envoi de mail bloqué par Spamhaus

ChBl · ‎16/05/2025

Bonjour,

comme d'autres utilisateur je rencontre un problème d'envoie de mails bloqué par spamhaus avec le message donnée par Thunderbird :
Une erreur est survenue lors de l’envoi de l’e-mail. Le serveur de courrier a répondu : Client host rejected by spamhaus for spamming issues; please refer to Listed by XBL, see https://check.spamhaus.org/query/ip/37.67.XXX.XXX for further information. Veuillez vérifier l’adresse du destinataire NNNNNNN et essayer à nouveau.

J'ai vérifié, j'utilise bien le port 465 pour le serveur SMTP.
plus intriguant : je n'ai pas ce problème avec d'autres adresses mail (qui ne sont pas chez SFR et qui utilisent donc un autre serveur SMTP).

Comment puis-je vérifier qu'un appareil sur mon réseau n'est pas en train d'envoyer du spam ?
Merci pour l'aide.
Christophe

jnq35 · ‎16/05/2025

Bonjour, voici la page d'assistance concernant votre problème de blocage spamhaus https://assistance.sfr.fr/sfrmail-appli/sfrmail/message-erreur-spamhaus.html

Les ipv4 en cgnat étant partagée, il suffit qu'une autre personne avec votre ip partagé soit un spammeur pour que vous soyez, vous aussi, bloqué. Quel est le message d'erreur complet de spamhaus ?

FTTH Box 10+ Box 8 TV Connect TV 2

Ryry · ‎16/05/2025

Bonjour @ChBl

comme d'autres utilisateur je rencontre un problème d'envoie de mails bloqué par spamhaus

[...] Comment puis-je vérifier qu'un appareil sur mon réseau n'est pas en train d'envoyer du spam ?

Ne pas oublier, comme pour toutes ces autres discussions dont tu as pu t'inspirer, qu'il y a un point IMPORTANT à ne pas oublier et que vient de rappeler @jnq35

oui c'est bien toi (ou plutôt les envois de mail envoyé via l'adresse IP de ta box) qui subis ce problème de "punition" temporaire selon SpamHaus
mais ce n'est hélas pas forcément toi le coupable puisque désormais, avec le CGNAT chez SFR il y a 4 clients qui ton la même adresse IP de box (un peu comme si, pour les voitures, en France faut de numéros suffisants, on avait décidé de partager la même immatriculation entre 4 voitures différentes... heureusement la France n'a pas fait ça et a complètement revu le système de numérotation... Pour internet, même si les adresses IPv4 sont arrivés à épuisement (voir ICI) ont ne peut pas unilatéralement "décider de changer le système"... et donc il faut composer avec, et utiliser ce genre de "ruse", tant qu'il faudra garder un standard d'intercommunication avec les autres... Mais quand le monde entier sera compatible IPv6, on n'aura plus à se préoccuper de ce vieux standard arrivé à ses limites)

J'ai vérifié, j'utilise bien le port 465 pour le serveur SMTP.

Concernant ton problème lié à SpamHaus ça n'a aucune espèce d'importance :

soit ta configuration est mauvaise et ton mail ne sera pas parti et donc tu n'aurais jamais été identifié comme Spammeur puisque tu n'envoies rien
soit ta configuration est bonne, et ton mail serait parti, mais tu sais toi-même que tu n'envoies pas de volumes massifs illicites, donc tu n'es pas spammeurs

plus intriguant : je n'ai pas ce problème avec d'autres adresses mail (qui ne sont pas chez SFR et qui utilisent donc un autre serveur SMTP).

C'est justement parce que c'est un autre serveur SMTP qu'il n'y a pas obligation qu'il adopte les même précautions :

par exemple on peut parier que le serveur de Google ne s'appuie pas sur les listes établies (et vendues) par SpamHaus pour lutter contre le Spam
Google a la taille suffisante pour faire cavalier seul et ne pas "s'abaisser" à reposer sur une entreprise externe

S'il y avait un système de "recherche de criminels du SPAM" comme Interpol pour les forces de police, oui cela serait étonnant;

Mais là on est un peu comme dans une vérification sans interconnexion systématique "Interpol" : donc un policier qui te vérifie à tel endroit peut te bloquer, tandis qu'un autre à tel autre endroit ne te bloque pas n'étant pas au courant que tu es fiché selon l'autre organisation...

Bref, ce n'est pas "plus intriguant" du tout, c'est même rapporté par la majorité des autres discussions que tu as pu voir sur les blocages SpamHaus :

le client est bloqué sur certaines adresses (par exemple ses adresses sfr.fr)
et le même client n'a pas de problème avec un autre fournisseur comme Gmail, ou Yahoo ou que sais-je de séparé de SFR

Comment puis-je vérifier qu'un appareil sur mon réseau n'est pas en train d'envoyer du spam ?

Si cet appareil fait les choses bien et donc utilise un canal chiffré, aucun œil extérieur ne peut le déchiffré et l'observer.

Hélas...

Dans des cas plus simples tu peux utiliser des outils d'analyse réseau et voir si ça discute de "mails"... Mais vu ma remarque ci-dessus, je pense réellement que tu n'en découvriras pas : soit parce qu'il n'y en a pas, soit parce qu'il n'est pas observable étant chiffré...

C'est mon avis.

à+

Digiclient NC → parti de sa planète disparue, pour une nouvelle terre d'accueil ♥
LaBox THD 4K (V3) - Connexion FttLA à 1000↓↑40 Mbit/s

ChBl · ‎16/05/2025

Bonjour,

Merci pour vos réponses.

Le message complet est indiqué ci dessous.

Si j'ai bien compris, il ne me reste que la solution éteindre réallumer la box cette nuit car si le problème ne vient pas de chez moi, même en demandant à enlever l'adresse IP des listes, elle y retournera très vite...
Merci,
Christophe
Le message complet

37.67.XXX.XXX has 3 listings

Please don’t be alarmed! We understand finding your IP address, domain, URL or ASN on a blocklist can be worrying. This website will give you information about why you are listed and what you can do to ensure you don’t get listed again.

Where it is possible to request removal, we will help you through the process. However, if your IP is listed on the Spamhaus Blocklist (SBL), removal can only be requested by your Internet Service Provider (ISP).

--------------

1. eXploits Blocklist (XBL) & CSS Blocklist (CSS) - Why is this IP address listed?

The machine using this IP is infected with malware that is emitting spam, or is sharing a connection with an infected device.

As a result, this IP is listed in the

eXploits Blocklist (XBL)

and the

CSS Blocklist (CSS)

Click on More Info to see if you can request a delisting from this blocklist. This will also display any further information we have relating to this listing.

If this is a shared server, please call your hosting company or ISP!

Why was this IP listed?

37.67.XXX.XXX has been classified as part of a proxy network. There is a type of malware using this IP that installs a proxy that can be used for nearly anything, including sending spam or stealing customer data. This should be of more concern than a Spamhaus listing, which is a symptom and not the problem.

The proxy is installed on a device - usually an Android mobile, firestick, smart doorbell, etc, but also iPads, and Windows computers - that is using your IP to send spam DIRECTLY to the internet via port 25: This is very often the result of third party "free" apps like VPNs, channel unlockers, streaming, etc being installed on someone's personal device, usually a phone.

Technical information:

Recent connections:

(IP, UTC timestamp, HELO value)

37.67.XXX.XXX 2025-05-15 20:50:00 smtp-a.greenthumbfields.com

Items of note:

This issue is very likely to be caused by a personal device, such as a mobile phone, with residential proxy malware or a spambot installed on it. It is EXTREMELY rare for this to be the SMTP server at fault.
This is a simple explanation of how it can work.

Any devices with "free" VPNs, TV streaming, channel unlocking, or 3rd-party apps installed are the first things to check.

What should be done about it?

DYNAMIC IPs/MOBILE USERS

If you are NOT running a local mail server on this IP, please do the following:

Go to What Is My IP? and find out what your public IP is.
Call your ISP - the company that is providing your internet access via the IP you just looked up.
- Find out from your ISP if the IP is dedicated or dynamic.
- If it is dynamic, is it CG/NAT?
What are your outbound mail settings? Have your ISP verify your mail settings are correct:
- SMTP server name
- Outgoing SMTP port
- Are you using SMTP authentication - yes/no?
Once you have this information, open a ticket.

Please provide your verified mail settings in this ticket. Our ability to help you depends on this information!

STATIC IP/LOCAL MAIL SERVER(S)

Do you have one or more local SMTP servers? The problem is NOT your mail server. It is never the mail server. It is always someone's mobile device (phone, laptop, tablet), or more rarely a computer, somewhere on the LAN. There can be more than one!

These are the recent HELOs we have seen. If they match your mail server's rDNS, do not dismiss this, and read on.

(IP, UTC timestamp, HELO value)

37.67.XXX.XXX 2025-05-15 20:50:00 smtp-a.greenthumbfields.com

What to do:

Make sure port 25 access is limited to mail server access only / end-users should be using SMTP authentication on port 587 or 465
- Guest networks need to be limited too!
- Remote sending of email to servers via the Internet will still work if web-based, or configured properly to use port 587 using SMTP-AUTH.
Do you have clients or end users NAT'd to the same IP as your mailserver? If so, this is very likely to be the source of the problem.
Set up logging at the exit point and let it run for a few days to find anomalous port 25 traffic - these proxies do not necessarily fire every day.

Removal from XBL

If the problem on 37.67.XXXXXX2 has been addressed, you can request removal:

-----------------

2. Policy Blocklist (PBL) - This is for information only. No action is required (unless you run your own mail server).

This IP is listed on the

Policy Blocklist (PBL)

Don’t panic!

The inclusion of your IP address on the Policy Blocklist (PBL) is standard for the vast majority of internet users and is not the result of your actions. Here are some key PBL facts for your understanding:

If the IP address you are using is on PBL, you can still send email if you are using SMTP auth.
You do not need to request removal from PBL.
Listings on this blocklist are controlled by either your Internet Service Provider (ISP) or Spamhaus. Click on More Info for further details.
PBL contains ranges of IP addresses that shouldn’t be sending email directly to the internet.
Typically, IPs of broadband or dial-up customers will be included in this list.
This is part of Internet best practices enacted to protect all users.

Run your own mail server?

If you run your own mail server, and require removal from the PBL, please click on “More Info” to review your ISP’s policy. Once you have reviewed the policy, please tick the “I am running my own mail server” check-box at the bottom of the page to enable removal.

NOTE: Exclusions are only valid for 1 year unless the ISP sets a more restrictive policy. If your IP gets listed on another Spamhaus Blocklist, it will automatically be relisted on the PBL.

------------

37.66.0.0/15 is listed on the Policy Block List (PBL)

Outbound Email policy of NEUF CEGETEL for this IP range

Vous êtes listés par SPAMHAUS à la demande de NEUF-Cegetel. Votre adresse IP appartient à une plage dynamique et de ce fait ne doit pas envoyer de mail directement et nous vous conseillons d'envoyer vos mails via les serveur de NEUF-Cegetel (smtp.neuf.fr).

Vous trouverez toutes les informations nécessaires à la configuration de votre logiciel de messagerie en suivant ce lien http://assistance.neuf.fr.

Vous pouvez retirer vous même votre IP des listes de SPAMHAUS en cliquant sur le bouton "Remove an IP from PBL".

Si vous souhaitez des informations sur les raisons de cette politique vous pouvez adresser un mail à securiteinternet-abuse@info.sfr.com

Removal procedure

If you are not using normal email software, BUT instead are running a mail server AND you are the owner of a Static IP address in the range 37.66.0.0/15 AND you have a legitimate reason for operating a mail server on this IP THEN you can automatically remove (suppress) your static IP address from the PBL database.

About The PBL

The Spamhaus Policy Block List (PBL) is an international anti-spam system maintained by The Spamhaus Project in conjunction with Internet Service Providers and is used by Internet networks to enforce inbound email policies. The PBL database lists end-user IP address ranges which should not be delivering unauthenticated email to any mail server except those provided for specifically for that customer's use. The PBL lists only IP addresses (not domains or email addresses).

For full information on how the PBL operates please see the PBL Home page and the PBL Frequently Asked Questions.

TagadaTsoinTsoin · ‎16/05/2025

Bonjour @ChBl ,

(IP, UTC timestamp, HELO value)

37.67.XXX.XXX 2025-05-15 20:50:00 smtp-a.greenthumbfields.com

Il semble que c'est ce qui a déclenché les renifleurs de Spamhaus.

Quand un client SMTP se connecte à un serveur, il se présente (HELO)

En général avec votre adresse IP c'est "bonjour, moi c'est SFR"

Dans ce cas c'est greenthumbfields qui qui a dit bonjour au serveur--> Spamhaus réagit.

Il est donc possible que vous ayez (vous ou un autre client ayant la même adresse IP) essayé d'envoyer du courrier à votre insu.

Soit une machine chez vous est infectée (PC, smartphone, objet connecté, etc.) soit c'est chez un autre utilisateur ayant la même IP que vous.

Pour vous sortir de là, vous avez deux solutions.

- celle qui marche bien: vous désinscrire des listes de blocage (suivez la procédure sur le site Spamhaus)

- celle plus aléatoire: débrancher votre box un bon moment (on conseille une nuit) puis la rebrancher. L'adresse IP de votre box changera peut-être suite à cette manœuvre.

Si le blocage revient, il est possible que ce soit votre installation qui est en cause.

Si le blocage ne revient pas, l'origine du blocage était ailleurs.

ChBl · ‎16/05/2025

OK,

je viens d'essayer de retirer l'adresse IP. Cela n'a servi qu'à changer le message de Spamhauss, mais c'est toujours bloqué.
Au passage, le mail de confirmation de Spamhaus s'est retrouvé automatiquement ... dans les spams.... La classe quoi.
Je vais tenter le débranchement de la box.

Merci,

Christophe

TagadaTsoinTsoin · ‎16/05/2025

@ChBl

@ChBl a écrit :

OK,

je viens d'essayer de retirer l'adresse IP. Cela n'a servi qu'à changer le message de Spamhauss, mais c'est toujours bloqué.

Il me semblait que le déblocage était immédiat, il y a peut-être un délai avant déblocage.

L'IP de votre box est elle toujours dans 3 listes ou seulement une ?

Au passage, le mail de confirmation de Spamhaus s'est retrouvé automatiquement ... dans les spams.... La classe quoi.

Je reconnais bien l'antispam de SFR...

Je vais tenter le débranchement de la box.

Bonne chance.

Il est souvent conseillé de n'utiliser les adresses fournies par les FAI que pour la correspondance avec le FAI.

Pour le reste du courrier, passer par un fournisseur d'adresses mail dont c'est le cœur de métier.

--> https://www.clubic.com/internet/dossier-381409-les-meilleures-messageries-mail-en-ligne.html

Comme indiqué par @Ryry , chaque fournisseur utilise la/les liste/s de blocage de son choix

SFR passe par Spamhaus

Gmail a son propre système de contrôle

Orange passe par Abusix (si mes renseignements sont bons)

Etc.