Sniffing de paquets sur fortigate
Problème : notre adresse publique est listée sur abuseat.org. Plusieurs fois, des spams ont été envoyés à partir de notre réseau. Aucun message n’est plus accepté par office 365. Le message de reply à rcpt to est : 550 5.7.1 Service unavailable, Client host [X.X.X.X] blocked using Spamhaus. To request removal from this list see https://www.spamhaus.org/query/ip/X.X.X.X AS(1440) [DB8EUR05FT058.eop-eur05.prod.protection.outlook.com Il faut donc trouver la machine incriminée. Le firewall utilisé est un fortigate 100D et l’OS est 5.2 Solution Il faut commencer par créer un filtre de capture de paquets. Sur la version 5.2 (si vous avez une autre version, l’url peut être différente) https://[firewall mgmt IP]/p/firewall/sniffer/ Cliquer sur New Choisir l’interface, cocher la case Enable Filers puis mettre 25 (port pour le smtp) et cliquer sur le bouton OK Créer un filtre par interface Lancer les captures. Sur la figure ci-dessus, on voit que 32 paquets ont été capturé sur l’