Re: [FRnOG] Smtp de Wanadoo
On Fri, Nov 24, 2006 at 08:33:23PM +0100, Raphaël Marichez <[EMAIL PROTECTED]> wrote a message of 66 lines which said: > Au passage, le greylist n'est pas utilisable à très grande échelle, > à cause du nombre de triplets {IP, adresse source, adresse cible} > générés. Rien n'impose d'utiliser ces triplets. Certains font du greylisting avec uniquement l'adresse IP (pour Postgrey, c'est une option). --- Liste de diffusion du FRnOG http://www.frnog.org/
RE : [FRnOG] Smtp de Wanadoo
>Attention : si demain, tout le monde utilise le greylist, alors le >greylist ne sera plus efficace du tout puisque les spammeurs le >contourneront. (ça commence d'ailleurs a être le cas). Il suffit >d'embarquer un client SMTP capable de gérer un 2è envoi. > >Au passage, le greylist n'est pas utilisable à très grande >échelle, à cause >du nombre de triplets {IP, adresse source, adresse cible} générés. > Et surtout sur le fait que le message peut tres bien rester 1 journée dans la queue du serveur en face...Ca c'est le gros probleme du greylisting pour les gros envoyeurs de mails... Sebastien Gioria - DIT / PSQ / Sécurité MAAF Assurances / GIE Eurodem 79084 NIORT CEDEX 9 Tél : 05 49 34 33 29 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
> De plus, les RBLs faisant baisser considérablement la charge de nos machines, > c'est moi qui ne comprend pas pourquoi tout le monde, ou presque, et en train > de cracher dessus. Si > demain, vous utilisez les RBLs, ce ne sera plus un probleme. Si demain, tout le monde utilise SPF, et que tous les serveurs SMTP recquièrent l'utilisation de SPF, alors ça n'est plus un problème non plus :) > Je compte aussi utiliser dans peu de temps le système de greylist Attention : si demain, tout le monde utilise le greylist, alors le greylist ne sera plus efficace du tout puisque les spammeurs le contourneront. (ça commence d'ailleurs a être le cas). Il suffit d'embarquer un client SMTP capable de gérer un 2è envoi. Au passage, le greylist n'est pas utilisable à très grande échelle, à cause du nombre de triplets {IP, adresse source, adresse cible} générés. > qui me semble aussi relativement prometteur et efficace. Je pense qu'en le > positionnant avant les RBLs, on > optimise bien la chaine: à la fois réduction du spam et réduction de la > charge. J'ai pu expérimenter en production une solution intéressante de couplage de RBL et de greylist, mais pas comme tu dis : Ici les clients SMTP figurant dans les RBL sont greylistés et non pas blacklistés. Cela réduit l'impact négatif de faux-positifs (ils sont "juste" retardés), et ne réduit pas (ou peu) l'efficacité des RBL. Malheureusement je constate une augmentation des spams résistants au greylisting. Pas encore catastrophique cependant. -- Raphaël Marichez [EMAIL PROTECTED] pgp3RknlEKTkX.pgp Description: PGP signature
Re: [FRnOG] Smtp de Wanadoo
Le 24 nov. 06 à 14:34, Stephane Bortzmeyer a écrit : On Fri, Nov 24, 2006 at 01:55:10PM +0100, Guillaume Leccese <[EMAIL PROTECTED]> wrote a message of 105 lines which said: Evidement, il y a un risque de voir une source "propre" être black listé. Ca nous ai arrivé quelques fois. Généralement, c'est justifié, Bel optimisme, qui ne semble pas partagé par tous : http://www.halte-au-spam.com/ddm-blacklists.htm http://www.halte-au-spam.com/Blacklists_Resultats.pdf Hum Je suis assez d'accord avec ca... certaines RBL sont plus de l'ABL (Arbitrary Black Lists) que de vrai BL... Perso je les utilises avec SA ca aide un poil... /Xavier PS: pour stéphane je reviendrais sur une autre liste des mes histoires des classes de restrictions--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
Le Fri, Nov 24, 2006 at 05:28:12PM +0100, Guillaume Leccese [EMAIL PROTECTED] a écrit: > Oui, les RBLs sont dangereuses. Oui, ça pose, parfois, des problèmes. > Oui, nous prenons le risque, mais jusqu'à maintenant, nous n'avons > constaté AUCUN probleme anormal, ni AUCUN retour d'un client > insatisfait, bien au contraire. > > De plus, les RBLs faisant baisser considérablement la charge de nos > machines, c'est moi qui ne comprend pas pourquoi tout le monde, ou > presque, et en train de cracher dessus. Si demain, vous utilisez les > RBLs, ce ne sera plus un probleme. Ceux qui seront blacklistés le > prendront au sérieux ... Tout dépend des listes que tu utilises. Certaines sont gérées avec les pieds et listent tout et n'importe quoi (par exemple, les listes "multi hop" sont une c*nnerie sans nom). Dom -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 57, route de Paris 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
Oui, les RBLs sont dangereuses. Oui, ça pose, parfois, des problèmes. Oui, nous prenons le risque, mais jusqu'à maintenant, nous n'avons constaté AUCUN probleme anormal, ni AUCUN retour d'un client insatisfait, bien au contraire. De plus, les RBLs faisant baisser considérablement la charge de nos machines, c'est moi qui ne comprend pas pourquoi tout le monde, ou presque, et en train de cracher dessus. Si demain, vous utilisez les RBLs, ce ne sera plus un probleme. Ceux qui seront blacklistés le prendront au sérieux ... Nous croyons en ce système. Il nous permet d'encaisser jour après jour la charge supplémentaire des Spams, qui ne cessent d'augmenter depuis quelques mois. Car la solution n'est pas de rajouter des machines, ou une demi douzaine de softs supplémentaires augmentant ainsi la durée du traitement des mails ainsi que la charge des machines. Ce qui me choque, c'est qu'un groupe important puisse se retrouver dans une de ces listes. Il faut se demande pourquoi et comment ? Et que font-ils pour en sortir. Les RBLs permettent de luter efficacement contre le spam. Après, libre à chacun de s'en servir, ou pas et évidement d'avoir le même avis. Les spammers ne prendraient pas au sérieux ces initiatives (cf. les liens postés précédement) si ce système était inefficace. Leurs irritations devraient renforcer l'utilisation de cette technique, afin de la démocratiser. Je compte aussi utiliser dans peu de temps le système de greylist qui me semble aussi relativement prometteur et efficace. Je pense qu'en le positionnant avant les RBLs, on optimise bien la chaine: à la fois réduction du spam et réduction de la charge. Guillaume Aurélien Beaujean wrote: Le vendredi 24 novembre 2006 à 15:34, Sebastien Gioria écrivait: Tout simplement si l'opérateur offre un service anti-spam a certains abonnés... Si l'abonné en est conscient (et qu'en plus il paye ce service): soit. Je peux comprendre que les RBLs soient une aide à la décision de la détection d'un SPAM (scoring) mais en aucun cas fournir une décision ferme (rejet) comme il semble l'être suggéré plus haut dans le fil. PS: rappelle de la charte du site frnog -> FRnOG à pour but d'améliorer la qualité d'Internet et autres services IP en France. Je ne partage pas l'idée que les RBL contribuent à améliorer la qualité d'Internet et je ne souhaite à personne de voir un jour ses SMTP listés dans l'une d'entre elles. -- Guillaume Leccese - Consultant 13, rue Greneta 75003 Paris tel: 01 44 78 63 66 - fax: 01 44 78 63 65 http://www.oxalide.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
Sebastien GIORIA a écrit : PS: La discussion n'etait pas ciblée sur les RBLs, mais sur l'amélioration des filtres postfix des receptions wanadoo/orange :) Dans un sens, c'est agréable aussi. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
Le Fri, Nov 24, 2006 at 04:37:01PM +0100, Laurent MELE [EMAIL PROTECTED] a écrit: > J'entends bien. Mais nous devons avoir les seuls clients exigeants > (manière correcte de prononcer pénible en publique) dans ce cas. Oh, non, je pense qu'on a à peu près tous les mêmes :) > Le compromis qu'ils acceptent est assez simple : > - 0 spams > - 0 virus > - 0 s de temps de transit sur nos serveurs Oui... Mais certains se trompent vraiment d'outil, quand ils veulent utiliser le mail comme si c'était de l'IM. > > Alors nous devons mixer comme on peut... Mais je ne faisais que > retranscrire un maigre retour d'expérience avec les différentes > méthodes de filtrage que nous avons essayé de mettre en place de la > plus coercitive à la plus lâche. > > Concernant les RBLs, il est effectivement très dur de filtrer > correctement avec. Orange a très couramment au minimum un de ses > relais dans une bl quelque part (spamcop, cbl). Je pense > qu'effectivement l'ensemble des fournisseurs grand publique doit avoir > de sérieux problèmes avec ce point. Nous nous retrouvons avec des > situations loufoques du genre un mail sur deux passe en fonction du > relais de sortie. Et ceux qui ferment le port 25 en sortie, pour obliger à passer par leurs SMTP vont même sans doute avoir encore plus souvent le problème quand les virus/ vont généraliser de récupérer l'adresse du SMTP dans les infos de l'Outlook > Cependant le système de scoring a été pire pour nous. Les emails sont > tagués et les gens n'y font pas attention, ils créent une règle de > filtrage pour tout jeter. Bilan de l'opération un email perdu. Où Quoi > Comment ? Les manips de recherche nous coûtent plus de temps qu'autre > chose. Nous préférons donc donner une erreur à l'emetteur. Avec le problème que les expéditeurs sont le plus souvent forgés sur les spams et virus, et que tu augmentes le volume de courriels inutiles, amenant à ce que les "mailer daemon" ne soient plus lus non plus... Dom -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 57, route de Paris 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
RE : [FRnOG] Smtp de Wanadoo
Tout a fait d'accord avec vous, cela ne doit pas être une cause de rejet total, mais une aide a la décision. PS: La discussion n'etait pas ciblée sur les RBLs, mais sur l'amélioration des filtres postfix des receptions wanadoo/orange :) Sebastien Gioria - DIT / PSQ / Sécurité MAAF Assurances / GIE Eurodem 79084 NIORT CEDEX 9 Tél : 05 49 34 33 29 >-Message d'origine- >De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De >la part de Aurélien Beaujean >Envoyé : vendredi 24 novembre 2006 16:15 >À : frnog@frnog.org >Objet : Re: [FRnOG] Smtp de Wanadoo > > >Le vendredi 24 novembre 2006 à 15:34, Sebastien Gioria écrivait: >> Tout simplement si l'opérateur offre un service anti-spam a certains >> abonnés... > >Si l'abonné en est conscient (et qu'en plus il paye ce service): soit. >Je peux comprendre que les RBLs soient une aide à la décision de la >détection d'un SPAM (scoring) mais en aucun cas fournir une décision >ferme (rejet) comme il semble l'être suggéré plus haut dans le fil. > >> PS: rappelle de la charte du site frnog -> FRnOG à pour but >> d'améliorer la qualité d'Internet et autres services IP en France. > >Je ne partage pas l'idée que les RBL contribuent à améliorer la qualité >d'Internet et je ne souhaite à personne de voir un jour ses SMTP listés >dans l'une d'entre elles. > >-- >Auré >--- >Liste de diffusion du FRnOG >http://www.frnog.org/ > > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Smtp de Wanadoo
J'entends bien. Mais nous devons avoir les seuls clients exigeants (manière correcte de prononcer pénible en publique) dans ce cas. Le compromis qu'ils acceptent est assez simple : - 0 spams - 0 virus - 0 s de temps de transit sur nos serveurs Alors nous devons mixer comme on peut... Mais je ne faisais que retranscrire un maigre retour d'expérience avec les différentes méthodes de filtrage que nous avons essayé de mettre en place de la plus coercitive à la plus lâche. Concernant les RBLs, il est effectivement très dur de filtrer correctement avec. Orange a très couramment au minimum un de ses relais dans une bl quelque part (spamcop, cbl). Je pense qu'effectivement l'ensemble des fournisseurs grand publique doit avoir de sérieux problèmes avec ce point. Nous nous retrouvons avec des situations loufoques du genre un mail sur deux passe en fonction du relais de sortie. Cependant le système de scoring a été pire pour nous. Les emails sont tagués et les gens n'y font pas attention, ils créent une règle de filtrage pour tout jeter. Bilan de l'opération un email perdu. Où Quoi Comment ? Les manips de recherche nous coûtent plus de temps qu'autre chose. Nous préférons donc donner une erreur à l'emetteur. Juste pour resituer nous sommes relativement voir même très modestes en termes de fournitures d'accès Internet et de services associés et ne voyons passer sur nos frontaux qu'environs 200K mails / jour en réception. Une chose est sûre, il est moins acceptable pour nos clients d'avoir un mail rejeté avec erreur par nos serveurs, que de le jeter eux-mêmes (via une règle) sans s'en apercevoir et donc sans que personne ne soit averti. Je passe en ce moment pour ma part bien 60% de mon temps à essayer de trouver une méthode viable en dehors d'outils payants (commtouch ou autres) et je peine salement. Alors si quelqu'un à effectivement la solution miracle a moindre coût (financier + machine)... PS : pour certains lecteurs de cette ML. > -Message d'origine- > De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de > Dominique Rousseau > Envoyé : vendredi 24 novembre 2006 15:47 > À : frnog@frnog.org > Objet : Re: [FRnOG] Smtp de Wanadoo > > Le Fri, Nov 24, 2006 at 03:24:06PM +0100, Laurent MELE > [EMAIL PROTECTED] a écrit: > > Nous avons beaucoup plus de difficultés avec le greylisting qu'avec > > les rbls. Les clients acceptent très bien qu'un email soit rejeté d > > autant plus que l'émetteur est avisé. Par contre qu'il arrive avec 5 > > mins de retard dans le meilleur des cas, voir 2 heures pour certains > > MTA... Plus dur à faire accepter. > > Faut qu'ils utilisent de l'instant messaging, alors... > > > -- > Dominique Rousseau > Neuronnexion, Prestataire Internet & Intranet 57, route de Paris 8 > Amiens > tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.fr > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
Le Fri, Nov 24, 2006 at 03:24:06PM +0100, Laurent MELE [EMAIL PROTECTED] a écrit: > Nous avons beaucoup plus de difficultés avec le greylisting qu'avec > les rbls. Les clients acceptent très bien qu'un email soit rejeté d > autant plus que l'émetteur est avisé. Par contre qu'il arrive avec 5 > mins de retard dans le meilleur des cas, voir 2 heures pour certains > MTA... Plus dur à faire accepter. Faut qu'ils utilisent de l'instant messaging, alors... -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 57, route de Paris 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
Le vendredi 24 novembre 2006 à 15:34, Sebastien Gioria écrivait: > Tout simplement si l'opérateur offre un service anti-spam a certains > abonnés... Si l'abonné en est conscient (et qu'en plus il paye ce service): soit. Je peux comprendre que les RBLs soient une aide à la décision de la détection d'un SPAM (scoring) mais en aucun cas fournir une décision ferme (rejet) comme il semble l'être suggéré plus haut dans le fil. > PS: rappelle de la charte du site frnog -> FRnOG à pour but > d'améliorer la qualité d'Internet et autres services IP en France. Je ne partage pas l'idée que les RBL contribuent à améliorer la qualité d'Internet et je ne souhaite à personne de voir un jour ses SMTP listés dans l'une d'entre elles. -- Auré --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
Le 24/11/06 15:07, « Aurélien Beaujean » <[EMAIL PROTECTED]> a écrit : > Bonjour, > > Le vendredi 24 novembre 2006 à 13:55, Guillaume Leccese écrivait: >> Si je peux me permettre, pour lutter contre le Spam, les RBLs sont une >> des solutions les plus efficaces que j'ai pu trouver. > > On est bien sur la liste « french network *operator* group » là ? J'ai > du mal à comprendre comment un opérateur peut envisager d'utiliser des > RBL pour lutter efficacement contre le spam pour ses abonnés... Tout simplement si l'opérateur offre un service anti-spam a certains abonnés Dans ce cas je ne vois pas le probleme. Dans une offre pro(ou non) il y a maintenant des anti-spam, et je ne vois pas ce qui empêche de manière totalement logique un opérateur de mettre en place des RBLs... Il lui suffit au besoin de ne pas les mettre en place sur l'arrivée de ses Ips... PS: rappelle de la charte du site frnog -> FRnOG à pour but d'améliorer la qualité d'Internet et autres services IP en France. FRnOG est une plate-forme d'échange d'informations entre professionnels du réseau et de la sécurité. -- Sebastien Gioria[EMAIL PROTECTED] SG41-GANDI --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Smtp de Wanadoo
Bonjour, Tout dépend de la presta et du type d emails que tu vends à tes clients. Tu peux très bien avoir des smtp libres et des smtp (sécurisé) dans le cadre d un abonnement Anti Spam. Perso nous sommes sur du sendmail avec RBL + greylisting + smf-sav sur les frontaux de ce type. Les clients sont avisés dès le début quand ils basculent. Nous avons beaucoup plus de difficultés avec le greylisting qu'avec les rbls. Les clients acceptent très bien qu'un email soit rejeté d autant plus que l'émetteur est avisé. Par contre qu'il arrive avec 5 mins de retard dans le meilleur des cas, voir 2 heures pour certains MTA... Plus dur à faire accepter. > -Message d'origine- > De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de > Aurélien Beaujean > Envoyé : vendredi 24 novembre 2006 15:08 > À : frnog@frnog.org > Objet : Re: [FRnOG] Smtp de Wanadoo > > Bonjour, > > Le vendredi 24 novembre 2006 à 13:55, Guillaume Leccese écrivait: > > Si je peux me permettre, pour lutter contre le Spam, les RBLs sont > une > > des solutions les plus efficaces que j'ai pu trouver. > > On est bien sur la liste « french network *operator* group » là ? J'ai > du mal à comprendre comment un opérateur peut envisager d'utiliser des > RBL pour lutter efficacement contre le spam pour ses abonnés... > > Pour ton mail perso, ok, libre à toi de perdre du mail, mais prendre la > décision pour ton abonné ça me parrait limite. Comment justifier la > perte de mail quand même tes IPs sont succeptibles d'être dans cette > liste ? > > -- > Auré > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
Bonjour, Le vendredi 24 novembre 2006 à 13:55, Guillaume Leccese écrivait: > Si je peux me permettre, pour lutter contre le Spam, les RBLs sont une > des solutions les plus efficaces que j'ai pu trouver. On est bien sur la liste « french network *operator* group » là ? J'ai du mal à comprendre comment un opérateur peut envisager d'utiliser des RBL pour lutter efficacement contre le spam pour ses abonnés... Pour ton mail perso, ok, libre à toi de perdre du mail, mais prendre la décision pour ton abonné ça me parrait limite. Comment justifier la perte de mail quand même tes IPs sont succeptibles d'être dans cette liste ? -- Auré --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
bonjour, mes serveurs mails gèrent environ 120.000 mails par jour. J'ai eu pas mal de pb avec des clients qui n'arrivait pas à recevoir des mails en provenance de wanadoo, althom, ... bizarrement des gros La surprise fut de taille, avec les RBL (spamhaus et spamcop) il arrivait régulièrement qu'ils soient inscrits. Et donc mes clients continuait à brailler. J'ai donc pris la solution suivante: -j'ai arreté les RBL -j'ai mis en oeuvre les greylist (blocage pendant 300sec) Maintenant, je ne refuse plus les courriers de wana... et d'autre part, postgrey est "presque" aussi efficace que ce que j'avais comme politique avec les RBLs c'est à dire, que j'ai un tout petit peu de spam qui arrive à passer (ils utilisent un véritable mailserver) pour les autres, ils ne passent pas car ils ne réémttent pas 300sec plus tard) > Bonjour, > > Personnellement, pour lutter contre le spam, au niveau du helo, > j'utilise la configuration suivante: > > smtpd_helo_restrictions = reject_invalid_hostname, >reject_non_fqdn_hostname, >permit > > relativement efficace ... > > Si je peux me permettre, pour lutter contre le Spam, les RBLs sont une > des solutions les plus efficaces que j'ai pu trouver. > > La restriction sur le helo fait un beau travail, mais je dois dire que > les RBLs font un boulot énorme ! > > Sur le total des mails "REJECT", prêt de 80% le sont par les RBLs. Un > peu plus de 10% grâce aux restrictions sur le helo et le reste concerne > des trucs divers genre "relay denied". > > Personnellement j'en suis satisfait. Ca allège la charge des machines de > façon considérable car les mails ne passes plus par les applications > tierces (amavis,spamassassin,clamav, ect ...) pour être détectés comme > des Spams. > > Evidement, il y a un risque de voir une source "propre" être black > listé. Ca nous ai arrivé quelques fois. Généralement, c'est justifié, je > n'ai pas encore constaté d'abus. Il existe une procédure pour sortir de > la liste, assez rapide à mettre en oeuvre. > > Pour info j'utilise 3 RBLs: > > - bl.spamcop.net, > - sbl.spamhaus.org, > - list.dsbl.org, > > Guillaume > > Stephane Clodic wrote: >> On Fri, Nov 24, 2006 at 08:49:05AM +0100, Xavier Beaudouin wrote: >> Un client non, mais un serveur de mail oui a priori...ca permet donc de "nettoyer" un peu les arrivées de mail >>> Tout à fait d'accord avec toi. >>> >>> Normalement, mais je me souviens plus de la RFC... le ehlo doit être >>> un FQDN valide qui pointe soit sur un A, soit sur un MX avec >>> évidement un PTR associé. >>> >> >> Dans mon souvenir de la lecture des differentes RFC associees au mail, ce >> que tu dis est vrai pour le _host_ qui envoie les mails (le MTA). >> LA RFC dit que le HELO doit/devrait etre qualife (ie, avec un domaine) >> mais pas que celui ci (HELO) doit resoudre. >> >> >>> Que des clients mails présentent n'importe quoi n'est pas grave en >>> soit, smtp auth et/ou une liste d'accès ip bypassent ce genre de >>> chose, mais que des smtp de gros FAI soient pas capable de >>> configurer leur dns pour respecter les usages et de ne pas se faire >>> passer pour des spammers pressés est une autre chose. >>> >> >> Entierement d'accord avec toi. >> >> >>> De mon coté, j'ai ajouté différentes classes de restriction sur mon >>> postfix, que les utilisateurs prennent de leur coté... avec des nom >>> assez explicites : >>> >>> NONE >>> LOW >>> LOWVERIFY >>> MEDIUM >>> EXTREME >>> >> >> Pourrais tu detailler ton implemenation de ces classes ? >> >>> J'utilise ca depuis des lustres et ca me virer 60% du spam (il y a 2 >>> ans 80% du spam, mais bon)... >>> >> >> Par contre tu t'exposes a ne pas pouvoir recevoir de mails en provenance >> de Wanadoo et d'autres MTA "mal" configures, ce qui n'est pas forcement >> possible pour un hebergeur. >> >> >> Cya >> >> > begin:vcard fn:Philippe DUCHEIN n:DUCHEIN;Philippe org:Nomotech / West-Telecom SAS adr:;;51 rue de la division Leclerc;Avranches;;50300;France email;internet:[EMAIL PROTECTED] title:Directeur Technique tel;work:+33 (0)2 33 89 09 09 tel;fax:+33 (0)2 33 60 50 07 note;quoted-printable:Ce courrier =C3=A9lectronique est destin=C3=A9 =C3=A0 l'usage exclusif= du(des) destinataire(s). Si vous n'=C3=AAtes ni destinataire, ni charg=C3= =A9(e) de remettre ce message =C3=A0 son(ses) destinataire(s), veuillez= pr=C3=A9venir imm=C3=A9diatement son auteur par e mail ou par t=C3=A9l=C3= =A9phone. Ce courrier =C3=A9lectronique pouvant comporter des informatio= ns confidentielles ou couvertes par le secret professionnel, il est inter= dit d'en divulguer ou d'en reproduire le contenu.=0D=0A= This e-mail message is intended only for the use of the named recipient(s= ). The information contained therein may be confidential or privileged,= and its disclosure or reproduction is strictly prohibited. If you are= not the named recipient,
Re: [FRnOG] Smtp de Wanadoo
Mais ce n'est pas de l'optimisme, c'est une constatation. Ok, parfois un source peut être blacklistée alors qu'elle est importante. Nous avons même parfois était nous mêmes blacklisté ... et la vous comprendrez que le probleme devient rapidement épineux !!! Mais à chaque fois, je dis bien a chaque fois, c'était justifié: présence d'une programme malicieux sur une machine du réseau et/ou exploitation de faille sur un site pour envoyer des mails. En aucun cas je n'ai pu reprocher le blacklistage, simplement expliquer que le probleme a été identifié et corrigé. D'où ma question: Est ce que chacun ne doit pas veiller à ne pas être un relay à spam ? Est ce qu'une grande entreprise peut se permettre d'être confondu avec un spammer ? Donc à chacun de veiller à ce que son réseau soit propre. J'y veille pour ne pas me retrouver dans ce genre de liste, car je ne suis pas le seul à les utiliser et se retrouver dedans peut être très problématique. Preuve que ces listes "gênent" les spammer, l'affaire autour de Spamhaus. Mise à part deux incidents, je n'ai pas rencontré de probleme avec d'autres serveurs. Guillaume Stephane Bortzmeyer wrote: On Fri, Nov 24, 2006 at 01:55:10PM +0100, Guillaume Leccese <[EMAIL PROTECTED]> wrote a message of 105 lines which said: Evidement, il y a un risque de voir une source "propre" être black listé. Ca nous ai arrivé quelques fois. Généralement, c'est justifié, Bel optimisme, qui ne semble pas partagé par tous : http://www.halte-au-spam.com/ddm-blacklists.htm http://www.halte-au-spam.com/Blacklists_Resultats.pdf Il existe une procédure pour sortir de la liste, assez rapide à mettre en oeuvre. :-) --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Guillaume Leccese - Consultant 13, rue Greneta 75003 Paris tel: 01 44 78 63 66 - fax: 01 44 78 63 65 http://www.oxalide.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
On Fri, Nov 24, 2006 at 01:55:10PM +0100, Guillaume Leccese <[EMAIL PROTECTED]> wrote a message of 105 lines which said: > Evidement, il y a un risque de voir une source "propre" être black > listé. Ca nous ai arrivé quelques fois. Généralement, c'est > justifié, Bel optimisme, qui ne semble pas partagé par tous : http://www.halte-au-spam.com/ddm-blacklists.htm http://www.halte-au-spam.com/Blacklists_Resultats.pdf > Il existe une procédure pour sortir de la liste, assez rapide à > mettre en oeuvre. :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
Bonjour, Personnellement, pour lutter contre le spam, au niveau du helo, j'utilise la configuration suivante: smtpd_helo_restrictions = reject_invalid_hostname, reject_non_fqdn_hostname, permit relativement efficace ... Si je peux me permettre, pour lutter contre le Spam, les RBLs sont une des solutions les plus efficaces que j'ai pu trouver. La restriction sur le helo fait un beau travail, mais je dois dire que les RBLs font un boulot énorme ! Sur le total des mails "REJECT", prêt de 80% le sont par les RBLs. Un peu plus de 10% grâce aux restrictions sur le helo et le reste concerne des trucs divers genre "relay denied". Personnellement j'en suis satisfait. Ca allège la charge des machines de façon considérable car les mails ne passes plus par les applications tierces (amavis,spamassassin,clamav, ect ...) pour être détectés comme des Spams. Evidement, il y a un risque de voir une source "propre" être black listé. Ca nous ai arrivé quelques fois. Généralement, c'est justifié, je n'ai pas encore constaté d'abus. Il existe une procédure pour sortir de la liste, assez rapide à mettre en oeuvre. Pour info j'utilise 3 RBLs: - bl.spamcop.net, - sbl.spamhaus.org, - list.dsbl.org, Guillaume Stephane Clodic wrote: On Fri, Nov 24, 2006 at 08:49:05AM +0100, Xavier Beaudouin wrote: Un client non, mais un serveur de mail oui a priori...ca permet donc de "nettoyer" un peu les arrivées de mail Tout à fait d'accord avec toi. Normalement, mais je me souviens plus de la RFC... le ehlo doit être un FQDN valide qui pointe soit sur un A, soit sur un MX avec évidement un PTR associé. Dans mon souvenir de la lecture des differentes RFC associees au mail, ce que tu dis est vrai pour le _host_ qui envoie les mails (le MTA). LA RFC dit que le HELO doit/devrait etre qualife (ie, avec un domaine) mais pas que celui ci (HELO) doit resoudre. Que des clients mails présentent n'importe quoi n'est pas grave en soit, smtp auth et/ou une liste d'accès ip bypassent ce genre de chose, mais que des smtp de gros FAI soient pas capable de configurer leur dns pour respecter les usages et de ne pas se faire passer pour des spammers pressés est une autre chose. Entierement d'accord avec toi. De mon coté, j'ai ajouté différentes classes de restriction sur mon postfix, que les utilisateurs prennent de leur coté... avec des nom assez explicites : NONE LOW LOWVERIFY MEDIUM EXTREME Pourrais tu detailler ton implemenation de ces classes ? J'utilise ca depuis des lustres et ca me virer 60% du spam (il y a 2 ans 80% du spam, mais bon)... Par contre tu t'exposes a ne pas pouvoir recevoir de mails en provenance de Wanadoo et d'autres MTA "mal" configures, ce qui n'est pas forcement possible pour un hebergeur. Cya -- Guillaume Leccese - Consultant 13, rue Greneta 75003 Paris tel: 01 44 78 63 66 - fax: 01 44 78 63 65 http://www.oxalide.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Fwd: Re: Re: [FRnOG] Smtp de Wanadoo [OT]
Si la personne inscrite a la liste pouvait configurer correctement son outil (broken) de challenge/response - Forwarded message from Système de sécurité Janus <[EMAIL PROTECTED]> - Date: Fri, 24 Nov 2006 10:14:19 +0100 From: Système de sécurité Janus <[EMAIL PROTECTED]> Subject: Re: Re: [FRnOG] Smtp de Wanadoo To: [EMAIL PROTECTED] X-Spam-Zozoa-Flag: NO Delivered-To: [EMAIL PROTECTED] Translate in English - Deutsch zu übersetzen - Traduzca a Español http://www.afx.fr/spam2.php?etape=1&id=1058617-30101-33966-20061124101328 Bonjour, Vous venez d'envoyer un message à frnog@frnog.org Cette(ces) adresse(s) est(sont) protégée(s) contre les messages non désirés (spam) et les virus par la Solution Janus Veuillez cliquer sur le lien ci-dessous pour que le courrier éléctronique soit transmis. http://www.afx.fr/spam2.php?id=1058617-30101-33966-20061124101328 Si le lien n'apparaît pas (texte bleu souligné), faites un copier/coller de la ligne ci-dessus dans un nouveau navigateur et validez Vous n'aurez à faire cette opération qu'une seule fois Merci de participer à la lutte contre les messages non désirés. Pour des questions spécifiques sur cette procédure, n'hésitez pas à nous joindre aux coordonnées indiquées ci-dessous. AFX Informatique Sécurité des réseaux, maintenance. http://www.afx.fr/?accueilspam 23 rue de la Croix de Las Cazes, Rés. Las Cazes, 34000 Montpellier Tel : 04 67 60 49 83 - Fax : 04 67 60 53 71 - End forwarded message - -- /SClo --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
Bonjour, Il s'agit de la norme RFC-821 Section 3.5 The sender-SMTP MUST ensure that the parameter in a HELO command is a valid principal host domain name for the client host. As a result, the receiver-SMTP will not have to perform MX resolution on this name in order to validate the HELO parameter. The HELO receiver MAY verify that the HELO parameter really corresponds to the IP address of the sender. However, the receiver MUST NOT refuse to accept a message, even if the sender's HELO command fails verification. DISCUSSION: Verifying the HELO parameter requires a domain name lookup and may therefore take considerable time. An alternative tool for tracking bogus mail sources is suggested below (see "DATA Command"). Note also that the HELO argument is still required to have valid syntax, since it will appear in a Received: line; otherwise, a 501 error is to be sent. IMPLEMENTATION: When HELO parameter validation fails, a suggested procedure is to insert a note about the unknown authenticity of the sender into the message header (e.g., in the "Received:" line). Cordialement, Mickaël Bourneuf http://www.celeonet.fr - Original Message - From: Michel Arboi To: Xavier Beaudouin Cc: frnog@frnog.org Sent: Friday, November 24, 2006 9:31 AM Subject: Re: [FRnOG] Smtp de Wanadoo On Fri Nov 24 2006 at 08:49, Xavier Beaudouin wrote: > Normalement, mais je me souviens plus de la RFC... le ehlo doit être > un FQDN valide qui pointe soit sur un A, soit sur un MX avec > évidement un PTR associé. Le RFC 2821 dit quelque chose dans ce genre au § 4.1.1.1 : "The argument field contains the fully-qualified domain name of the SMTP client if one is available. In situations in which the SMTP client system does not have a meaningful domain name (e.g., when its address is dynamically allocated and no reverse mapping record is available), the client SHOULD send an address literal (see section 4.1.3), optionally followed by information that will help to identify the client system " -- PGP key ID : 0x0BBABA91 - 0x1320924F0BBABA91 Fingerprint: 1048 B09B EEAF 20AA F645 2E1A 1320 924F 0BBA BA91 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
On Fri, Nov 24, 2006 at 08:49:05AM +0100, Xavier Beaudouin wrote: > >Un client non, mais un serveur de mail oui a priori...ca permet > >donc de > >"nettoyer" un peu les arrivées de mail > > Tout à fait d'accord avec toi. > > Normalement, mais je me souviens plus de la RFC... le ehlo doit être > un FQDN valide qui pointe soit sur un A, soit sur un MX avec > évidement un PTR associé. Dans mon souvenir de la lecture des differentes RFC associees au mail, ce que tu dis est vrai pour le _host_ qui envoie les mails (le MTA). LA RFC dit que le HELO doit/devrait etre qualife (ie, avec un domaine) mais pas que celui ci (HELO) doit resoudre. > Que des clients mails présentent n'importe quoi n'est pas grave en > soit, smtp auth et/ou une liste d'accès ip bypassent ce genre de > chose, mais que des smtp de gros FAI soient pas capable de configurer > leur dns pour respecter les usages et de ne pas se faire passer pour > des spammers pressés est une autre chose. Entierement d'accord avec toi. > De mon coté, j'ai ajouté différentes classes de restriction sur mon > postfix, que les utilisateurs prennent de leur coté... avec des nom > assez explicites : > > NONE > LOW > LOWVERIFY > MEDIUM > EXTREME Pourrais tu detailler ton implemenation de ces classes ? > J'utilise ca depuis des lustres et ca me virer 60% du spam (il y a 2 > ans 80% du spam, mais bon)... Par contre tu t'exposes a ne pas pouvoir recevoir de mails en provenance de Wanadoo et d'autres MTA "mal" configures, ce qui n'est pas forcement possible pour un hebergeur. Cya -- /SClo --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
On Fri Nov 24 2006 at 08:49, Xavier Beaudouin wrote: > Normalement, mais je me souviens plus de la RFC... le ehlo doit être > un FQDN valide qui pointe soit sur un A, soit sur un MX avec > évidement un PTR associé. Le RFC 2821 dit quelque chose dans ce genre au § 4.1.1.1 : "The argument field contains the fully-qualified domain name of the SMTP client if one is available. In situations in which the SMTP client system does not have a meaningful domain name (e.g., when its address is dynamically allocated and no reverse mapping record is available), the client SHOULD send an address literal (see section 4.1.3), optionally followed by information that will help to identify the client system " -- PGP key ID : 0x0BBABA91 - 0x1320924F0BBABA91 Fingerprint: 1048 B09B EEAF 20AA F645 2E1A 1320 924F 0BBA BA91 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
On Fri Nov 24 2006 at 09:53, Stephane Bortzmeyer wrote: > Sinon, c'est le RFC 2821, section 3.6 : Et la suite (§ 4.1.4) interdit de filtrer sur l'argument du EHLO An SMTP server MAY verify that the domain name parameter in the EHLO command actually corresponds to the IP address of the client. However, the server MUST NOT refuse to accept a message for this reason if the verification fails: the information about verification failure is for logging and tracing only. Mais vu que la plupart des dispositifs antispam tiennent plus du vaudou qu'autre chose... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
On Fri, 24 Nov 2006, Sebastien Gioria wrote: > Ouica m'arrange pas cela. > Si au moins wanadoo/oragne publiait du SPFca aiderai > > > Est-ce que qqn a une expérince bonne avec SPF ? "bonne", non, il faut le prendre pour ce que c'est : un moyen de lutte contre le phishing. Donc effectivement vous pouvez, si vous êtes un envoyeur de mails, "protéger" votre domaine auprès des serveurs qui implémentent le SPF. Mais en tant que receveur de mails, ce n'est pas un moyen de lutte contre le spam... ne serait-ce que parce que la plupart des domaines n'ont pas d'enregistrements SPF. Concernant les faux-positifs : les utilisateurs itinérants qui émettent du courrier venant d'une adresse professionnelle protégée par SPF, lorsqu'ils sont chez eux (ADSL), sont souvent bloqués par SPF. Il y a des solutions pour cela (SRS), mais il faudrait que tous les relais SMTP les mettent en place. Sur une plate-forme de 300.000 mails par jour on a assez rapidement SPF supprimé en raison des faux-positifs. (SPF était utilisé en complément d'autres critères) -- Raphaël Marichez [EMAIL PROTECTED] pgpQLNO7ANn3B.pgp Description: PGP signature
Re: [FRnOG] Smtp de Wanadoo
On Fri, Nov 24, 2006 at 08:49:05AM +0100, Xavier Beaudouin <[EMAIL PROTECTED]> wrote a message of 73 lines which said: > Normalement, mais je me souviens plus de la RFC... le ehlo doit être > un FQDN valide qui pointe soit sur un A, soit sur un MX Certainement pas un MX puisque le paramètre de EHLO est un "host name". Sinon, c'est le RFC 2821, section 3.6 : - The domain name given in the EHLO command MUST BE either a primary host name (a domain name that resolves to an A RR) or, if the host has no name, an address literal as described in section 4.1.1.1. > avec évidement un PTR associé. Pure invention. Maintenant, les remarques de Raphaël Marichez sont tout à fait justifiées. Si vous voulez filtrer un peu n'importe quoi au hasard, au nom de la lutte anti-spam, allez travailler chez AOL :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
Ouica m'arrange pas cela. Si au moins wanadoo/oragne publiait du SPFca aiderai Est-ce que qqn a une expérince bonne avec SPF ? Le 24/11/06 9:38, « Michel Arboi » <[EMAIL PROTECTED]> a écrit : > On Fri Nov 24 2006 at 08:49, Xavier Beaudouin wrote: > >> Normalement, mais je me souviens plus de la RFC... le ehlo doit être >> un FQDN valide qui pointe soit sur un A, soit sur un MX avec >> évidement un PTR associé. > > Je n'avais pas lu la suite du RFC 2821 § 4.1.4 : > >The SMTP client MUST, if possible, ensure that the domain parameter >to the EHLO command is a valid principal host name (not a CNAME or MX >name) for its host. If this is not possible (e.g., when the client's >address is dynamically assigned and the client does not have an >obvious name), an address literal SHOULD be substituted for the >domain name and supplemental information provided that will assist in >identifying the client. > >An SMTP server MAY verify that the domain name parameter in the EHLO >command actually corresponds to the IP address of the client. >However, the server MUST NOT refuse to accept a message for this >reason if the verification fails: the information about verification >failure is for logging and tracing only. -- Sebastien Gioria[EMAIL PROTECTED] SG41-GANDI --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
Salut, Le 24 nov. 06 à 06:35, Sebastien Gioria a écrit : Bonsoir, la configuration d'Orange n'est pas parfaite certes (pas de résolution du HELO/EHLO smtp-msa-out09.orange.fr), mais rien n'oblige le client SMTP à fournir un HELO/EHLO qui résolve. En tout cas pas dans les RFC. Un client non, mais un serveur de mail oui a priori...ca permet donc de "nettoyer" un peu les arrivées de mail Tout à fait d'accord avec toi. Normalement, mais je me souviens plus de la RFC... le ehlo doit être un FQDN valide qui pointe soit sur un A, soit sur un MX avec évidement un PTR associé. Que des clients mails présentent n'importe quoi n'est pas grave en soit, smtp auth et/ou une liste d'accès ip bypassent ce genre de chose, mais que des smtp de gros FAI soient pas capable de configurer leur dns pour respecter les usages et de ne pas se faire passer pour des spammers pressés est une autre chose. De mon coté, j'ai ajouté différentes classes de restriction sur mon postfix, que les utilisateurs prennent de leur coté... avec des nom assez explicites : NONE LOW LOWVERIFY MEDIUM EXTREME Ce qui permet d'autoconfigurer le postfix selon les usages de chacun... La restriction reject_unkown_hostname sur Postfix me semble réellement trop violente, je ne connais personne qui s'en serve (du moins la couple avec une erreur 500. Ce type de vérification peut servir dans l'attribution d'une note de spamicité globale ou bien en couplage avec une solution non-"létale", du type greylisting). A part avec wanadoo/orange je n'ai aucun soucis Je pense que d'autres doivent l'utiliser et/ou faire des checks du même type. D'un autre côte, reject_unkown_hostname n'est vraiment pas tant efficace que cela face aux virus/spambots. 1 semaine de tests m'ont montré que ca calmait d'au moins 30% mon trafic J'utilise ca depuis des lustres et ca me virer 60% du spam (il y a 2 ans 80% du spam, mais bon)... /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
> > Bonsoir, > > la configuration d'Orange n'est pas parfaite certes (pas de résolution > du HELO/EHLO smtp-msa-out09.orange.fr), mais rien n'oblige le client > SMTP à fournir un HELO/EHLO qui résolve. En tout cas pas dans les RFC. Un client non, mais un serveur de mail oui a priori...ca permet donc de "nettoyer" un peu les arrivées de mail > > La restriction reject_unkown_hostname sur Postfix me semble réellement > trop violente, je ne connais personne qui s'en serve (du moins la couple > avec une erreur 500. Ce type de vérification peut servir dans > l'attribution d'une note de spamicité globale ou bien en couplage avec > une solution non-"létale", du type greylisting). A part avec wanadoo/orange je n'ai aucun soucis > > D'un autre côte, reject_unkown_hostname n'est vraiment pas tant efficace > que cela face aux virus/spambots. 1 semaine de tests m'ont montré que ca calmait d'au moins 30% mon trafic -- Sebastien Gioria[EMAIL PROTECTED] SG41-GANDI --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Smtp de Wanadoo
On Thu, 23 Nov 2006, Sebastien Gioria wrote: > Bonsoir, > > Je viens de parcourir mes logs postfix apres mis en place d'un parametre > surpplémentaire de postfix (reject_unkown_hostname) et je m'apercoit que je > jettes tous les mails de wanadoo/orange (ou presque) > > Je retrouve des lignes comme ceci : > > Nov 22 15:05:04 away postfix/smtpd[79394]: NOQUEUE: reject: RCPT from > smtp9.orange.fr[193.252.22.22]: 450 : Helo command > rejected: Host not found; from= to= proto=ESMTP > helo= Bonsoir, la configuration d'Orange n'est pas parfaite certes (pas de résolution du HELO/EHLO smtp-msa-out09.orange.fr), mais rien n'oblige le client SMTP à fournir un HELO/EHLO qui résolve. En tout cas pas dans les RFC. La restriction reject_unkown_hostname sur Postfix me semble réellement trop violente, je ne connais personne qui s'en serve (du moins la couple avec une erreur 500. Ce type de vérification peut servir dans l'attribution d'une note de spamicité globale ou bien en couplage avec une solution non-"létale", du type greylisting). D'un autre côte, reject_unkown_hostname n'est vraiment pas tant efficace que cela face aux virus/spambots. Par contre on peut filtrer sur des HELO/EHLO mal formés ( reject_invalid_hostname ou reject_invalid_helo_hostname ) : notamment de nombreux virus positionnent le HELO/EHLO au nom du *serveur* SMTP, voire même l'IP du *serveur* SMTP qu'il est en train de contacter, ce qui n'est vraiment pas normal du tout. Donc un check_helo_access avec un REJECT sur les IPs et les noms DNS du serveur SMTP est déjà une bonne chose générant peu de faux-positifs. Par contre je déconseillerais de rejecter des HELO qui ne sont pas FQDN. Il y a de vrais clients SMTP qui ont un HELO qui est un nom simple (machine), sans domaine (machine.domain.tld). Evidemment de tels HELO ne résolvent pas et sont "attrapés" par reject_unkown_hostname. > > > Et que tous les smtp-msa-out?? Sont inconnus. > > Resultat j'ai retiré le parametre de postfixmais ca m'arrange pas car il > est plutot pratique contre les spammers > > > Je suis le seul a être aussi restrictif sur mes smtp ? Ou d'autres aussi et > ont trouvé une solution juste pour oragne ? > Tu peux toujours faire précéder ton reject_unknown_hostname par un "permit" sur les clients SMTP d'Orange, mais ça n'est pas une solution car tu trouveras d'autres clients SMTP "très connus" qui poseront le même type de problème (bien que je n'en ai pas en tête pour l'instant). Bref il n'y a pas *une* solution pour lutter contre les spammeurs. Il faut un assemblage de solutions, un assemblage intelligent et pertinent (et donc qui dépend du type d'utilisateurs). Cordialement, -- Raphaël Marichez [EMAIL PROTECTED] pgp2zAecX27NV.pgp Description: PGP signature