Session 2014-2015 Projet Personnalisé Encadré #1 Problème blacklistage mails Thomas Ruvira PPE8 PROBLEME DE BLACKLISTAGE MAILS
Table des matières Contexte... 2 Analyse du message d erreur... 2 Trend Micro RBL+... 2 Pourquoi Exchange mais pas IMAP ni SMTP?... 3 Vérification des règles du pare-feu... 4 Règles de NAT... 4 Solution temporaire... 4 Recherche des envois de SPAM... 4 THOMAS RUVIRA 1
Contexte Du jour au lendemain, l organisation entière de La Ligue de l Enseignement 31 ne parvient plus à envoyer de mails à part ceux venant du serveur Exchange. Un message d erreur revient dès l envoi d un mail et ce pour tous les collaborateurs et toutes les adresses mails différentes de celles dont le suffixe est «@ligue31.org» (puisque gérées par le serveur Exchange FOL-EXCHSRV). La problématique est urgente et je n ai pas d information complémentaire à ce sujet. Analyse du message d erreur Après la déclaration d un ticket d incident concernant le problème, il convient d analyser le message d erreur reçu par tous les collaborateurs de La Ligue de l Enseignement 31 : Certains des destinataires ou tous les destinataires n'ont pas reçu votre message. Objet : RE: DEMANDE GROUPE 200 PAX Date : 09/03/2015 17:25 Impossible de contacter le(s) destinataire(s) suivant(s) : 'connaissancedeparis' le 09/03/2015 17:25 Erreur serveur : '550 Service unavailable; Client Host [195.68.123.34] blocked using Trend Micro RBL+. Please see http://www.mail-abuse.com/cgibin/lookup?ip_address=195.68.123.34 ' Ce message est reçu par tous, seuls les dates et objets diffèrent suivant la personne concernée et le mail qui a tenté d être envoyé. Les symptômes sont identiques et le message part bien de la boîte d envoi. Trend Micro RBL+ La première idée a été de vérifier les paramètres de Trend Micro. En effet, Trend est la solution que nous utilisons en terme de lutte anti-spam et antivirus d entreprise. Après une connexion sur l interface d administration interne, il s avère qu aucun mail n a été bloqué par celui-ci. Le blocage semble venir d une entité supérieure, en dehors de notre organisation. Après entretien téléphonique auprès de l entreprise Trend Micro, il s avère que nous sommes blacklistés sur 195.68.123.34 suite à l envoi de très nombreux spams. THOMAS RUVIRA 2
Pourquoi Exchange mais pas IMAP ni SMTP? Un simple détail du mail envoyé nous permet d obtenir des informations précises sur un mail. Exemple avec un test effectué plus tard pour la rédaction de ce projet en utilisant une adresse qui ne vient pas d Exchange (atfol31@laligue.org) : En surbrillance, j ai fait ressortir l IP avec laquelle le mail a été envoyé. En parallèle, j effectue un test depuis une adresse qui provient d exchange (truvira@laligue.org) : La différence saute aux yeux, l IP avec laquelle le mail est envoyé est différente suivant l utilisation d Exchange ou non. Je vérifie alors les règles de notre pare-feu et tente de comprendre pourquoi nos mails sont envoyés par 192.168.123.34 lorsque le compte est configuré avec le SMTP classique et avec 195.68.123.36 lorsque l on utilise Exchange. THOMAS RUVIRA 3
Vérification des règles du pare-feu Le logiciel Netasq Unified Manager me permet de visualiser et modifier toutes les règles du pare-feu de La Ligue de l Enseignement 31. Celui-ci est un U120 et gère tous les accès de l organisation. Règles de NAT Si les IP d envoi de mail sont différentes c est qu une ou plusieurs règles effectuent un NAT suivant leur provenance. Pour cela, je dois trouver ces règles : L adresse originale (FOL-EXCHSRV) est celle du serveur exchange en interne 10.31.1.7 et l adresse translatée par la règle (IP_COLT_Exch) correspond à 195.68.123.36. On trouve ici pourquoi les mails envoyés depuis Exchange passent par cette IP Publique 195.68.123.36. Pour les mails de type SMTP ne provenant pas d Exchange, ils obéissent à une règle par défaut et transitent donc via l IP Publique 195.68.123.34. C est également celle utilisée par les ports 80, 443 Solution temporaire Afin de permettre aux utilisateurs d envoyer de nouveaux leurs mails, il convient de résoudre le souci rapidement. Pour cela, je mets en place une solution temporaire permettant de faire transiter tous les mails de l entreprise sur une autre IP Publique dont nous disposons : 195.68.123.38. La solution ne résoudra pas notre envoi de spam mais permettra aux mails fiables de partir le temps de retirer le blacklistage. Pour cela, la règle est simple, je NAT tous les flux SMTP venant de notre domaine vers l IPPUBLIQUE38 : Après un temps d application, les utilisateurs peuvent envoyer des mails même s ils ne proviennent pas du serveur Exchange. Recherche des envois de SPAM Un ou plusieurs postes au sein de l organisation semble envoyer un grand nombre de mails indésirables. Afin de retrouver ce ou ces postes, j ai demandé des informations complémentaires concernant ces SPAM et Trend Micro a accepté de m envoyer un exemple de SPAM provenant de La Ligue de l Enseignement 31 et qui a entrainé notre blacklistage : THOMAS RUVIRA 4
Evidemment, ce mail n a volontairement pas été envoyé par un de nos collaborateurs, mais son PC (en admettant qu il soit seul) est probablement infecté. Cet exemple de SPAM ne m indique aucune information interne mais la date pourrait me permettre d effectuer des recherches dans les logs du pare-feu. Je dois alors trouver le ou les postes qui envoie(nt) un grand nombre de mails, probablement dans la plage de temps du 04 mars 2015 aux alentours de 12h09. En utilisant un logiciel (Netasq Realtime), il m est possible de lister toutes les connexions transitant par notre parefeu U120. J effectue donc une recherche concernant le protocole SMTP entre 12h08 et 12h20 le 04 mars 2015 et j obtiens un message d avertissement m indiquant que plus de 10 000 entrées vont être affichée : Effectivement, en 2 minutes de temps plus de 10 000 mails sont envoyés : THOMAS RUVIRA 5
L IP source nous indique que ceux-ci sont envoyés depuis 10.31.1.44. Nous avons donc trouvé la machine en interne qui envoi tous ces SPAM. Un simple ping a 10.31.1.44 nous donnera le nom du poste en question : (Pour la réalisation de ce projet, j ai préalablement changé de la machine en question afin de ne pas dévoiler l identité de l utilisateur responsable de ces mails indésirables) Le poste en question se nomme donc PC-RH et après de nombreuses vérifications antimalwares et antivirus, il s avère que le poste était bien infecté, ainsi que son fichier host. Après nettoyage, aucun mail indésirable n est envoyé depuis PC-RH ni aucune autre machine de l organisation de La Ligue de l Enseignement 31. Cette information nous a été vérifiée également par Trend Micro Service qui a par la suite retiré le blacklistage de l adresse 195.68.123.34. J ai pu ensuite retirer la règle permettant une solution temporaire. THOMAS RUVIRA 6