Antispam & Greylisting

Support Debian
#1

Bonjour à tous,

Cela fait maintenant plusieurs mois que j’utilise postgrey et plus généralement la méthode du greylisting pour contrer l’affluence du spam. Et du coup, je peu affirmer que ça marche bien !
Si je devais m’adresser à mes supérieurs, j’irai même jusqu’a dire que ça nous a permit d’éliminer 90% des spams.
C’est super nan !

Oui mais voila, le greylisting engendre des faux positifs.

Jusqu’a présent cela ne me dérangeai pas car je connaissais mes destinataires et pouvais avoir une vision sur mes logs afin de maintenir une “whitelist_clients” lorsque c’était nécessaire. Tous ça c’était bien jusqu’a ce que mes commerciaux ce mettent à travailler (oui ça leur arrive :mrgreen: )

Du coup, je reçois de plus en plus de mail de sociétés inconnu, qui ont des serveurs mal configurés. Soit, ils ne revoient pas les mails bloqué temporairement par le greylisting, soit ils sont trop long à la détente, soit, et c’est le cas d’oléane, ont un pool de serveur smtp énorme…

Ces faux positifs me gène clairement au quotidien et avant de m’avouer vaincu et chercher une autre solution, je voudrai sollicité la force, et faire appel à vous.

J’ai butiné un peu à la recherche d’une “whitelist_clients” éventuellement maintenu par des ptits barbu de français mais je n’ai pas encore trouvé et les whitelists des version supérieures de postgrey ne me sont pas utiles car elles ne sont pas à jour.

Un exemple, smtp0*.msg.oleane.net ou encore smtp*.psa.gmessaging.net n’y sont pas listé.

Voici donc mon appel à la résistance contre les serveurs mal configurés qui plombe cette technique d’antispam.

Merci d’avance pour vos réponses.

#2

Tu met à combien tes délais de greylisting?

#3

La valeur par defaut, 300 secondes.

#4

Et tu les laisses en liste blanche combien de temps???

#5

D’après le man, les délais sont de 35 jours, je n’y ai pas touché.

Tu utilises aussi le greylisting j’imagine, as-tu des recommandations à me faire dans l’ajustement de ces délais?

Merci.

#6

Question :
En regardant de plus près, je comprend qu’il n’y a pas une whitelist mais deux. L’une est localisé dans les fichiers de conf de postgrey et est maintenu par les admins :

L’autre semble être localisé dans :

Cette whitelist semble être générer de la façon suivante :

  • Ajout d’une adresse autorisé :
    –> lorsque qu’un triplet est trouvé et que le serveur à réémis le mail dans un délais excédant pas de 2 jours (valeur par défaut)
    –> lorsqu’un triplet est trouvé pour la 5ème fois dans un interval supérieur à 1 heure

  • Supression d’une adresse lorsque l’adresse atteint une rétention de 35 jours (valeur par défaut modifiable via --max-age)

Cette whitelist semble être stockée dans une base Berkeley…
un “file” me donne :

Je me trompe, j’oublie des choses? il ce fait tard, vous m’excuserez des fautes aussi…

PS: En attendant de trouver comment lire la base Berlekey, j’utilise la commande ci-après pour voir les mails greylisté

J’y trouve par exemple:

A ce stade d’explication, je m’autorise à vous demander votre avis, l’histoire de me rassurer…
Je pense que c’est whitelistable, et vous?

#7

J’utilise une liste grise personnelle à base d’un script perl:

Je travaille sur les 24 premiers bits d’une IP, le délai de mise en attente est de 6 minutes et sont maintenu dans la liste blanches les serveurs ayant fait une connexion dans les 15 jours précédents.

Je n’ai pas eu d’échos de mails non reçus à ce jour avec ces réglages mais je n’ai pas les mêmes interlocuteurs. Il suffirait peut être d’envoyer un message à ces services car ils doivent être considérablement gênés. Sinon, il faut peut être guetté leur temps de réaction et affiner les paramètres par exemple en portant le délai de réémission à 4 jours (délai maximal usuel pour envoyer un mail avant de le retourner à l’expéditeur).

#8

D’accord donc pour toi un serveur, qu’il soit légitime ou non, tant qu’il fait 2 requêtes chez toi en moins de 15 jours, tu le considère comme légitime et tu l’ajoute dans tes whiteliste c’est bien ça?

Et tu as pu en tirer des différences concrètes entre avant l’activation de ton script et après ?

#9

Ah oui, aussi je viens d’augmenter la rétention des serveurs droppés en whiteliste (35 --> 65 jours) et diminuter l’auto-whiteliste à 3 triplets trouvés au lieux de 5.

#10

[quote=“kippix2”]D’accord donc pour toi un serveur, qu’il soit légitime ou non, tant qu’il fait 2 requêtes chez toi en moins de 15 jours, tu le considère comme légitime et tu l’ajoute dans tes whiteliste c’est bien ça?
[/quote]
Il devient légitime à la deuxième requête en 15 jours et le reste tant qu’il fait une requête tous les 15 jours.

[quote]
Et tu as pu en tirer des différences concrètes entre avant l’activation de ton script et après ?[/quote]
Cela élimine une connexion sur 3-4 demandes (en clair sur 4 demande de connexions, 1 bute sur la liste grise et n’insiste pas) et ça a nettement dimininué le nombre de spams.

Rq: J’avais noté que sur 20 mails:
16 sont pour des comptes n’existant pas
3 sont des spams
1 est un mail utile.

Tu peux voir les détails ici http://www.debian-fr.org/greylist-pour-un-petit-serveur-smtp-t5305.html (la diminution à 40 n’a pas duré longtemps et c’est revenu à 150-200 depuis, sans la liste grise, je serais sans doute à 600-700)