Bonjour à tous,
Depuis 3 jours j'observe de nombreux rapport DMARC envoyés par mes serveurs à destinations de plusieurs dizaines de domaines différents mais qui renvoient tous vers la même IP: 185.140.110.3 utilisée par une "administration" Hongroise ?
Je n'ai pas inspecté encore profondément les logs mais je me demande si d'autres personnes observent le phénomène ?
Le principe est le suivant:
1. Configurer l'adresse d'un domaine X vers l'IP 185.140.110.3 2. Configurer DMARC en mode rapport uniquement vers une l'adresse admin@X
3. envoyer un email à une adresse légitime et un contenu le plus neutre possible (pour ne pas être filtré) à partir d'un domaine X vers un maximum de cible
En réponse mes serveurs envoient des rapports vers l'adresse mentionnée m'impliquant (probablement) dans une forme de DDoS. A mon échelle c'est minuscule vers l'IP ciblée, c'est de l'ordre de quelques centaines de connexions par jour (tentatives) mais distribué ça peut probablement perturber un service...
Pour moi les hostilités ont débuté le 29/12 avec un pique hier.
Actuellement ma seule parade est de blacklister les domaines utilisés pour l'envoi des rapports et filtrer le l'IP ciblée histoire de ne pas participer à l'attaque. Mais du coup je bounce à mort :)
Bref suis-je le seul ?
PS: Bon réveillon à tous :)
Renaud
Le 31 décembre 2017 à 13:23, Renaud ml+frsag@manda.tagmail.eu a écrit :
Bonjour à tous,
Depuis 3 jours j'observe de nombreux rapport DMARC envoyés par mes serveurs à destinations de plusieurs dizaines de domaines différents mais qui renvoient tous vers la même IP: 185.140.110.3 utilisée par une "administration" Hongroise ?
Je n'ai pas inspecté encore profondément les logs mais je me demande si d'autres personnes observent le phénomène ?
Le principe est le suivant:
Configurer l'adresse d'un domaine X vers l'IP 185.140.110.3 Configurer DMARC en mode rapport uniquement vers une l'adresse admin@X envoyer un email à une adresse légitime et un contenu le plus neutre possible (pour ne pas être filtré) à partir d'un domaine X vers un maximum de cible
En réponse mes serveurs envoient des rapports vers l'adresse mentionnée m'impliquant (probablement) dans une forme de DDoS. A mon échelle c'est minuscule vers l'IP ciblée, c'est de l'ordre de quelques centaines de connexions par jour (tentatives) mais distribué ça peut probablement perturber un service...
Pour moi les hostilités ont débuté le 29/12 avec un pique hier.
Actuellement ma seule parade est de blacklister les domaines utilisés pour l'envoi des rapports et filtrer le l'IP ciblée histoire de ne pas participer à l'attaque. Mais du coup je bounce à mort :)
Bref suis-je le seul ?
PS: Bon réveillon à tous :)
Renaud
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Je pense que c'est -éventuellement- une attaque de type backscattering
Un exemple pour te protéger sur la doc de Postfix : http://www.postfix.org/BACKSCATTER_README.html
Bonnes fêtes -Thomas
-
Renaud -
Thomas Schweizer-Bolzonello