui explique que je sois un peu perdu!
 
PS Dois-je poster dans la partie réseau? Comme le propose cbo59?

Je te conseille de mettre une machine equipee d un firewall entre le routeur et le "modem" (en gros en derniere position avant l exterieur), de bloquer les ips de tous les sites qui te blacklistent et de surveiller le log, cela devrait t informer sur les sources du probleme et eviter que les proprietaires des sites en question ne se fachent definitivement.
 
Par firewall j entend bien sur un vrai firewall genre zonealarm ou sygate. Tu peux aussi te monter une machine en bridge (un vieux clou sous linux fait l affaire) equipee d un firewall (iptables ou, plus simple, shorewall) et d un soft de capture de packets tcp/ip (type ethereal), l avantage de ce genre de config est qu il suffit de l intercaler dans une portion de reseau pour avoir un log de tout ce qui transite par cette portion, bref, un outil (presque) indispensable pour tout admin reseau

donnez moi l'adresse de votre serveur je vais vous dire ce qui va pas

PS: si vous etes pas sur de la config de votre SMTP mieux vaut faire transiter vos mails par le SMTP de votre FAI, ça évite d'etre blacklisté a vie par n'importe quel domaine... l'option sous exchange bah je sais plus comment ça s'appelle...

J'ai sniffer un peu, et ce que j'en ressort pour le moment, c'est un poste de travail du reseau qui fait plein de requete arp vers toutes les machines (broadcast)...
 
Ca veut dire quoi ces requete arp ... et puis au fond, je cherche quoi exactement en sniffant?

alors amha
 
1/ vire la mandrake et fou debian ou freebsd pour ta gate ca sera un bon début.
2/ installer un antivirus sur ton parc. (si ce n'est deja fait mais tu n'en parles pas), ou alors scan tes machines avec secuser.com/antivirus.
3/ si une machine te parrait douteuse, débranche la et ensuite renseigne toi. Mais ne la laisse pas tout te pourrir.
 
edit : et sur la machine firewall / gate, fait un gros travaille de regle, qu'est ce qui doit sortir oui non comment etc... Travaille de fourmis a faire effectivement mais qui va empecher tout les programmes non validés par tes soins (worms et autre joyeuseté entre autres) de communiquer avec l'exterieur.
 
edit2 : si les sites qui te bannent / blacklistent ont forcement des traces, des logs, a te donner, ils te blacklistent pas comme ca, demande leurs des traces completes de ce quui vient de chez toi, les en-tetes, les ports, blablablabla.

Apres quelque vérifications, j'ai du mettre des antivirus sur des machhines qui n'étaient pas protégées, notament celle dont je parle plus haut et qui floodais avec des requete arp. (on a une machine avec f-secure en serveur et tous les dérivés pourposte de travail, pour serveurs...)
 
Comme nous allons changer de FAI prochainement, et apres ces vérifications et une baisse significative du trafic réseaux, j'ai retiré nos IP des listes hier, et ca semble tenir. J'ai cependant une question sur une remarque de l'un de ces site. Je ne comprend pas ce dont il parle (en gras principalement):
 

 
je ne sais de quoi il parle, j'ai un domaine, un ip pour l'interface extérieur au réseau et il trouve que je suis chez skynet... que veut-il de plus? Que dois-je vérifier avant de les contacter?
 
Pour le firewall, vous me conseiller de bloquer tout et d'autoriser les application (=les ports) une a une? (pour repartir du bon pieds avec notre nouveau FAI)

 
Apparemment, par mesure de sécurité, peut etre excéssive, le serveur de ce domaine demande que vous
ayez un DNS dans lequel votre interface WAN est référencée en PTR et en A, c'est a dire il cherche votre adresse
IP, fait une requete DNS inverse (PTR) et regarde si l'un de ces enregistrements PTR correspond a votre
interface WAN (enregistrement A), en gros faudrait que  soit votre FAI gère le DNS de votre domaine, soit votre registrar s'il le fait, soit vous meme.
 

 
ça dépend ce qu'on appelle tout bloquer...mais en gros vaut mieux pas rediriger des ports sur vos serveurs si c'est pas utile c'est sur.

Ok, je vois de quoi tu parle pour le dns, en théorie du moins, je vais aller voir ca plus en detail.
Faut que je vois un peu ce que j peux faire avec mon FAI.
 
Pour le firewall faudra donc passer un peu de temps pour le configurer au mieu.
 
Merci.