Wireshark - identifier l’envoi de spams sur son réseau

, par  admin

Bonjour,

Dans ce petit tutoriel, nous allons utiliser Wireshark afin d’identifier une machine potentiellement infectée par un virus et qui envoi des spams via notre domaine.

Lancer Wireshark
Dans le menu Capture \ options, sélectionnez l’interface configurée sur le port mirroring de votre switch.
Il nous faut à présent scanner toutes les trames circulant via le port 25, en prenant soin d’exclure l’adresse IP de votre serveur de messagerie, autorisé lui à communiquer avec le protocole smtp.
dans le menu Capture Filter, saisissez les instructions suivantes, ou l’adresse 1.2.3.4 représente celle de votre serveur de messagerie.
tcp port 25 and not host 1.2.3.4

PNG
Cliquez ensuite sur Start pour lancer la capture.
Si rien ce s’affiche, cela est bon signe, aucune requête smtp n’est lancée hors de votre messagerie sur votre réseau.
Nous allons néanmoins vérifier que la capture fonctionne correctement en lancer une petite requête via telnet (sur un autre poste ou une interface réseau connecté au net)

Si la capture fonctionne correctement, vous devriez commencer à obtenir du trafic sur votre capture.

voilà pour ce tuto, très pratique en cas de blacklistage récurrent de votre domaine.

Un peu de théorie... Tous les cours théoriques