> Je suis cependant intrigué par la non-analyse du contenu du mail. Est > ce pour des raisons d'image publique (confidentialité des données, > tout ca, tout ca) ou pour des raisons de performances ou > persistances/stockage ?
Les deux - et l'aspect légal. Le but est de détecter des variations d'utilisation. Pour cela netflow est suffisant et je pense pouvoir l'ajouter au projet dans le futur. Richard Clayton a un bon papier sur le sujet, http://www.spamhints.org/ La raison pour pcap et pas netflow au depart est que le code de retour des mails serveurs sur le MAIL FROM est incroyablement utile, et prend peu de resource a traiter. L'autre est que le demon est inspire du "Postfix Policy Delegation Daemon" :) D'un cote légal, un client qui ce sert de votre plateforme mail (SMTP, etc.) vous donne un droit sur le traitement de l'information (c'est un service qu'il paye), ce n'est pas le cas pour cette application. Il faut donc que les T&C du FAI vous donne ce droit d'écoute. > Il est imaginable de faire un analyse par > blocks de texte hashés (ce qui permettrait de ne pas se faire avoir > par un bête compteur). Le ciel est la limite :D > Et une solution antispam sortant ne fait elle pas exactement la même > chose, avec le défaut d'être inband ? Pour savoir si une IP spamme. il faut pouvoir voir son activité. Seul les "IP reputation providers" avec des serveurs MX installes a travers la planète peuvent faire ça. Ce qui veut dire un service payant et cher, et souvent lent a réagir : il faut qu'ils aient reçu des spams pour affecter la réputation et la redistribuer. Du cote FAI, tu peux tout de suite remarquer qu'une machine configure pour utiliser le SMTP du FAI commence a faire de la resolution MX. Tu peux remarquer que soudain, toutes les minutes _un_ mail est envoye a _une_ IP differente - ce n'est pas un comportement normal. Il est donc plus facile de détecter un bot chez le FAI que sur le serveur MX. Généralise la pratique et tu as la solution miracle (ou presque). Je te revoie a ma presentation : http://wiki.exa.org.uk/_export/s5/scavenger/uknof12 Thomas --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
