J’utilise un serveur de messagerie nommé Mdaemon. Ce type de serveur possède un client à installer sur le poste de l’utilisateur permettant d’être notifié lorsqu’un nouveau mail est reçu, de se connecter au webmail sans taper de mot de passe…
Bref, mon problème est que j’ai l’impression que quelqu’un l’a installé chez lui sur un poste infecté car la boite à laquelle il se connecte spam énormément et risque de nous blacklister.
En visualisant les logs de mon reverse proxy Vulture, j’ai remarqué que les UserAgents utilisés par ce logiciel sont "ComAgentWCIM" et “WCInterface”.
Avec Vulture, nous avons la possibilité d’utiliser le mod_security sur les applications de notre choix. Cela va me permettre d’ajouter une règle permettant de bloquer les UserAgents qui me concernent.
Règles utilisées :
Voici les règles que j’ai mis en place pour mon webmail :
SecRule REQUEST_HEADERS:User-Agent ".*ComAgent.*" "t:none,msg:’ComAgent Identifie’"
SecRule REQUEST_HEADERS:User-Agent ".*WCInterface.*" "t:none,msg:’WCInterface identifie’"
Explication :
SecRule : Déclare une règle de sécurité
REQUEST_HEADERS:User-Agent : Filtrer le User-agent du client web
".*ComAgent.*" : Le User-Agent contiendra ComAgent
“t:none” : Indique que toutes les translations ne effectuées avant cette règle ne seront pas appliquées. Une translation permet de remplacer une chaine par une autre par exemple.
“msg:” : Inscrit un message personnalisé dans les logs
Après avoir appliqué cette règle à l’application, il ne faut pas oublier de redémarrer l’interface de Vulture qui a été touchée.
- Partagez-le sur Facebook
- Ajoutez-le à Google Bookmarks
- Postez-le sur Google Buzz
- Partagez-le sur Technorati
- Tweetez-le !
- Partagez-le sur Reddit
- Publiez-le sur Identica
Autres articles similaires: