>> Si tu appliques les techniques de filtrage de mail en SORTIE de ton >> réseau/serveurs, tu peux découvrir les problèmes avant les receveurs >> et anticiper/éviter de te faire blacklister, mais ces outils ne se >> trouvent pas en OSS (faites moi signe autrement) et demandent de faire >> de l'intégration logicielle. > > On peut "retourner" un outil comme MailCleaner (voir mon mail précédent). > Et il peut alors effectuer le même boulot qu'en entrant (filtrage, drop, > quarantaine, etc). > > Mais, face aux "faux positifs" and co, ça ne t'empêchera pas de faire du > traitement manuel.
Je suis d'accord ceci dit détecter du spam en sortie c'est plus facile que de le détecter en entrée. Et si tu bloques un client, au moins tu as une relation contractuelle avec l'émetteur et tu peux le contacter bien plus facilement - au pire tu cause un délai a l'émission ce qui est mieux de des bounces. Pour reparler réseau et offrir un nouvel usage a netflow : <prêcher destination="mon église"> Dans mon gros monde utopique, il faut chercher a connaitre le "profil" des addresses IP émettrices de son réseau, par exemple : - client 1 envoie normalement deux mails par jour via le serveur SMP de son FAI, si il commence a faire de la résolution MX, il y a un problème : le cas classique des botnets - client 2 envoie des mails tous les jours via MX entre 08:00 et 18:00 et se met a en envoyer a 12:00 : encore un botnet :p - client 3 a son serveur de mail envoyant 50 mails par jours, et commence a envoyer 50 mails/minutes a Yahoo, MSN, etc. : le cas d'un mot de passe SMTPAUTH compromis, d'une machine derrière le même firewall NAT sous contrôle d'un botnet, etc. - client 4 envoie régulièrement des mails a un serveur et tout un coup commence a en envoyer des centaines, mais nul part ailleurs : surement une liste de diffusion legitime - client 5 envoie a vos serveurs SMTP des bounces : cela ne devrait pas arriver, encore un serveur exchange qui collecte les mails en POP et bounce les emails :) - client 6 envoie beaucoup de mails tout le temps mais aujourd'hui son rapport 5xx vs 2xx est vraiment mauvais, quelque chose cloche encore un fois Avec ces règles - et surement d'autres et du "fine tuning", un FAI peut surement détecter la plupart des problèmes de spam. Dites moi si vous avez d'autres idées de "règles". C'est ce que je dois finir avec mon projet anti-spam qui a été dormant durant plus d'un ans (cela va faire un an que je dis ça) ... Ceci dit ça marchait bien pour moi quand c'était en test sur mon reseau :) Cela me détectait des spams pour lesquels je ne recevait aucun rapport :) http://scavenger.exa.org.uk/ </prêcher> Thomas --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
