16 Aug 2018 
Centre d'assistance » Base de connaissances » Filtre pour détecter HELO/EHLO ylmf-pc
 Connexion [Mot de passe perdu] 
Courriel:
Mot de passe:
Se souvenir de moi:
 
 Recherche
 Détails des articles
 Filtre pour détecter HELO/EHLO ylmf-pc
Solution IceWarp toutes versions -

Problème rencontré
Une attaque courante depuis déjà quelques temps est effectuée par des serveurs qui s'identifient en SMTP par un "EHLO ylmf-pc". Elle est du type :

87.63.165.166   [A6BC] 19:39:19:248 Connected, local IP=192.168.10.2:587
87.63.165.166   [A6BC] 19:39:19:248 >>> 220-comserver.darnis.com ESMTP ...
87.63.165.166   [A6BC] 19:39:19:294 <<< EHLO ylmf-pc
87.63.165.166   [A6BC] 19:39:19:311 >>> 250-comserver.darnis.com Hello ylmf-pc [87.63.165.166], pleased to meet you....
87.63.165.166   [A6BC] 19:39:19:358 <<< AUTH LOGIN
87.63.165.166   [A6BC] 19:39:19:373 >>> 530 5.7.0 Must issue a STARTTLS command first
87.63.165.166   [A6BC] 19:39:19:436 *** <> <> 0 0 00:00:00 INCOMPLETE-SESSION
87.63.165.166   [A6BC] 19:39:19:436 Disconnected

La séquence se répète jusqu'à ce que l'adresse IP soit mise en prévention d'intrusion à cause d'un trop grand nombre de connexions.

Afin d'éliminer plus rapidement cette séquence facilement identifiable, un filtre spécifique a été élaboré.

Mise en place du filtre

- Télécharger le filtre ehlofilter.zip
- Ouvrir le fichier .zip et décompresser le fichier ehlofilter32.dll ou ehlofilter64.dll qui correspond à la version de votre serveur IceWarp
- Le copier dans le répertoire principal d'IceWarp
- Aller dans la console d'administration dans Email -> Règles -> onglet Filtres externes
- Ajouter le filtre :

- Faire "Valider"
- Redémarrer le service SMTP (Système -> Services -> onglet Général -> SMTP -> "Redémarrer le module SMTP"

Sur une connexion avec ce serveur, on obtient alors la séquence suivante :

127.0.0.1       [4218] 12:16:24 Connected, local IP=127.0.0.1:25
127.0.0.1       [4218] 12:16:24 >>> 220 iwdemo.fr ESMTP IceWarp 11.3.1.5 x64; Wed, 03 Feb 2016 12:16:24 +0100
127.0.0.1       [4218] 12:16:49 <<< ehlo ylmf-pc
127.0.0.1       [4218] 12:16:49 >>> 500 5.5.1 ylmf not welcome
127.0.0.1       [4218] 12:16:49 *** <> <> 0 0 00:00:00 INCOMPLETE-SESSION
127.0.0.1       [4218] 12:16:49 Disconnected



Maj 3 février 2016


Détails des articles
Code d'identification de l'article: 389
Créé le: 03 Feb 2016 11:48 AM

 Cette réponse m'a été utile  Cette réponse ne m'a pas été utile