Le 9 mars 2016 à 19:31, Olivier <oza.4...@gmail.com> a écrit : > Bonjour, > > Un opérateur m'a signalé qu'un (ou plusieurs) utilisateur d'un réseau que > j'administre émet du spam. > Il y a jusqu'à 200 machines sur ce réseau. > Je ne maîtrise pas ce qui est installé sur ces machines. > > Mes priorités sont: > 1. identifier rapidement la ou les machines émettrice(s) > 2. contrôler durablement le spam car: > - l'activité de spam semble accaparer une part importante de la bande > passante, > - je voudrai éviter que mon adresse IP soit "interdite". > > > L'architecture est: > Box ADSL (xN) ---- Routeur Debian ---- Points d'accès WiFi ----- PC ou > smartphones > > Tout le trafic transite par le routeur.
Si ce sont des sites qui tourne sur les machines, c'est peut-être la fonction mail() de PHP qui est en cause. Il est possible de la désactiver dans le php.ini 30 secondes de travail pour avoir la paix, avant de mener l'enquête dans les logs… > > Je pensais dans un premier temps, ajouter, dans mon fichier idoine du > répertoire /etc/network/if-pre-up.d des règles iptables supplémentaires. Quand ce qui cloche et comment ça cloche aura été détecté, c'est effectivement une bonne solution. > Avant de les codes, je me rends compte qu'il me reste plusieurs questions en > suspend après mes recherches sur Internet. > > 1. Comment un opérateur identifie-t-il un spam ? Est-ce à peu près comme ce > qui suit ? > "Un destinataire reçoit un courriel qu'il qualifie de spam. Il le signale à > son opérateur, qui va lire l'adresse IP source de l'émetteur, identifier > l'opérateur gérant cette IP, lui signaler l'abus et laisser celui-ci y mettre > fin (en informant son propre client ou bien en coupant le lien Internet)." > En d'autres termes, tout repose sur un signalement humain plutôt que sur des > mesures automatiques ? Les opérateurs ont des outils qui permettent d'analyser le type de trafic qui passe par chez eux. Je te recommande une conférence de Benjamin Sonntag sur le mail, accessible chez Youtube. Malheureusement, la réponse est à la fin. Mais le reste n'en est pas moins très intéressant. > > 2. Si j'interdis sur mon routeur le trafic transitant vers le port 25, > vais-je par défaut : > - interrompre tout le spam Oui :-) > - embêter ceux qui ont leur propre serveur de messagerie sur leur PC. Oui :-( > > 3. Est-il utile de faire quelque chose sur le port 587 ? J'ai compris que non. > > 4. Conseils et suggestions ? > > Slts >
