Bonjour,
 
il y a quelques jours mon IP publique a été blacklistée par divers services (CBL, LASHBACK, SPAMHAUS ZEN, TRUNCATE, SOPHOS). Cela a eu pour conséquence le blocage de mon serveur Exchange chez Orange Business (que j'utilise comme connecteur SMTP).
 
Chez CBL le message est clair :
"This IP is infected (or NATting for a computer that is infected) with the cutwail spambot. In other words, it's participating in a botnet."
 
J'ai donc fait les choses choses suivantes :
- désactiver les rapports de non-remise dans Exchange (postmaster répondait à chaque mail envoyé sur une adresse bidon, environ 5/h),
- bloquer le port 25 pour tout ce qui sort sauf si ça vient du serveur Exchange
- scanner le serveur avec antimalwarebytes et norton power eraser (recommandé par CBL) -> RAS
- désinfecter les deux pc en cause (des milliers de connexion à l'heure, visible dans les log du Firewall).
 
Bref vendredi après-midi je demande le dé-blacklistage de l'ip sur les services pré-cités, qui est actif en fin de journée.
 
Ce lundi matin je reviens, je refais un coup de Blacklist sur MXTOOLBOX et je suis de nouveau blacklisté !
 
Mes logs sur le firewall sont propres, je n'ai plus qu'une connexion sortante sur le port 25 du serveur mail toutes les 2 à 3 minutes, ce qui correspond réellement aux mails envoyés, et toujours sur la même IP (serveur SMTP d'Orange).
Les logs du suivi des messages d'Exchange sont propres, pas d'adresses farfelues ni de fréquence trop élevée.
 
Pour l'instant mes mails partent toujours, je ne suis pas bloqué chez Orange malgré mon blacklistage sur la 4 services pré-cités (je crois qu'ils utilisent plutôt SOPHOS chez qui je ne suis pas -encore- blacklisté).
 
Un conseil ?
 
Merci!
Yat'

Précision utile :
Un des postes clients en cause la semaine dernière, que je pensais avoir correctement désinfecté, a recommencé à envoyer des requêtes tout azimut. La personne était tout simplement absente ce matin, quand elle a rouvert sa session à 14h ça a donc recommencé de plus belle.
 
Or,
Le port 25 est bien bloqué, les logs sont clairs, les paquets sont rejetés.
Il y a également des envois sur le port 80 (http) et le port 443 (https), qui eux ne sont pas bloqués.
 
Pour moi cela n'explique quand même pas le re-blacklistage ??

Est ce que tu as un relay smtp ?
si oui, est ce qu'il accepte les connexions anonymes ?

A part Exchange et son connecteur d'envoi qui utilise le relais SMTP d'Orange (de manière authentifiée) je n'ai pas d'autre relai SMTP d'installé.

Bonjour,
Si je comprend bien, tes ordinateurs sortent en direct sur internet (port 443 et 80) ?
Si oui tu devrais mettre en place un proxy, afin d’éviter ce genre desagrément.
 
Quel antivirus utilises-tu sur les postes ?
 
 

Bonjour,
 
les pc sortent en direct, ça ne pose pas plus de problème que ça, sauf pour le pc infecté qui avait un rythme de 3 à 4 requêtes par seconde sur les ports 80 et 443 (j'imagine que ce sont des rapports envoyés au pirate).
 
Le proxy est un lointain projet mais qui dans mon cas d'infection ne servira pas à grand chose.
 
Concernant la partie anti-virus j'ai Nod32 sur les postes, et mes mails entrants passent par Protecmail. Tous les deux n'ont rien vu. J'ai lu sur divers sites que ces trojans sont extrêmement difficile à repérer (histoire de polymorphisme etc...), en attendant j'ai pu nettoyer les pc infectés grâce à l'action conjointe de Antimalwarebytes et Norton Power Eraser (https://security.symantec.com/nbrt/npe.aspx)
 
Je surveille régulièrement les logs du routeur et il n'y a plus de paquets suspects, je vais tenter un dé-blacklistage chez CBL et SPAMHAUS (ça a été automatique chez TRUNCATE), mais ils avertissent quand même : "If you continually delist 81.xx.xx.xx without fixing the problem, the CBL will eventually stop allowing the delisting of 81.xx.xx.xx."