Le 06/04/18 à 02:15, Vincent Lefevre <[email protected]> a écrit :
VL> On 2018-04-05 20:39:18 +0200, Daniel Caillibaud wrote: VL> > Le 04/04/18 à 23:07, "Ph. Gras" <[email protected]> a écrit : VL> > PG> ayant été emmerdé aussi par ce voyou, j'ai constitué un système VL> > PG> pour récupérer toutes ses plages IP à bloquer (avec bash et VL> > PG> ipcalc), et que je vous livre dans un fichier à télécharger ici : VL> > PG> https://fichiers.enpret.com/top.txt VL> > VL> > Je déconseille fortement ce genre de filtrage sauvage ;-) VL> > VL> > Vu ta liste et les plages utilisées, tu interdis un paquet de VL> > serveurs ovh (16 par /28, 32 par /27, etc), et je parie que dans ta VL> > liste y'a déjà 90% des ips que ce "voyou" n'utilise plus et qui ont VL> > été relouées à d'autres (voire 100%), pour la plupart parfaitement VL> > innocents. VL> VL> En ce qui me concerne, j'en ai marre de recevoir du spam en provenance VL> de serveurs d'OVH. Les hébergeurs ont leur part de responsabilité. Et VL> ils ne devraient pas relouer des adresses utilisées pour spammer (en VL> particulier pendant plusieurs semaines ou mois). Ils ne devraient peut-être pas mais le font, et même si c'est après plusieurs mois, avec du blacklist en dur qui sera jamais viré le pb se pose toujours. D'une manière générale, un blocage avec une liste en dur est pas terrible si y'a pas de purge automatique. Je le pratique pourtant, mais sur des domaines et jamais des ip, et plutôt pour tagger des mails qu'en rejeter. VL> > Si tu as un script qui détecte que c'est du spam, il vaudrait mieux VL> > l'envoyer à un rbl sérieux [1], mais le faire automatiquement est VL> > risqué [2], et le faire après vérification par un humain VL> > chronophage :-/ VL> VL> Les RBL ne détectent pas tout. Non, mais en les choisissant correctement ça permet quand même d'en éliminer avant l'analyse (avec du reject s'ils sont plusieurs à lister telle ip comme spammeuse), et ensuite l'antispam doit faire son boulot pour tagger ce qui a été accepté à l'entrée. VL> > Sinon, pour le blindage de ton smtp, vaut mieux se fier au domaine de VL> > l'ip qui t'appelle, avec comme base VL> > - obliger le smtp qui t'appelle à avoir une ip avec un reverse VL> VL> Non! Il y a des endroits où ça bloquerait du mail légitime. VL> Quand j'avais considéré d'ajouter une telle restriction, j'avais VL> vu que dans le mail que je recevais, certains correspondants VL> n'avaient pas de reverse (vérification par la command host). Jamais vu le cas (et je reçois plusieurs milliers de mails par jour de plusieurs centaines de smtp). Et si ça arrivait, il pourrait pas écrire à grand monde vu que cette exigence est très majoritaire chez les hébergeurs de mail (y'en a même qui imposent reverse qui résoud vers l'ip + reverse identique au helo). VL> > - que le reverse soit dans les dns et qu'il pointe bien vers cette ip VL> > (même si le reverse n'est pas le même que le domaine du helo) VL> VL> Donc non également. Ben, je pense toujours que si ;-) VL> > - que le domaine annoncé dans le helo pointe bien vers l'ip qu'il VL> > utilise VL> VL> Non, ce n'est pas toujours le cas. Notamment cela empêche d'envoyer VL> du mail directement depuis une machine derrière un NAT. Non, car je parle de l'ip qui me cause, pas celle d'origine ni celles des relais précédents, et je maintiens que l'ip publique sortante qui veut m'envoyer des mails doit avoir un reverse qui doit résoudre vers cette ip publique. C'est un peu plus strict que les RFC, mais qqun qui respecte pas ça peut pas envoyer de mail à google|hotmail|yahoo|free|orange|… donc j'adopte aussi ça pour pas prendre plus de spam. C'est vrai que ça accentue le standard de fait, mais ça me choque pas vu la règle en question. Avant ça permettait de rejeter d'office tous les spams envoyés depuis les "PC zombies", celui qui hébergeait un serveur mail chez lui devait prévoir un reverse ayant une entrée dns, éventuellement avec du dyndns s'il avait pas d'ip fixe. Maintenant la plupart des FAI français proposent des ip publiques avec reverse qui résout, et ils bloquent le port 25 par défaut, mais y'a encore pas mal d'ip de PC vérolés à travers le monde qui ne satisfont pas ça, et j'ai jamais vu de mail légitime en provenir (ok, en les bloquant je risque pas de le savoir, mais j'ai jamais eu de plaintes et mon smtp reçoit du courrier d'un peu partout). Amicalement, -- Daniel Je fais deux régimes en même temps, parce qu'avec un seul, j'avais pas assez à manger. Coluche
