Pour éviter la détection de mots contenus dans les spams, on avait vu apparaître il y a quelque temps la méthode “d’écriture verticale” (employé dans le célèbre “University Diplomas”)…

Cette méthode qui n’était plus beaucoup utilisée semble revenir…

Voici le source…
On peut noter les 2 premières lettres du premier mot de la ligne1, puis les 2 premières lettres du premier mot de la seconde ligne et ainsi de suite, rendant plus difficile la détection des mots par un filtre AntiSpam.

source14Sep2005

et voici le message tel qu’il apparaît au final, c’est à dire de manière parfaitement lisible:

tableau14sep2005

Un simple

telnet relay-test.mail-abuse.org

initie une demande de tests anti-relais SMTP sur votre IP..

Il n’y a peut etre pas toutes les combinaisons de tests possibles mais c’est quand même bien pratique pour se rassurer ou rassurer le client prudent chez qui vous venez d’installer un serveur SMTP…
On peut voir en temps réel les tests effectués ainsi que les réponses de notre serveur..
Logiquement le test doit se conclure par:

System appeared to reject relay attempts

La même en HTTP: http://www.abuse.net/relay.html

Grep permet de coloriser sa sortie avec le paramètre suivant

grep --color=always

Pour ne pas taper --color=always à chaque fois, on peut rajouter un alias dans le fichier .bashrc

alias grep='grep --color=always'

grepcolor23072005

Pour rendre plus lisible la sortie de la commande man en y ajoutant de la couleur, on peut effectuer la manip suivante qui consiste a utiliser la commande most au lieu de less lors d’un man:

sudo apt-get install most  
export PAGER=`which most`

Pour fixer la valeur PAGER définitivement

sudo vi /etc/security/pam_env.conf

puis modifier pour avoir les lignes

#PAGER DEFAULT=less  
PAGER DEFAULT=most

Voilà le résultat:

mancolor23072005

Même si le destinataire n’existe pas, le message est bloqué au moment du RCPT TO par le paramêtre postfix check_helo_access qui contient mes noms de domaines et mes Ips publiques…

Ceci permet de rejeter les machines qui envoient notre domaine ou notre IP en paramêtre HELO.

La RFC indique d’utiliser en paramêtre le nom FQDN de la machine émettrice (ou son IP entre crochet). Qui d’autre que mon serveur peut avoir ma propre IP ? (mes serveurs internes sont autorisés avant le check\_helo\_access par le paramêtre mynetworks

Merci à tous les spammeurs et codeurs de virus qui utilisent des moteurs SMTP qui ne respectent pas les RFCs..
Avec ce bloquage HELO, pas de risque de false positive…

On peut noter dans le log ci-dessous:

  • les destinataires dans l’ordre alphabétique (on est en plein dans les b)

  • le MAIL FROM change en cours..

  • Ip koréenne

A noter que Postfix rajoute par défaut un délai de 1 seconde pour chaque nouvelle erreur au bout de 10 erreurs, puis au bout de 20 erreurs, il coupe la session SMTP…

Jun 9 15:21:26 NomMachine postfix/smtpd-27461-: connect from unknown-211.105.250.100-  
Jun 9 15:21:28 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=braun@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:28 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=brewer@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:29 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=brewster@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:29 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=bried@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:30 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=britton@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:30 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=broussard@MonDomaine.tld proto=SMTP helo=<MonIPpublique>
Jun 9 15:21:31 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=gecgxv7sxezj@halifax.com to=bruno@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:32 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=sjtmww27jn@servint.com to=bryson@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:33 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=sjtmww27jn@servint.com to=bullard@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:33 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=sjtmww27jn@servint.com to=bunch@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:34 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=sjtmww27jn@servint.com to=burger@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:35 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=sjtmww27jn@servint.com to=burgess@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:37 NomMachine postfix/smtpd-27461-: NOQUEUE: reject: RCPT from unknown-211.105.250.100- 550 <MonIPpublique>: Helo command rejected: You are using my adress; from=sjtmww27jn@servint.com to=burgos@MonDomaine.tld proto=SMTP helo=<MonIPpublique>  
Jun 9 15:21:39 NomMachine postfix/smtpd-27461-: disconnect from unknown-211.105.250.100-