Selon Sucuri (blog), une enquête d’incident détaille comment une fonctionnalité apparemment anodine d’un formulaire de contact (« S’envoyer une copie ») a été détournée pour envoyer 149 700 spams, entraînant une saturation des services de messagerie du serveur.
• Constat initial 🚨: forte utilisation CPU liée aux processus dovecot/LMTP et présence de 149 700 emails dans la file d’attente Exim. Les en-têtes d’email indiquaient une origine localhost (127.0.0.1) avec authentification d’utilisateur local.
• Analyse technique 🔎: Les logs PHP ont révélé un schéma de double envoi via PHPMailer avec le préfixe d’objet « Copy of: ». L’investigation a écarté la présence de malware, de portes dérobées ou la compromission de bibliothèques.
• Cause racine 🧩: L’option du formulaire permettant à l’utilisateur de recevoir une copie de sa soumission a été exploitée par des bots pour relayer du spam via l’infrastructure légitime du serveur, contournant les filtres antispam en sortie. Les facteurs aggravants incluaient validation d’entrées insuffisante et absence de CAPTCHA.
• Réponse et remédiation 🛠️: Suspension des services, vidage de la file Exim, désactivation du formulaire, puis mise en place de CAPTCHA, limitation de débit (rate limiting) et enregistrements SPF. L’étude met en avant l’importance d’une défense en profondeur.
• Produits/Composants concernés 🧩: PHPMailer, Exim, Dovecot/LMTP.
IOCs
- Origine des envois: 127.0.0.1 (localhost) dans les en-têtes d’email.
TTPs
- Abus de fonctionnalité de formulaire (« S’envoyer une copie ») pour relayage de spam 📨
- Contournement des filtres via l’infrastructure légitime du serveur
- Soumissions automatisées par bots provoquant double envoi (« Copy of: »)
- Absence de CAPTCHA et validation d’entrées insuffisante
- Utilisation de PHPMailer avec authentification locale et file Exim saturée
Il s’agit d’un rapport d’incident/étude de cas visant à documenter l’enquête, la cause racine et les mesures correctives mises en œuvre.
🔗 Source originale : https://blog.sucuri.net/2025/10/contact-form-spam-attack-an-innocent-feature-caused-a-massive-problem.html