Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Marc Plunian wrote: Le 22/07/2010 22:19, Jeremie Le Hen a écrit : Salut, On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote: Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) +1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / de ressources etc ... On le couple avec des filtres additionnels ( RBL ) et un antispam ( SpamAssassin / amavis / dspam ) et on a une très bonne solution. Les produits open-source sont effectivement de bonne qualité, mais le problème est que la plupart du temps ils sont configurés avec leur règles par défaut. Personne n'ignore la professionnalisation du spam et il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel passera aux travers des mailles du filet. Je vous invite à lire ce billet de Chris Siebenmann [1]. Ca fait plusieurs années que je lis son blog et avant il parlait régulièrement de la façon dont il combattait le spam au sein de l'université dans laquelle il travaille. Et puis il a fini par arrêter. Je suis très motivés par l'open-source à tous les niveaux, mais je trouve que la lutte anti-spam est un domaine où le modèle commercial possède un avantage indéniable car il faut être capable d'investir beaucoup de temps sur le sujet mais également avoir accès à un retour d'expérience très large. Les constructeurs d'appliance et les services de messagerie comme Gmail ou Hotmail en sont de bons exemples. [1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame Tu le dis toi même les spammeurs se sont professionnalisés, donc en face il faut également des pros. Si tu ne maîtrises pas à fond les serveurs de messageries, les protocoles, les techniques de lutte antispam, ... et que tu penses arrêter les spam en tarouillant son spamassasin dans ton coin, c'est sur que comme Chris Siebermann tu vas vite te fatiguer, d'autant plus que Spamassasin n'est pas l'arme absolue. Cela ne remet pas en cause les produits antispam Open Source et les concepts de la lutte antispam, simplement il faut des gens compétents pour le mettre en œuvre. Les concepts de listes grises, d'utilisation de RBL, de réputation SPF, DKIM, sont accessibles à tous mais il faut y investir du temps. Je suis tout à fait d'accord avec ce qui vient d'etre dit, et je rajouterais qu'il n'existe à l'heure actuelle aucune solution anti spam Opensource qui marche correctement avec des volumetries de l'ordre de 10M mails/jour ...Si d'aventure vous voulez quand meme essayer, vous vous retrouvez alors tt de suite avec de gros bottlenecks et augmenter drastiquement le nombre de serveurs deviendra vite necessaire. Orange, par le biais d'Atos en a fait les frais...à trafic égal il leur fallait 6 fois plus de serveurs Postfix/SA qu'une archi full ironport par exemple. C'est un fait, les solutions de type SA ou dspam fonctionnent mais leur latence moyenne elevée (voir tres elevée ) par rapport à la concurence pro ( cloudmark , vaderetro, whatever...) les empeche de s'imposer en environement Opérateur. C. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Brute force SNMP
Bonjour la liste, Avez-vous déjà eu des attaques par brute force SNMP depuis l'adresse 194.51.220.194 ? Cordialement, Kevin COUSIN Administrateur Linux Mail : kevin.cou...@global-sp.net Tel. : +33 (0)1 44 70 48 22 Fax : +33 (0)1 44 70 48 49 www.globalsp.com Global SP, The SaaS Company --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Brute force SNMP
Le Fri, Jul 23, 2010 at 12:05:55PM +0200, Kevin COUSIN [kevin.cou...@global-sp.net] a écrit: Bonjour la liste, Avez-vous déjà eu des attaques par brute force SNMP depuis l'adresse 194.51.220.194 ? $ whois 194.51.220.194 |grep abuse abuse-mailbox: ab...@orange-business.com -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Brute force SNMP
Je cherchais juste à avoir des infos, au cas où. Mais c'est vrai que c'est calme pour un vendredi :D Cordialement, Kevin COUSIN Administrateur Linux Mail : kevin.cou...@global-sp.net Tel. : +33 (0)1 44 70 48 22 Fax : +33 (0)1 44 70 48 49 www.globalsp.com Global SP, The SaaS Company -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Mathieu Goessens Envoyé : vendredi 23 juillet 2010 12:12 À : frnog@FRnOG.org Objet : Re: [FRnOG] Brute force SNMP On 23/07/2010 12:05, Kevin COUSIN wrote: Bonjour la liste, Avez-vous déjà eu des attaques par brute force SNMP depuis l'adresse 194.51.220.194 ? Heu, c'est quoi une attaque par brute force SNMP ? essayez de deviner des comptes ? essayer de s'auth en SASL ? Je suis sceptique sur l'interêt du message, si on commence à lister toutes les IPs qui essaient de bruteforce, on a pas fini... tu veux égayer notre vendredi ? :p -- Mathieu Goessens IT consultant. geb...@poolp.org + 33 6 07 91 54 87 http://gebura.eu.org --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Brute force SNMP
Le 23 juil. 2010 à 12:11, Mathieu Goessens a écrit : Heu, c'est quoi une attaque par brute force SNMP ? essayez de deviner des comptes ? essayer de s'auth en SASL ? SNMP != SMTP ;) Bon, d'une manière générale - des attaques aveugles viennent de partout (botnet ou machines rootées) - demander si quelqu'un a déjà eu une attaque d'une adresse particulière c'est ... spécial :D Mathieu (un autre)--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Brute force SNMP
Le 23/07/2010 12:28, MM a écrit : Le 23 juil. 2010 à 12:11, Mathieu Goessens a écrit : Heu, c'est quoi une attaque par brute force SNMP ? essayez de deviner des comptes ? essayer de s'auth en SASL ? SNMP != SMTP ;) Bon, d'une manière générale - des attaques aveugles viennent de partout (botnet ou machines rootées) - demander si quelqu'un a déjà eu une attaque d'une adresse particulière c'est ... spécial :D Encore un Kevin ;) (pas taper) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Sauf qu'utiliser uniquement Dspam ou Spamassassin pour filter le SPAM c'est se tirer une balle dans le pied ... Il faut des filtres en amont car Dspam et Spamassassin sont très très gourmands et en effet ils demandent d'augmenter le nombre de serveurs de façon conséquente. On a, en place, un système basé sur des statistiques de pollution, si une IP pose problème à un moment donné, elle est remontée avec un warning et si celle-ci se manifeste de plus en plus tjs en erreur elle est bannie pendant un temps donné sur toute l'infra de mails, les whitelist sont aussi là pour laisser passer tout ce qui est bon et éviter de traiter ce qui n'est pas nécessaire de traiter ... Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer. C'est encore une fois une question d'architecture et de réflexion sur le système en place. Lilian. Le 23 juil. 2010 à 10:49, Clément Game a écrit : Marc Plunian wrote: Le 22/07/2010 22:19, Jeremie Le Hen a écrit : Salut, On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote: Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) +1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / de ressources etc ... On le couple avec des filtres additionnels ( RBL ) et un antispam ( SpamAssassin / amavis / dspam ) et on a une très bonne solution. Les produits open-source sont effectivement de bonne qualité, mais le problème est que la plupart du temps ils sont configurés avec leur règles par défaut. Personne n'ignore la professionnalisation du spam et il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel passera aux travers des mailles du filet. Je vous invite à lire ce billet de Chris Siebenmann [1]. Ca fait plusieurs années que je lis son blog et avant il parlait régulièrement de la façon dont il combattait le spam au sein de l'université dans laquelle il travaille. Et puis il a fini par arrêter. Je suis très motivés par l'open-source à tous les niveaux, mais je trouve que la lutte anti-spam est un domaine où le modèle commercial possède un avantage indéniable car il faut être capable d'investir beaucoup de temps sur le sujet mais également avoir accès à un retour d'expérience très large. Les constructeurs d'appliance et les services de messagerie comme Gmail ou Hotmail en sont de bons exemples. [1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame Tu le dis toi même les spammeurs se sont professionnalisés, donc en face il faut également des pros. Si tu ne maîtrises pas à fond les serveurs de messageries, les protocoles, les techniques de lutte antispam, ... et que tu penses arrêter les spam en tarouillant son spamassasin dans ton coin, c'est sur que comme Chris Siebermann tu vas vite te fatiguer, d'autant plus que Spamassasin n'est pas l'arme absolue. Cela ne remet pas en cause les produits antispam Open Source et les concepts de la lutte antispam, simplement il faut des gens compétents pour le mettre en œuvre. Les concepts de listes grises, d'utilisation de RBL, de réputation SPF, DKIM, sont accessibles à tous mais il faut y investir du temps. Je suis tout à fait d'accord avec ce qui vient d'etre dit, et je rajouterais qu'il n'existe à l'heure actuelle aucune solution anti spam Opensource qui marche correctement avec des volumetries de l'ordre de 10M mails/jour ...Si d'aventure vous voulez quand meme essayer, vous vous retrouvez alors tt de suite avec de gros bottlenecks et augmenter drastiquement le nombre de serveurs deviendra vite necessaire. Orange, par le biais d'Atos en a fait les frais...à trafic égal il leur fallait 6 fois plus de serveurs Postfix/SA qu'une archi full ironport par exemple. C'est un fait, les solutions de type SA ou dspam fonctionnent mais leur latence moyenne elevée (voir tres elevée ) par rapport à la concurence pro ( cloudmark , vaderetro, whatever...) les empeche de s'imposer en environement Opérateur. C. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Brute force SNMP
Je confirme, c'est SNMP :D Mon prénom est déjà un handicap dans ce métier :D Cordialement, Kevin COUSIN Administrateur Linux Mail : kevin.cou...@global-sp.net Tel. : +33 (0)1 44 70 48 22 Fax : +33 (0)1 44 70 48 49 www.globalsp.com Global SP, The SaaS Company -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Olivier Bonvalet Envoyé : vendredi 23 juillet 2010 12:30 À : frnog@FRnOG.org Objet : Re: [FRnOG] Brute force SNMP Le 23/07/2010 12:28, MM a écrit : Le 23 juil. 2010 à 12:11, Mathieu Goessens a écrit : Heu, c'est quoi une attaque par brute force SNMP ? essayez de deviner des comptes ? essayer de s'auth en SASL ? SNMP != SMTP ;) Bon, d'une manière générale - des attaques aveugles viennent de partout (botnet ou machines rootées) - demander si quelqu'un a déjà eu une attaque d'une adresse particulière c'est ... spécial :D Encore un Kevin ;) (pas taper) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Brute force SNMP
Non pas eu de bruteforce de ce genre ... de toute façon tout est autorisé en fonction des IPs sources. Lilian. Le 23 juil. 2010 à 14:01, Kevin COUSIN a écrit : Je confirme, c'est SNMP :D Mon prénom est déjà un handicap dans ce métier :D Cordialement, Kevin COUSIN Administrateur Linux Mail : kevin.cou...@global-sp.net Tel. : +33 (0)1 44 70 48 22 Fax : +33 (0)1 44 70 48 49 www.globalsp.com Global SP, The SaaS Company -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Olivier Bonvalet Envoyé : vendredi 23 juillet 2010 12:30 À : frnog@FRnOG.org Objet : Re: [FRnOG] Brute force SNMP Le 23/07/2010 12:28, MM a écrit : Le 23 juil. 2010 à 12:11, Mathieu Goessens a écrit : Heu, c'est quoi une attaque par brute force SNMP ? essayez de deviner des comptes ? essayer de s'auth en SASL ? SNMP != SMTP ;) Bon, d'une manière générale - des attaques aveugles viennent de partout (botnet ou machines rootées) - demander si quelqu'un a déjà eu une attaque d'une adresse particulière c'est ... spécial :D Encore un Kevin ;) (pas taper) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le fait de faire du filtrage avant analyse de contenu releve d'une evidence. maintenant en benchmarking, sur des corpus identiques...les solution Antispam libres se font litteralement violer par les meilleures solutions pros, c'est tout. C. Lilian RIGARD - Devclic wrote: Sauf qu'utiliser uniquement Dspam ou Spamassassin pour filter le SPAM c'est se tirer une balle dans le pied ... Il faut des filtres en amont car Dspam et Spamassassin sont très très gourmands et en effet ils demandent d'augmenter le nombre de serveurs de façon conséquente On a, en place, un système basé sur des statistiques de pollution, si une IP pose problème à un moment donné, elle est remontée avec un warning et si celle-ci se manifeste de plus en plus tjs en erreur elle est bannie pendant un temps donné sur toute l'infra de mails, les whitelist sont aussi là pour laisser passer tout ce qui est bon et éviter de traiter ce qui n'est pas nécessaire de traiter ... Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer. C'est encore une fois une question d'architecture et de réflexion sur le système en place. Lilian. Le 23 juil. 2010 à 10:49, Clément Game a écrit : Marc Plunian wrote: Le 22/07/2010 22:19, Jeremie Le Hen a écrit : Salut, On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote: Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) +1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / de ressources etc ... On le couple avec des filtres additionnels ( RBL ) et un antispam ( SpamAssassin / amavis / dspam ) et on a une très bonne solution. Les produits open-source sont effectivement de bonne qualité, mais le problème est que la plupart du temps ils sont configurés avec leur règles par défaut. Personne n'ignore la professionnalisation du spam et il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel passera aux travers des mailles du filet. Je vous invite à lire ce billet de Chris Siebenmann [1]. Ca fait plusieurs années que je lis son blog et avant il parlait régulièrement de la façon dont il combattait le spam au sein de l'université dans laquelle il travaille. Et puis il a fini par arrêter. Je suis très motivés par l'open-source à tous les niveaux, mais je trouve que la lutte anti-spam est un domaine où le modèle commercial possède un avantage indéniable car il faut être capable d'investir beaucoup de temps sur le sujet mais également avoir accès à un retour d'expérience très large. Les constructeurs d'appliance et les services de messagerie comme Gmail ou Hotmail en sont de bons exemples. [1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame Tu le dis toi même les spammeurs se sont professionnalisés, donc en face il faut également des pros. Si tu ne maîtrises pas à fond les serveurs de messageries, les protocoles, les techniques de lutte antispam, ... et que tu penses arrêter les spam en tarouillant son spamassasin dans ton coin, c'est sur que comme Chris Siebermann tu vas vite te fatiguer, d'autant plus que Spamassasin n'est pas l'arme absolue. Cela ne remet pas en cause les produits antispam Open Source et les concepts de la lutte antispam, simplement il faut des gens compétents pour le mettre en œuvre. Les concepts de listes grises, d'utilisation de RBL, de réputation SPF, DKIM, sont accessibles à tous mais il faut y investir du temps. Je suis tout à fait d'accord avec ce qui vient d'etre dit, et je rajouterais qu'il n'existe à l'heure actuelle aucune solution anti spam Opensource qui marche correctement avec des volumetries de l'ordre de 10M mails/jour ...Si d'aventure vous voulez quand meme essayer, vous vous retrouvez alors tt de suite avec de gros bottlenecks et augmenter drastiquement le nombre de serveurs deviendra vite necessaire. Orange, par le biais d'Atos en a fait les frais...à trafic égal il leur fallait 6 fois plus de serveurs Postfix/SA qu'une archi full ironport par exemple. C'est un fait, les solutions de type SA ou dspam fonctionnent mais leur latence moyenne elevée (voir tres elevée ) par rapport à la concurence pro ( cloudmark , vaderetro, whatever...) les empeche de s'imposer en environement Opérateur. C. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit : Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer. C'est encore une fois une question d'architecture et de réflexion sur le système en place. Oui, il n'est pas envisageable de pouvoir absorber une charge importante si chaque message doit passer par des analyses de contenu (filtres bayésiens, OCR sur les images, etc.). Pour les grosses volumétries, deux aspects essentiels : 1) Il faut détecter les courriers indésirables pendant la session SMTP pour refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le problème de la patate chaude. Cf. http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais toujours d'actualité). J'aime bien embarrasser les files d'attente des hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang (déjà cité dans ce fil) est l'idéal. 2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un message. En fait, la plus grosse partie des messages indésirables doivent être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les anti-virus de nos relais de messagerie détectent très peu de virus car ils sont interceptés avant d'arriver à l'anti-virus. En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de gamme d'il y a 3 ans. Bon WE à tous, -- Sébastien Namèche Société Netensia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Pareil ici, Postfix est très bon comme mx et scanner pour ça (mais les fan de Exim diront la même chose) entre les fonctions en dur et l'utilisation d'un daemon externe, c' est très flexible. http://www.postfix.org/SMTPD_POLICY_README.html http://www.policyd.org/ MX - postfix + policy daemon SCANNER - postfix + Amavis + Clamav + SpamAssasin + FuzzyOCR + ... Thomas On 23 Jul 2010, at 13:35, Sébastien Namèche wrote: Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit : Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer. C'est encore une fois une question d'architecture et de réflexion sur le système en place. Oui, il n'est pas envisageable de pouvoir absorber une charge importante si chaque message doit passer par des analyses de contenu (filtres bayésiens, OCR sur les images, etc.). Pour les grosses volumétries, deux aspects essentiels : 1) Il faut détecter les courriers indésirables pendant la session SMTP pour refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le problème de la patate chaude. Cf. http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais toujours d'actualité). J'aime bien embarrasser les files d'attente des hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang (déjà cité dans ce fil) est l'idéal. 2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un message. En fait, la plus grosse partie des messages indésirables doivent être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les anti-virus de nos relais de messagerie détectent très peu de virus car ils sont interceptés avant d'arriver à l'anti-virus. En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de gamme d'il y a 3 ans. Bon WE à tous, -- Sébastien Namèche Société Netensia --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Brute force SNMP
Encore un Kevin ;) Pour moi la question est : Pourquoi avoir le SNMP accessible en world wide ? ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Brute force SNMP
2010/7/23, fr...@webmail.fr fr...@webmail.fr: Encore un Kevin ;) Pour moi la question est : Pourquoi avoir le SNMP accessible en world wide ? Rien ne dit que son SNMP est accessible, l'attaquant peut très bien balancer des requêtes SNMP au pif sans s'inquiéter de l'absence de réponse. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Bonjour, Je gère plusieurs relais de messagerie sous Postfix/Amavis/ClamAV/SA. Les deux plus gros ont un trafic journalier de 5,2 millions de connexions SMTP Le serveur ne peut pas traiter tous ces messages!!! Il en rejette à la connexion 5,1 millions, pour à peine 20 000 messages scannés par jours. Pour certains domaines, la liste des BAL est nécessaire, sinon le serveur ne tient pas. J'utilise les restrictions intégrés à Postfix, la liste des BAL de certains domaines, les Greylists puis Amavis combiné à ClamAV et SA (en fonction des domaines à filtrés ou non). Ça fonctionne pas mal, mais si les Greylists sont trop utilisées, le serveur peut être DOWN chaque nuit pendant le traitement de la BDD de postgrey (je suis monté à 3millions d'entrées dans la BDD et avec la liste des BAL d'un seul domaine, je suis retombé à 300 000). Bon weekend, Maxime Teissèdre. Le 23 juillet 2010 14:35, Sébastien Namèche sebastien.name...@netensia.fra écrit : Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit : Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer. C'est encore une fois une question d'architecture et de réflexion sur le système en place. Oui, il n'est pas envisageable de pouvoir absorber une charge importante si chaque message doit passer par des analyses de contenu (filtres bayésiens, OCR sur les images, etc.). Pour les grosses volumétries, deux aspects essentiels : 1) Il faut détecter les courriers indésirables pendant la session SMTP pour refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le problème de la patate chaude. Cf. http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais toujours d'actualité). J'aime bien embarrasser les files d'attente des hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang (déjà cité dans ce fil) est l'idéal. 2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un message. En fait, la plus grosse partie des messages indésirables doivent être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les anti-virus de nos relais de messagerie détectent très peu de virus car ils sont interceptés avant d'arriver à l'anti-virus. En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de gamme d'il y a 3 ans. Bon WE à tous, -- Sébastien Namèche Société Netensia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Ouep même config que toi Maxime en moins couillus certe sur le nombre de mail traite mais par contre plus d'une quarantaine de serveurs sur cette conf sans aucun soucis ! Juste Clamav qui se bloque de temps en temps un petit stop/start et ça repart, sur deux serveurs j'ai eu des soucis de maj de clamav ! Patrice Trognon http://www.boxadmin.com 09.50.15.77.80 06.21.09.36.94 Le 23 juil. 2010 à 15:59, Maxime Teissèdre maxime.teisse...@gmail.com a écrit : Bonjour, Je gère plusieurs relais de messagerie sous Postfix/Amavis/ClamAV/SA. Les deux plus gros ont un trafic journalier de 5,2 millions de connexions SMTP Le serveur ne peut pas traiter tous ces messages!!! Il en rejette à la connexion 5,1 millions, pour à peine 20 000 messages scannés par jours. Pour certains domaines, la liste des BAL est nécessaire, sinon le serveur ne tient pas. J'utilise les restrictions intégrés à Postfix, la liste des BAL de certains domaines, les Greylists puis Amavis combiné à ClamAV et SA (en fonction des domaines à filtrés ou non). Ça fonctionne pas mal, mais si les Greylists sont trop utilisées, le serveur peut être DOWN chaque nuit pendant le traitement de la BDD de postgrey (je suis monté à 3millions d'entrées dans la BDD et avec la liste des BAL d'un seul domaine, je suis retombé à 300 000). Bon weekend, Maxime Teissèdre. Le 23 juillet 2010 14:35, Sébastien Namèche sebastien.name...@netensia.fr a écrit : Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit : Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer. C'est encore une fois une question d'architecture et de réflexion sur le système en place. Oui, il n'est pas envisageable de pouvoir absorber une charge importante si chaque message doit passer par des analyses de contenu (filtres bayésiens, OCR sur les images, etc.). Pour les grosses volumétries, deux aspects essentiels : 1) Il faut détecter les courriers indésirables pendant la session SMTP pour refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le problème de la patate chaude. Cf. http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais toujours d'actualité). J'aime bien embarrasser les files d'attente des hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang (déjà cité dans ce fil) est l'idéal. 2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un message. En fait, la plus grosse partie des messages indésirables doivent être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les anti-virus de nos relais de messagerie détectent très peu de virus car ils sont interceptés avant d'arriver à l'anti-virus. En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de gamme d'il y a 3 ans. Bon WE à tous, -- Sébastien Namèche Société Netensia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
'jour, On Fri, Jul 23, 2010 at 03:59:20PM +0200, Maxime Teissèdre wrote: […] J'utilise les restrictions intégrés à Postfix, la liste des BAL de certains domaines, les Greylists puis Amavis combiné à ClamAV et SA (en fonction des domaines à filtrés ou non). […] Idem. On (info)gère pas mal de serveurs de mail, et les solutions Open Source n'ont vraiment pas à rougir. Évidemment il faut filtrer un maximum en amont avec - ce que j'appelle - les filtres de 1er niveau qui tentent de zapper les mails selon plein de critères (récap' sur http://mx.evolix.net/ ). Pour le greylisting... c'est génial si l'on peut... mais quasiment aucun de nos clients ne le tolère ! Du coup, on fait du pseudo-greylisting (on greyliste si RBL, reverse DNS incohérent, etc.). Ensuite, pour les quelques % de mails qui sont passés au travers, on a les filtres de 2e niveau très coûteux en ressources : SpamAssassin, Bogofilter, Amavis, ClamAV, en personnalisant tout cela (règles sur mesure, auto-apprentissage via listes blanches, etc.). De plus, en permettant aux utilisateurs de choisir leurs paramètres (activation ou non de l'antispam, choix de la sévérité, etc.), on aboutit à quelques choses d'assez fiable. On a ça chez pas mal de clients, et pas besoin de matériel de fou pour le faire tourner. c...@+ -- Gregory Colpart r...@evolix.fr GnuPG:1024D/C1027A0E Evolix - Informatique et Logiciels Libres http://www.evolix.fr/ --- Liste de diffusion du FRnOG http://www.frnog.org/
