Salut,

J’ai l’impression que de plus en plus de membres ont leur propre serveur de messagerie soit en auto-hébergement, soit sur une machine dédiée.
J’avais envie de lancer une petite discussion autour de l’anti-spam d’une part parce que je me pose quelques questions et d’autre part pour fixer les idées de chacun.

Sur mon serveur j’utilise postfix, dovecot et spamassassin. Récemment j’ai modifié ma config pour utiliser dovecot comme LDA et ainsi profiter du plugin sieve pour déplacer les mails marqués comme spam par spamassassin.
Par contre je me demande si je mets en place une tâche de cron pour faire du sa-learn sur les spams et hams. Je n’ai jamais eu de faux-positifs ni de faux-négatifs mais ça pourrait venir.

Et vous quelle est votre politique anti-spam ?

Comme en plus de postfix, je rappatrie des mails d’hébergeurs externes, j’ai fait en sorte que postfix et fetchmail passent le message reçu/rappatrié à procmail. Procmail lance spamassassin, puis déplace le message s’il est marqué comme spam.

À part le bug de l’an 2010, pas de faux positifs. Quelques spams échappent au filtre, mais globalement ça m’a l’air efficace…

Ah tiens, je n’ai même pas fait attention à ça : est-ce que mes mails rapatriés par sont scannés ?
Oui, ils le sont, d’ailleurs les messages que m’envoie mon routeur au taf ont un score très élevé.

Pas de sa-learn non plus ?

Salut,
En ce qui me concerne c’est le début…
Jusuq’a présent je ne faisait que relever des mail sur d’autres boites. Je 'nai un smtp avec un nom de domaine que depuis 2 semaines (environ…).
Spamassassin est installé mais pas encore configuré.
J’utilise pour l’instant des blacklists. Les mails “blacklistés” n’entre donc même pas dans la queue.

La conf de postfix :

[code]smtpd_recipient_restrictions = permit_mynetworks,
reject_invalid_hostname,
reject_unauth_pipelining,
permit_sasl_authenticated,
reject_unauth_destination,
check_client_access hash:/etc/postfix/rbl_override,
reject_rbl_client multi.uribl.com,
reject_rbl_client dsn.rfc-ignorant.org,
reject_rbl_client dul.dnsbl.sorbs.net,

reject_rbl_client list.dsbl.org,

    reject_rbl_client sbl-xbl.spamhaus.org,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client dnsbl.sorbs.net,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client ix.dnsbl.manitu.net,
    reject_rbl_client combined.rbl.msrbl.net,
    reject_rbl_client rabl.nuclearelephant.com,
permit[/code]

J’ai viré “list.dsbl.org” qui me donnait une erreur.
Ma liste blanche ne fonctionne pas… J’espère que la noire fonctionne

Je ne sais pas ce qu’est le sa-learn. Mais pour mon futur (d’ici deux mois normalement), je compte mettre en place une greylist et une whiteliste. Ça ralentis un peu mais il paraît que c’est extrêmement efficace.

Mouais, quand tu vois le temps de traitement de spamassassin tu te dis que tu as largement le temps d’interroger une liste…voire même 10 listes.
J’avais lu à divers occasions que les blacklists/greylists/whitelists n’étaient pas la panacée. Des serveurs institutionnels et/ou bien administrés pouvaient se retrouver écartés pour des raisons triviales.
Je préfère filtrer les machines malsaines et les robots directement depuis les restrictions de postfix.

Salut,

Un changement d’adresse + un email à mes “inscrits” + filtre sur l’ancienne adresse.
Et mon FAI + iceweasel font le reste

[quote=“antalgeek”]Mouais, quand tu vois le temps de traitement de spamassassin tu te dis que tu as largement le temps d’interroger une liste…voire même 10 listes.
J’avais lu à divers occasions que les blacklists/greylists/whitelists n’étaient pas la panacée. Des serveurs institutionnels et/ou bien administrés pouvaient se retrouver écartés pour des raisons triviales.
Je préfère filtrer les machines malsaines et les robots directement depuis les restrictions de postfix.[/quote]
Ne jamais travailler sur les nom de domaine. Personnellement ce que je pense faire, c’est mes contacts en whitelist : ça pour moi c’est une évidence j’ai 80 à 90% de mes mails qui viennent de mes contacts et le reste en greyliste. Je vois pas où peut arriver le problème.

[quote=“antalgeek”]Mouais, quand tu vois le temps de traitement de spamassassin tu te dis que tu as largement le temps d’interroger une liste…voire même 10 listes.
J’avais lu à divers occasions que les blacklists/greylists/whitelists n’étaient pas la panacée. Des serveurs institutionnels et/ou bien administrés pouvaient se retrouver écartés pour des raisons triviales.
Je préfère filtrer les machines malsaines et les robots directement depuis les restrictions de postfix.[/quote]
Le principe des listes noires est un mauvais principe, tu peux lire http://boisson.homeip.net/Blacklists_Resultats.pdf et http://boisson.homeip.net/Blacklists_FAQ.pdf pour une argumentation appuyée. Dis toi que en gros, outre le mauvais rendement de ces listes, cela fragilise considérablement le traffic Email ne serait ce que parce que justement ça développe la notion de serveur institutionnel et la concentration extrème du traffic sur quelques serveurs. La notion de liste grise est beaucoup plus intéressante et efficace. Je n’utilise aucun liste noire et les maudis toutes!

Salut,

Tu peux nous en dire un peu plus sur la mise en place des listes “grises” ?
De mon côté j’ai mis en place des listes “noires” car c’est le plus simple et le plus rapide à faire, en attendant de faire mieux

Il existe un paquet postgrey je vais y regarder de près quand j’aurais lu la doc fournie par fran.b.

Edit : je viens de me documenter un peu plus sur le greylisting et maintenant cela ne m’affole plus de passer en greylist sur les listes de diffusions debian. Surtout sur la user-french sur laquelle je poste peu.

Pas compris.

Mon serveur de courrier est assez petit et il est appelé via inetd. Il a suffit de mettre un wrapper:

smtp stream tcp nowait mail /usr/bin/smtpwrap /usr/sbin/exim /usr/sbi n/exim -bs

puis j’ai récupéré et adapté un code Perl qui utilise une petite base de donnée DB. Va voir ici pour plus de détails:

http://forum.debian-fr.org/viewtopic.php?t=5305

Sur une journée, cela filtre chez moi par jour de l’ordre de 500 à 1000 serveurs qui ne se reconnectent pas une deuxième fois:
Ci dessous les stats sur les 7 derniers jours (aujourd’hui compris, c’est le pemier chifffre à 10:45):

[quote] ls /var/log/syslog* | xargs -n 1 nbspamevite
107
485
540
593
849
516
419
389
[/quote] et voilà le nombre de spams mis de coté par le serveur:

[quote]francois@cerbere:~$ lspam 7
Il y a 7 jours, nbre de spams: 200
Il y a 6 jours, nbre de spams: 143
Il y a 5 jours, nbre de spams: 215
Il y a 4 jours, nbre de spams: 221
Il y a 3 jours, nbre de spams: 221
Il y a 2 jours, nbre de spams: 208
Il y a 1 jours, nbre de spams: 217
21
[/quote] Cette liste grise m’a divisé par 3-4 le nombre de spams.

C’est quoi les RBL ?

Je pense que la principal cause de la diminution des spams avec les greylists (j’avais déjà lu un article qui m’en avait parlé) est due au la charge que ça induit une charge conséquente sur les serveurs de spammeurs qui du coup ne différencient pas l’erreur envoyée par rapport aux erreurs classiques.

RBL = Realtime Black Listes

Listes noires mises à jour à la volée.

Tu as un programme qui permet de tester si ton serveur est blacklisté. Je l’ai modifié pour pouvoir gérer un fichier contenant des IP de listes noires (au lieu d’avoir ça en dur), tu le trouveras sur

deb boisson.homeip.net/debian squeeze divers

(ou lenny, etch, sarge, woody)

edit: j’aioublié, tu as une liste de listes noires ici: http://boisson.homeip.net/ListesNoires

Re,
Merci pour toutes ces précisions.

J’ai installé de mon côté le paquet postgrey.
Effectivement tout le monde est bloqué pendant 60 secondes (5 mn c’est trop long…).

Je suis étonné, que ça stoppe les spammeurs… Ils doivent bien connaitre le truc quand même ?

Est-ce qu’il y a moyen de faire une liste blanche avec ça ? Je n’ai pas trouvé…

Ils envoient des millions de spam, devoir garder chaque spam 5 minutes en plus sur leur serveur pour l’envoyer deux fois. C’est trop lourd pour leur machine.

La liste grise fait une liste blanche de fait, smtpwrap garde 15 jours un serveur ayant fait une connexion et ayant été accepté. De fait, les serveurs régulièrement à l’origine d’emails n’ont pas à attendre le délai.

Sinon, pour les listes noires, mon serveur est blacklisté par 14 d’entre eux sur 189. Le smtp de Free est blacklisté 12 fois sur 189 également et smtp.laposte.net 15 fois.

Tu utilises exim si j’ai bon souvenir (de fils passés) ? Je n’ai jamais réussi à le configurer proprement celui-là
J’ai lu les documentations que tu passais en lien et cela me conforte : la liste noire c’est mal.
Dernière question : tu as scripté pour analyser tes données spam ? J’avais envie de modifier mailgraph pour ressortir plus d’infos et les intégrer sous forme de texte.

Oui, c’est des petits scripts persos d’analyse des logs: chaque spam vu par spamassassin est logué, ainsi je peux te dire que spamassassin a détecté 435576 spams depuis le 20 Mai 2005 soit une moyenne de 234 par jour quand même. De même smtpwrap laisse des traces dans le syslog. J’oubliais de dire que tous les soirs, les spams sont envoyés automatiquement à signalspam.