Comprendre les "warnings" de Reporter.

[Jeff777]

Bonjour,

J'ai programmé depuis plusieurs mois  un message quotidien de "Reporter" dans Mailplus Server.

Pour l'instant je n'ai reçu que des "warnings", rien de critique, mais je ne sais pas les interpréter. Est-ce que quelqu'un pourrait m'aider ?

Ci-dessous un exemple de message (Les localisations des IP donnent Grèce, Chine, USA).

L'IP chinoise 118.xxx.xxx.xxx est bloquée car les connexions multiples excèdent le paramétrage de Mailplus mais pourquoi n'est t-elle pas bloquée par le pare-feu du NAS qui interdit les requètes venant de chine ?

Le reste je ne comprends pas ce que cela veut dire.

Warnings
--------
  smtpd (total: 15)
         2   hostname tartanpion.com does not resolve to address 92.xxx.xxx.xxx
         2   TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol:ssl/statem/statem_srvr.c:1685:
         1   unknown[118.xxx.xxx.xxx]: SASL NTLM authentication failed: no mechanism available, username=[unknown]
         1   Connection rate limit exceeded: 12 from unknown[118.xxx.xxx.xxx] for service smtpd
         1   Connection rate limit exceeded: 13 from unknown[118.xxx.xxx.xxx] for service smtpd
         1   Connection rate limit exceeded: 11 from unknown[118.xxx.xxx.xxx] for service smtpd
         1   Connection rate limit exceeded: 14 from unknown[118.xxx.xxx.xxx] for service smtpd
         1   hostname scanner-07.yyyyyy-scanner.com does not resolve to address 167.xxx.xxx.xxx: Name or service not known
         1   hostname scanner-06.yyyyy-scanner.com does not resolve to address 167.xxx.xxx.xxx Name or service not known
         1   SASL authentication failure: Couldn't find mech NTLM
         1   TLS library problem: error:1420918C:SSL routines:tls_early_post_process_client_hello:version too low:ssl/statem/statem_srvr.c:1685:
         1   TLS library problem: error:142090FC:SSL routines:tls_early_post_process_client_hello:unknown protocol:ssl/statem/statem_srvr.c:1659:
         1   xsasl_cyrus_server_get_username: sasl_getprop SASL_USERNAME botch: can't request information until later in exchange

Fatal Errors: none

Panics: none

Master daemon messages: none

 

Merci de votre aide,  🙂

Modifié le 21 novembre 2024 par Jeff777

[PiwiLAbruti]

Il y a 1 heure, Jeff777 a dit :

pourquoi n'est t-elle pas bloquée par le pare-feu du NAS qui interdit les requètes venant de chine ?

Parce que les requêtes ne viennent pas de Chine mais du Japon : https://bgpview.io/ip/118.194.236.137

Il y a 2 heures, Jeff777 a dit :

Le reste je ne comprends pas ce que cela veut dire.

Ce ne sont que des alertes mineures, rien de bien inquiétant.

Est-ce que la configuration de l'envoi de ce rapport se fait dans MailPlus Server > Audit en cours > Onglet Gestion des journaux > Case à cocher Activer le rapport quotidien ?

Je viens de l'activer chez moi.

[Jeff777]

 

Il y a 1 heure, PiwiLAbruti a dit :

Parce que les requêtes ne viennent pas de Chine mais du Japon

 Ah oui ! ça me rassure. C'est ce site qui m'indiquait la chine : https://trouver-ip.com/index.php, j'utiliserai le tien dorénavant.

 

Il y a 1 heure, PiwiLAbruti a dit :

Audit en cours > Onglet Gestion des journaux > Case à cocher Activer le rapport quotidien ?

Oui

Il y a 1 heure, PiwiLAbruti a dit :

Ce ne sont que des alertes mineures, rien de bien inquiétant.

Oui mais j'aimerais bien comprendre ce que cela signifie. Il n'existe pas un site qui pourrait apporter des précisions?

Pour la première ligne  : tartanpion.com does not resolve to address 92.xxx.xxx.xxx

je viens de comprendre. Je trouvais curieux qu'un nom d'hôte ne puisse pas être résolu tout en donnant une IP, mais en faisant un nslookup, effectivement l'hôte donne une IP différente alors que  92.xxx.xxx.xxx donne bien  tartanpion.com

A signaler que j'ai modifié mon post ci-dessus car l'adresse que j'ai remplacée par "tartanpion.com" est une arnaque qui dit bloquer le PC. Si cela arrive il faut faire ctrl/alt/suppr  arrêter le navigateur, redémarrer le PC et ne pas restaurer le navigateur aux anciennes adresses.

Et bien sûr ne pas appeler le numéto de dépannage indiqué. 

Je suis désolé d'avoir écrit cette adresse véreuse ☹️

 

Modifié le 21 novembre 2024 par Jeff777

[PiwiLAbruti]

Il y a 4 heures, Jeff777 a dit :

Oui mais j'aimerais bien comprendre ce que cela signifie. Il n'existe pas un site qui pourrait apporter des précisions?

Non, ce sont des messages d'erreur générés par le binaire smtpd. Pour les comprendre, il suffit de les lire (ça paraît bête mais personne ne le fait) et de rechercher ce que signifient les acronymes.

• Les messages concernant TLS correspondent à des tentatives de compromission sur des version obsolètes du protocole (SSL est obsolète depuis 2015).
• L'authentification NTLM n'est pas supportée dans cette configuration de smtpd.
• Les messages Connection rate limit exceeded parlent d'eux-même.

Bref, rien d'inquiétant ni de bien intéressant à comprendre.

[PiwiLAbruti]

Le premier rapport de MailPlus Server que j'ai reçu indique des alertes du même types que celles que tu as relevées.

Elles sont principalement liées à des tentatives de compromission auxquelles la configuration de smtpd par Synology est insensible.

Warnings
--------
  smtpd (total: 5)
         1   hostname unused-space.coop.net does not resolve to address 206.168.34.57
         1   hostname scanner-201.hk2.censys-scanner.com does not resolve to address 199.45.154.123: Name or service not known
         1   non-SMTP command from unknown[5.101.0.66]: GET /aaa9 HTTP/1.1
         1   non-SMTP command from unknown[5.101.0.66]: GET /aab9 HTTP/1.1
         1   TLS library problem: error:14209102:SSL routines:tls_early_post_process_client_hello:unsupported protocol:ssl/statem/statem_srvr.c:1685:

Personnellement, ça me tape dans la gauche sans faire bouger la droite 🍒🙂