identifier le port 25 sous Ventura

EROS

Membre actif
18 Janvier 2005
301
9
Lorraine
www.rodolphedesign.com
Bonjour,
Spamhaus.org m'indique que mon IP est bloqué.
J'ai fais plusieurs déblocages, y compris avec le FAI (SFR, aïe, pas aimable et obtu, pour certains interlocuteurs...).
Après décriptage des consignes Spamhaus, il me faudrait sécuriser le port 25 (Sous Mac OS Ventura).
Je ne trouve pas la manipe pour identifier quelle app utiliserait ce port.
Me trouvant dans l'incapacité d'envoyer des mails via l'application "mail".
Une idée ?
Merci de vos recommandations.
R
 
Quel est le fournisseur d'adresse e-mail (qui n'est pas nécessairement ton fournisseur d'accès à Internet) avec lequel tu essayes d'envoyer ton e-mail ?
Peux-tu poster une capture d'écran des réglages du compte d'envoi SMTP dans Mail ?
 
Quel est le fournisseur d'adresse e-mail (qui n'est pas nécessairement ton fournisseur d'accès à Internet) avec lequel tu essayes d'envoyer ton e-mail ?
Peux-tu poster une capture d'écran des réglages du compte d'envoi SMTP dans Mail ?
Hello Bicus,
Tout est bon dans les réglages SMTP (revus 3x avec l'assistance SFR), SFR pour le fournisseur et l'adresse est noos.fr acheté par numéricable puis par SFR.
Tout fonctionnait parfaitement depuis plusieurs mois...
Jusqu'à :
37.67.149.65 a été classée comme faisant partie d'un réseau proxy. Il existe un type de malware utilisant cette IP qui installe un proxy qui peut être utilisé pour presque tout, y compris l'envoi de spam ou le vol de données client. Cela devrait être plus préoccupant qu'une liste Spamhaus, qui est un symptôme et non le problème.Le proxy est installé sur un appareil (généralement un mobile Android, un Firestick, une sonnette intelligente, etc., mais aussi des iPad et des ordinateurs Windows) qui utilise votre IP pour envoyer du spam DIRECTEMENT sur Internet via le port 25 : cela est très souvent le résultat d'applications tierces « gratuites » comme des VPN, des déblocages de chaînes, du streaming, etc. installées sur l'appareil personnel de quelqu'un, généralement un téléphone.Informations techniquesImportant : si cette IP fonctionne comme un serveur de messagerie, elle doit ressembler et se comporter comme un serveur de messagerie, et cela inclut de ne pas changer constamment de HELO. Si votre serveur est configuré pour fonctionner de cette façon, il sera détecté comme infecté. Choisissez un seul HELO qui correspond au rDNS. Veuillez vous assurer que les enregistrements HELO, rDNS et A ont du sens et existent dans le DNS.Connexions récentes :(IP, horodatage UTC, valeur HELO)37.67.149.65 2024-09-28 23:35:00 65.149.67.37.rev.sfr.net37.67.149.65 2024-09-28 00:00:00 65.149.67.37.rev.sfr.net37.67.149.65 2024-09-27 20:25:00 65.149.67.37.rev.sfr.net37.67.149.65 2024-09-25 18:30:00 65.149.67.37.rev.sfr.net 37.67.149.65 2024-09-14 22:30:00 65.149.67.37.rev.sfr.net
Suivi du message "solution" :
Que faut-il faire à ce sujet ?Nous vous recommandons fortement de sécuriser votre pare-feu pour ne pas autoriser les paquets sortants sur le port 25, à l'exception de ceux provenant de n'importe quel serveur de messagerie de votre réseau local. L'envoi à distance de courrier électronique vers des serveurs sur Internet devrait toujours fonctionner s'il est basé sur le Web ou configuré correctement pour utiliser le port 587 à l'aide de SMTP-AUTH. Les réseaux invités doivent également être sécurisés.Une fois le port 25 sortant sécurisé, le proxy doit être trouvé et supprimé. Nous ne pouvons voir que ce qui vient de l'IP NAT (publique) ; tout ce qui se trouve à l'intérieur de votre réseau n'est visible que par vous. Vous pouvez commencer à vous connecter au routeur ou au pare-feu pour voir ce qui essaie d'utiliser le port 25 et cela devrait vous conduire directement au(x) périphérique(s) compromis.Suppression du CSSSi le problème sur 37.67.149.65 a été résolu, vous pouvez demander la suppression
 
En lisant, je conclus que la voie de sortie serait de trouver quel app utilise le port 25.
Ou bloquer ce port sur la box (?).
Là mes compétences s'arrêtent...
Merci du coup de pousse si possible.
 
Je vois que Saint-Thomas est dans les tuyaux :joy:
Capture d’écran 2024-09-30 à 11.06.04.webp
Capture SMTP Dany.webp

Comme tu le vois tout est OK, c'est Spamhaus qui bloque (message précédent)...
À priori vu un peu partout sur le net, c'est manifestement fréquent. Il semblerait que le port 25 soit incriminé, mais pas par les réglages SMTP de Mail, peut-être par la box SFR.
 
Salut,

Pour voir qui utilise une connexion sortante sur le port 25, on peut le voir dans les logs d'un Firewall, mais tu peux aussi utiliser une commande du Terminal:
sudo tcpdump -v port 25 -c 10
Tu tapes ton mot de passe

S'il y a une connexion sortante sur le port 25, on verra alors les 10 premiers segments TCP entre ta machine et le distant.
Dans la trace on verra le nom de domaine de ceui-ci.
Un whois donnera son adresse IP
On en saura alors peut-être un peu plus.
 
La capture d'écran me permet de constater que tu n'utilises pas le port 25 mais le port 465.
Cependant, SFR recommande plutôt le port 587 :


Ensuite va commencer le jeu très rigolo auquel j'ai joué y'a quelques mois (moi c'était avec laPoste.net) où il faut contacter le fournisseur de la boîte mail (SFR dans ton cas) puis Spamhaus, en alternance, et faire le passe-plat entre les deux, jusqu'à ce que Spamhaus soit assez satisfait pour décréter que tu n'es pas un spammeur et daigne débloquer ta plage d'adresses IP...
 
Salut,

Pour voir qui utilise une connexion sortante sur le port 25, on peut le voir dans les logs d'un Firewall, mais tu peux aussi utiliser une commande du Terminal:
sudo tcpdump -v port 25 -c 10
Tu tapes ton mot de passe

S'il y a une connexion sortante sur le port 25, on verra alors les 10 premiers segments TCP entre ta machine et le distant.
Dans la trace on verra le nom de domaine de ceui-ci.
Un whois donnera son adresse IP
On en saura alors peut-être un peu plus.
Oups, je voulais dire un nslookup donnera son adresse IP (et pas un whois) :joy:
 
Salut,

Pour voir qui utilise une connexion sortante sur le port 25, on peut le voir dans les logs d'un Firewall, mais tu peux aussi utiliser une commande du Terminal:
sudo tcpdump -v port 25 -c 10
Tu tapes ton mot de passe

S'il y a une connexion sortante sur le port 25, on verra alors les 10 premiers segments TCP entre ta machine et le distant.
Dans la trace on verra le nom de domaine de ceui-ci.
Un whois donnera son adresse IP
On en saura alors peut-être un peu plus.

La capture d'écran me permet de constater que tu n'utilises pas le port 25 mais le port 465.
Cependant, SFR recommande plutôt le port 587 :


Ensuite va commencer le jeu très rigolo auquel j'ai joué y'a quelques mois (moi c'était avec laPoste.net) où il faut contacter le fournisseur de la boîte mail (SFR dans ton cas) puis Spamhaus, en alternance, et faire le passe-plat entre les deux, jusqu'à ce que Spamhaus soit assez satisfait pour décréter que tu n'es pas un spammeur et daigne débloquer ta plage d'adresses IP...
Idem avec le 587 ! Spamhaus ce soir me dit tout est clean (plus dans la liste). Mais SMTP toujours sans sortie.
SFR ne me donne aucune piste, c'est désemparant ce comportement, on m'a même soutenu qu'il était impossible que l'IP soit black listé... Le type s’agaçait en plus, un comble.
 
Je ne sais pas si ça a un rapport, Mais SFR utilise le CG-NAT . L'adresse IP est partagée entre plusieurs utilisateurs (ils font mumuse avec les n° de ports TCP source pour les différencier).
Si tu es en CG-NAT, ton adresse IP est donc utilisée aussi par d'autres clients SFR, et si l'un deux a été blacklisté, tu l'es aussi...
Il faudrait peut-être demander à SFR une adresse IP non partagée.
Si c'est ça...
 
Dernière édition:
Je ne sais pas si ça a un rapport, Mais SFR utilise le CG-NAT . L'adresse IP est partagée entre plusieurs utilisateurs (ils font mumuse avec les n° de ports TCP source pour les différencier).
Si tu es en CG-NAT, ton adresse IP est donc utilisée aussi par d'autres clients SFR, et si l'un deux a été blacklisté, tu l'es aussi...
Il faudrait peut-être demander à SFR une adresse IP non partagée.
Si c'est ça...
Comment identifier le CG-NAT ? Réponse SFR : pas possible de changer l'IP à notre niveau.
 
Comment identifier le CG-NAT ? Réponse SFR : pas possible de changer l'IP à notre niveau.
Je ne suis pas chez SFR, mais leur réponse est bidon.
Bien sûr qu'ils peuvent affecter une adresse fixe IPv4 unique à un abonné. Le pb pour eux, c'est qu'ils n'ont pas assez d'adresse IPv4, donc, ils font de la CG-NAT. Je pense qu'il faut insister, et demander plutôt au niveau commercial, si au plan technique, ils ne sont pas habilités à le faire.
FREE le fait aussi, et, pour avoir une adresse IP non partagée, il faut demander une adresse IP Full stack

Après, pour le diag, il ne faut pas non plus ignorer le message de Spamhaus qui porte sur le port 25.
Regarde le post #9 sur la commande tcpdump. Tu peux la laisser tant que tu veux en tâche de fond. Si une demande de connexion se fait sur le port 25, tu la verras...

Ton compte de messagerie SFR (serveur SMTP port 465) était aussi bien configuré , même si par ailleurs SFR indique le port 587.
Il semble que ton cas (adresse noos) corresponde au port 465.
Regarde la question 9
 
Je ne suis pas chez SFR, mais leur réponse est bidon.
Bien sûr qu'ils peuvent affecter une adresse fixe IPv4 unique à un abonné. Le pb pour eux, c'est qu'ils n'ont pas assez d'adresse IPv4, donc, ils font de la CG-NAT. Je pense qu'il faut insister, et demander plutôt au niveau commercial, si au plan technique, ils ne sont pas habilités à le faire.
FREE le fait aussi, et, pour avoir une adresse IP non partagée, il faut demander une adresse IP Full stack
Je vais tenter la voie IP Full stack et donnerai suite après échange avec le service commercial.
Merci pour ces indications précises.
 
Salut à tous et un grand merci pour votre implication sur mon sujet fumant.

J'ai testé la mise hors tension de la box 8 SFR durant plusieurs heures et elle c'est connecté à un autre IP !
Miracle tout refonctionne... Mail opérationnel, tél etc.

Je n'avais pas connaissance du partage d'IP, c'est certainement la raison du problème initialement insoluble.
Et garde précieusement vos conseils avertis, si ça se reproduit j'irai vers le commercial SFR pour un IP Full Stack.

Encore merci à tous ! :sunglasses: