Bonjour j'ai eu une attaque sur MailServer...:

 

L'adresse IP [4.246.187.39] a subi 1 échecs de tentatives de connexion à MailPlus Server exécuté sur NAS dans un intervalle de 15 minutes, et a été bloquée à 08/03/2023 13:18.

De NAS

 

$ whois 4.246.187.39

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/resources/registry/whois/tou/
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/resources/registry/whois/inaccuracy_reporting/
#
# Copyright 1997-2023, American Registry for Internet Numbers, Ltd.
#


NetRange:       4.240.0.0 - 4.255.255.255
CIDR:           4.240.0.0/12
NetName:        MSFT
NetHandle:      NET-4-240-0-0-2
Parent:         NET4 (NET-4-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       
Organization:   Microsoft Corporation (MSFT)
RegDate:        2021-04-06
Updated:        2021-04-06
Ref:            https://rdap.arin.net/registry/ip/4.240.0.0



OrgName:        Microsoft Corporation
OrgId:          MSFT
Address:        One Microsoft Way
City:           Redmond
StateProv:      WA
PostalCode:     98052
Country:        US
RegDate:        1998-07-10
Updated:        2022-03-28
Comment:        To report suspected security issues specific to traffic emanating from Microsoft online services, including the distribution of malicious content or other illicit or illegal material through a Microsoft online service, please submit reports to:
Comment:        * https://cert.microsoft.com.  
...

 

Bonsoir,

J'ai bloqué cette IP des USA hier à 20H14. Je n'y fais plus attention ...j'ai plus de 130 ip dans la black list.

@pluton212+ Seul le port tcp/25 a besoin d'être ouvert au monde entier pour communiquer avec d'autres MTA.

Tous les autres ports (110, 143, 465, 587, 993, et 995) doivent être restreints aux adresses IP (uniques, plages, réseaux) des clients.

À part des tentatives infructueuses de relaying, je n'ai aucune IP bloquée par tentative de connexion à MailPlus Server.

Salut,

oui je fais tout ça avec certainement plus ou moins de succés 🙂 .

J'ai posté parce que ça vient de Microsoft: une sorte de clin d'oeil 🙂 

Ça ne vient pas de Microsoft directement. Certes l'adresse IP leur appartient, mais il s'agit plutôt d'un serveur vérolé d'un client Microsoft Azure.

il y a une heure, PiwiLAbruti a dit :

Tous les autres ports (110, 143, 465, 587, 993, et 995) doivent être restreints aux adresses IP (uniques, plages, réseaux) des clients

Bonjour,

ça limite beaucoup l'usage de mailplus, non ? Chez moi les ports 25,465,587 et 993 sont ouverts conformément au tuto de ce forum.

il y a 38 minutes, Jeff777 a dit :

ça limite beaucoup l'usage de mailplus, non ?

Tu définis les règles selon tes besoins, donc implicitement ça ne limite pas ton usage.

Dans mon cas par exemple, je consulte les messages depuis mon téléphone 99% du temps. Donc seuls les réseaux de mon opérateur mobile ont accès aux port tcp/587 (SMTP) et tcp/993 (IMAPS).

il y a 21 minutes, PiwiLAbruti a dit :

Tu définis les règles selon tes besoins, donc implicitement ça ne limite pas ton usage.

Ok je vais consulter que localement ou de l'extérieur mais connecté à VPN Serveur. Mais est-ce que l'on pourra m'envoyer un message de n'importe où si je ne laisse que le port 25 ouvert?

@Jeff777 :

Il y a 4 heures, PiwiLAbruti a dit :

Seul le port tcp/25 a besoin d'être ouvert au monde entier pour communiquer avec d'autres MTA.

 

Merci @PiwiLAbruti  Mais après réflexion je ne comprends pas tout car :

Dans ce tuto :

 

il est écrit (en rouge !)

N'oubliez pas d'ouvrir les ports 25, 993 et 587 sur votre routeur et dans le pare feu du nas !!!

Même chose dans celui-ci :

 

 

Oui, c'est ce qu'il faut faire @Jeff777.

Par contre, il est inutile d'exposer au monde entier les ports tcp/587 et tcp/993 car ils ne concernent que les clients (ce qui n'est pas précisé dans le tutoriel).

Désolé @PiwiLAbrutije dois être un peu relou mais si j'ai bien compris les ports tcp/587 et tcp/993 ne doivent être ouverts que pour les IP à partir desquelles je suis sensé me connecter sur Mailplusserveur. Pour moi depuis le réseau local ou de l'extérieur avec VPN Serveur je vais pouvoir envoyer et récupérer mes emails sans être sujet aux attaques externes.

c'est ça ?

il y a 54 minutes, Jeff777 a dit :

[...] si j'ai bien compris les ports tcp/587 et tcp/993 ne doivent être ouverts que pour les IP à partir desquelles je suis sensé me connecter sur Mailplusserveur.

Voir réponses précédentes :

Il y a 7 heures, PiwiLAbruti a dit :

Tous les autres ports (110, 143, 465, 587, 993, et 995) doivent être restreints aux adresses IP (uniques, plages, réseaux) des clients.

Il y a 5 heures, PiwiLAbruti a dit :

Donc seuls les réseaux de mon opérateur mobile ont accès aux port tcp/587 (SMTP) et tcp/993 (IMAPS).

il y a une heure, PiwiLAbruti a dit :

Par contre, il est inutile d'exposer au monde entier les ports tcp/587 et tcp/993 car ils ne concernent que les clients (ce qui n'est pas précisé dans le tutoriel).

Je peux le répéter encore une fois si tu veux 😅

Le but est de limiter les tentatives d'authentification sur les services IMAP et SMTP destinés aux clients.

Il y a 1 heure, PiwiLAbruti a dit :

Je peux le répéter encore une fois si tu veux 

ça ira comme ça 😉. Merci