Les attaques recommencent sur mailplus....

[jcpamart]

Salut,

Après une longue vague d'attaques le mois dernier voilà que les choses reprennent.

Le principal visé chez moi est mailplus.

J'ai donc augmenter le nombre de pays en provenance mais comme je reçois pas mal de mail de l'étranger, je ne peux pas tout bloquer non plus.

Bien sûr, le blocage auto se fait au bout de 2 tentatives, mais là ça reprend au rythme de 30 par jour....

J'ai bien lu tout ce qu'il y avait dans cette partie du forum, mais je me suis aperçu, que certaines IP n'étaient pas géolocalisables. J'ai tendance à utiliser SHODAN pour ça, un site assez fiable. Donc du coup, ces IP ne sont donc pas bloquées...

Sinon, trouver une liste exhaustive d'IP ) bannir d'avance, mais là j'ai pas trouvé... Y a bien des sites, mais je dirais autant que d'IP....

J'ai trouvé une solution Cloudflare pour routage d'emails, mais je voulais avoir votre avis avant....

Merci pour votre aide

[jcpamart]

Du coup, pour essayer de comprendre :

Dans ce cas il s'agit d'accès externe qui veut rentrer sur un compte mail ?

Ou j'ai compris de travers ?

*

Parce que pour moi c'est ça...

[PiwiLAbruti]

Oublie l'idée de bloquer des pays via le pare-feu, c'est inutile.

Est-ce que les ports tcp/993 et/ou tcp/995 sont ouverts sans aucune restriction ? Car d'après les logs, les tentatives d'authentification se feraient sur ces ports.

Poste une capture d'acran de MailPlus Server > Distribution.

[jcpamart]

Salut et merci,

Voici le screenshot

Et les ports redirigés sur le syno à partir de ma free pro.

[PiwiLAbruti]

Est-ce l'accès aux ports 465, 587, et 995 sont restreints dans le pare-feu du NAS ? (ces ports ne sont utilisés que par les clients)

Dans MailPlus Server, seuls les protocoles que j'utilise sont activés :

• 25, obligatoire pour communiquer avec les autres serveurs SMTP,
• 993 (IMAP) et 587 (SMTP) pour les clients mail.

Tous les autres sont désactivés.

[jcpamart]

il y a 7 minutes, PiwiLAbruti a dit :

Est-ce l'accès aux ports 465, 587, et 995 sont restreints dans le pare-feu du NAS ? (ces ports ne sont utilisés que par les clients)

Dans MailPlus Server, seuls les protocoles que j'utilise sont activés :

• 25, obligatoire pour communiquer avec les autres serveurs SMTP,
• 993 (IMAP) et 587 (SMTP) pour les clients mail.

Tous les autres sont désactivés.

De mémoire je les ai ouverts pour avoir accès à la messagerie depuis l'application mobile.

A part mon mobile, il n'y a pas d'autres utilité.

[PiwiLAbruti]

Donc tu pourrais restreindre l'accès externe à tes mails aux réseaux IP de ton opérateur mobile, c'est ce que je fais avec Free Mobile (deux réseaux IPv4 et un réseau IPv6, plus aucune tentative d'intrusion).

[jcpamart]

Ah ok,

Tu sais ou trouver les IP de Free mobile, parce que étant chez Free Pro, mon téléphone est chez Free forcément....

[PiwiLAbruti]

Sur bgpview.io par exemple (il y en a certainement d'autres), il te suffit de rechercher l'adresse IPv4 et/ou IPv6 de ton appareil pour trouver les réseaux correspondants.

Dans le cas de Free Mobile (grand public), j'ai pu identifier les réseaux suivants :

• 37.160/12
• 78.240/13
• 2a0d:e480::/29

⚠️ Free Pro utilise très probablement d'autres réseaux parmi ceux listés sur cette page (il y a un deuxième onglet pour les préfixes IPv6) :

• https://bgpview.io/search/freepro

----

Au passage, pour les modérateurs et membres très actifs de ce forum, cette méthode fera parti du tutoriel avancé sur la sécurité. 😉

Modifié le 29 juillet par PiwiLAbruti

[jcpamart]

@PiwiLAbruti

Salut,

Du coup j'ai reconstruit mon FW en mode entonnoir c'est à dire j'autorise et après je restreint jusqu'au tout restreindre à la fin.

Je me suis aperçu que mes sites web ne pouvaient plus utiliser le port 25 depuis l'extérieur.

J'ai donc désactivé le FW pour test, et là.... le port 25 n'est utilisable qu'en local.

C'est à dire que même si la Free Pro redirige le port 25 et sans FW sur le syno, impossible d'utiliser le service d'envoi de mail depuis l'extérieur.

Là je comprends plus rien.....

Je crois que je viens de trouver le soucis,

Aucun paquet PHP n'est configurable....

 

[PiwiLAbruti]

Installe toutes les versions de PHP disponibles dans le Centre de paquets, il y en aura bien une qui fonctionnera.

[jcpamart]

il y a 4 minutes, PiwiLAbruti a dit :

Installe toutes les versions de PHP disponibles dans le Centre de paquets, il y en aura bien une qui fonctionnera.

[PiwiLAbruti]

Aucune idée, essaye de redémarrer le paquet Web Station. Sinon, ouvre un ticket auprès du support Synology.

[jcpamart]

C'est réglé, merci @PiwiLAbruti

La configuration à du changer, et le support m'a installé le php 7.2 et 8.2...

[PiwiLAbruti]

Et pour le problème initial, tu ne dois plus avoir de tentatives d'intrusion.

[jcpamart]

il y a 28 minutes, PiwiLAbruti a dit :

Et pour le problème initial, tu ne dois plus avoir de tentatives d'intrusion.

Non du coup,

Mais je pense que mon petit serveur web à pris un coup. Un DS118 juste pour un petit site web.

Le reset ne fonctionne pas..... Pfff quelle journée

[PiwiLAbruti]

Tu as utilisé quels réseaux pour Free Pro ?

[CMDC]

Le 29/07/2024 à 1:32 PM, PiwiLAbruti a dit :

Donc tu pourrais restreindre l'accès externe à tes mails aux réseaux IP de ton opérateur mobile, c'est ce que je fais avec Free Mobile (deux réseaux IPv4 et un réseau IPv6, plus aucune tentative d'intrusion).

Il ne faut pas trop voyager .... 

EDIT> Ou, plus parano encore, laisser son smartphone sur VPN en permanence et n'autoriser que cette adresse 

Modifié le 31 juillet par CMDC

[jcpamart]

il y a 7 minutes, PiwiLAbruti a dit :

Tu as utilisé quels réseaux pour Free Pro ?

? Désolé j'ai pas compris ta question ?

[PiwiLAbruti]

Le 7/29/2024 à 2:44 PM, PiwiLAbruti a dit :

Sur bgpview.io par exemple (il y en a certainement d'autres), il te suffit de rechercher l'adresse IPv4 et/ou IPv6 de ton appareil pour trouver les réseaux correspondants.

[...]

⚠️ Free Pro utilise très probablement d'autres réseaux parmi ceux listés sur cette page (il y a un deuxième onglet pour les préfixes IPv6) :

• https://bgpview.io/search/freepro

As-tu recherché les réseaux Free Pro à autoriser dans le pare-feu du NAS ?

il y a 13 minutes, CMDC a dit :

Il ne faut pas trop voyager .... 

Ce n'est pas un problème, ça demande juste un peu d'organisation.

[jcpamart]

Il y a 6 heures, PiwiLAbruti a dit :

As-tu recherché les réseaux Free Pro à autoriser dans le pare-feu du NAS ?

Ce n'est pas un problème, ça demande juste un peu d'organisation.

Je pense que le plus simple est d'utiliser un accès VPN.

Chez moi j'ai une Free Pro et une Freebox Ultra. (les deux en fibre)

Le VPN de la Free Pro est OUT, y a rien qui marche, et les techs mettent tout sur le dos de Microsoft.

Alors que l'ULTRA, ça marche nickel.

Du coup, avec Open vpn, ça me ferait qu'une seule IP à gérer.

Reste qu'en plus, je suis en train de changer de tel, donc faire ça en pleine bascule, c'est pas simple....

Mais de sûr, j'y travaille...