Bonjour Damien, ne jamais oublier que le Grand 1Ternet n'est jamais qu'un terrain de jeu en mode Best Effort. Le SMTP (S pour Simple) n'est pas et n'a jamais été prévu pour la sécurisation des échanges. Après, c'est quand même plus pratique que CFT pour s'envoyer des kiki par messagerie...
Dans les efforts pour lisser le bazar, on a pondu des RFC sur la bonne pratique de comment déployer et administrer un serveur SMTP. Parmi elles, avoir un reverse. Il n'est pas demandé à ce qu'il soit signifiant, juste qu'il existe. Il y même un avis plutôt répandu (ok on est de le feeling là) que le nom de serveur indiqué dans le HELO ne matche pas forcément avec le reverse. C'était pourtant un check quasi mandatory il y a 10 ans encore. Dans la même idée, on ne vérifie plus que le domaine du mailto: matche avec le serveur (hébergement mutualisé oblige) Ceci dit, nos serveurs bloquent quelques milliers de mails/J sur non résolution inverse. Et si on se donne la peine de regarder, c'est un blocage à 90% légitime. Les 10% c'est souvent du Gros faiseurs qui s'en tapent "parce qu' Internet c'est MOI" (ou qu'ils ont embauché des young geek not RFC aware ? :-) Pour être fairplay, souvent sur des flux de mail annexe (genre invitation AD, confirmation, pas le O365 MBox) Je pourrai aller jusqu'à dire, ceux dont très peux de client payants ont conscience et donc ne se plaignent pas au service commercial. Le 90% on est dans des opérateurs de mass mail, des FAI GP, du pays de l'Est voir far east etc... Donc, oui, bloquer au niveau du MTA c'est économique en ressource et bon pour le PUE :-) Et oui, c'est basique et bien moi fin que l'analyse IA d'un GMail & consort pour 100W le mail Exemple de chiffre : Sur nos frontaux, un mail transite/bloque en moyenne <<<1s et <6s dans le pipe AntiSpamAV On peut prendre le raccourci de dire qu'un mail antispamAvé coûte >6x plus cher qu'il ne devrait. Et on va donc dire que maintenir le filtrage par reverse est ma contribution RSE ;-) Laurent-Charles FABRE Le sam. 23 oct. 2021 à 00:33, Damien DUJARDIN <damiendujar...@gmail.com> a écrit : > Merci pour les retours. > > Si je comprends bien c'est plus un problème de compatibilité qu'un réel > apport de sécurité. > > Vu que les opérateurs, même grand publics, génèrent des reverse pour toutes > leurs IPs, çe n'est plus vraiment justifié de nos jours. > > Damien > > Le ven. 22 oct. 2021 à 22:36, Alain Bitschiné <al...@bitschine.com> a > écrit : > > > Bonjour, > > > > Beaucoup de spams sont envoyés de machines corrompues, perso ou serveur. > > Ce contrôle permettait (c'est peut-être moins le cas maintenant) > d'éliminer > > beaucoup de ces machines. > > > > La configuration correcte de la résolution DNS inverse pour un serveur de > > messagerie est essentielle. Je dirais même que c'est la base. C'est un > > critère suffisant de rejet pour beaucoup de messageries... peut-être > parce > > que c'est un contrôle facile à mettre en place au niveau d'un MTA sans > > avoir à installer un vrai antispam. > > > > Je n'ai pas re-testé récemment, mais Google/Gmail, entre autres, > rejettait > > les mails de serveurs sans résolution inverse valide. Chez d'autres, même > > si ce n'est pas bloqué directement par le MTA, c'est pris en compte dans > le > > scoring du mail réalisé par les antispam. > > > > Il y a aussi des RBL qui utilisent ce critère... Même Microsoft demande > > que la résolution inverse soit correcte pour pouvoir être retiré de leur > > black list. > > > > Le nom de domaine du serveur qui envoie le mail n'a pas besoin de > > correspondre à celui de l'émetteur du mail. En revanche, il y a d'autres > > outils (SPF, DKIM, DMARC) qui permettent de vérifier qu'un serveur est > > habilité. > > > > Alain > > > > Le 22/10/2021 21:50, Damien DUJARDIN a écrit : > > > > Bonsoir à tous, > > > > Connaissez-vous l'apport de ce contrôle en terme de sécurité ? > > Vu qu'on ne contrôle pas que le reverse corresponde au domaine de l'email > > emeteur, j'ai du mal à voir ce qu'on essaye d'empêcher ? > > > > Damien > > > > Le ven. 22 oct. 2021 à 19:15, David Ponzone <david.ponz...@gmail.com> a > > écrit : > > > > Je suis une grosse feignasse, car j’utilise PowerDNS mais j’avais la > > flemme de chercher. > > Donc Paul, merci! > > > > Redoutable leur truc pour répondre une IP seulement si le service est > up…. > > > > Le 22 oct. 2021 à 18:54, Paul Caranton <caranton.p...@gmail.com> a > > > > écrit : > > > > > > Pour IPv6 (et IPv4), il est possible de générer des reverses à la volée > > > > avec PowerDNS et les enregistrements LUA : > > https://doc.powerdns.com/authoritative/lua-records/ > > > > > > Paul > > > > Le 22/10/2021 à 18:46, David Ponzone a écrit : > > > > Et j’ai tendance à penser qu’avec IPv6, ça va pas s’arranger. > > Ou alors va falloir utiliser du DNS avec génération à la volée du > > > > reverse quand il n’y a aucun reverse spécifique configuré. > > > > Ca existe peut-être déjà, j’ai pas regardé…. > > > > Le 22 oct. 2021 à 18:33, me <m...@saeroshi.xyz> a écrit : > > > > > > Sinon des ips sans reverse ça arrive de plus en plus en ce moment, > > > > j’ai de plus en plus ça ici > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
