Vous êtes ici

Postfix : envoi de plainte automatique en cas de scan

Portrait de ivan

Ces derniers jours, j'ai remarqué une forte augmentation des scans à la recherche de serveurs mails mal configurés ("open relays"). Ces serveurs acceptent de transférer des courriels en provenance de n'importe qui (et non uniquement des utilisateurs enregistrés) : une aubaine pour les spammeurs qui peuvent les utiliser pour relayer leurs cochonneries.
Chaque jour, le rapport d'activité quotidien de mon serveur révèle un nombre important de tentatives :

 

Comme vous le savez peut-être, il existe pour chaque bloc d'aresses IP (ou presque) une adresse de contact à qui l'on peut écrire pour se plaindre des manquements à la nétiquette. J'avais commencé par envoyer des mails dits "d'abuse" manuels, mais j'ai vite réalisé que ça me prendrait un temps fou à chaque fois. J'ai donc décidé d'automatiser le tout afin que les fournisseurs d'accès puissent prendre des mesures contre leurs clients belliqueux (s'ils le désirent). Le script suivant traverse les logs zimbra, identifie les lignes suspectes et envoie un joli rapport au contact "abuse" de l'IP identifiée.

 

Pour que le script soit appelé tous les jours, il suffit d'éditer le script de rotation des logs de zimbra qui se trouve dans  . Si vous utilisez un autre front-end, le script à modifier sera différent mais l'esprit reste le même.

 

De cette manière, à chaque fois que les logs de Zimbra seront archivés, le script passera dessus juste avant qu'ils ne soient compressés. Pour finir, voici un simple exemple de mail généré :

 

Bref. Un petit truc qui ne coûte pas grand chose et qui, avec un volume suffisant de plaintes, pourrait bien faire perdre de précieuses machines aux spammeurs.
N'hésitez pas à modifier le script pour qu'il réagisse à d'autre types de comportements indésirables !

EDIT du 16/05/2014 : Modification du corps du mail pour inclure le fuseau horaire de l'horodatage.
EDIT du 08/08/2015 : Les courriels d'abuse ne sont plus envoyés aux exit nodes Tor, car ils ne peuvent rien faire pour retrouver les expéditeurs des courriels et les plaintes ne font qu'irriter leurs hébergeurs.