On Thu, 23 Nov 2006, Sebastien Gioria wrote: > Bonsoir, > > Je viens de parcourir mes logs postfix apres mis en place d'un parametre > surpplémentaire de postfix (reject_unkown_hostname) et je m'apercoit que je > jettes tous les mails de wanadoo/orange (ou presque) > > Je retrouve des lignes comme ceci : > > Nov 22 15:05:04 away postfix/smtpd[79394]: NOQUEUE: reject: RCPT from > smtp9.orange.fr[193.252.22.22]: 450 <smtp-msa-out09.orange.fr>: Helo command > rejected: Host not found; from=<xxxxx> to=<yyyyy> proto=ESMTP > helo=<smtp-msa-out09.orange.fr>
Bonsoir, la configuration d'Orange n'est pas parfaite certes (pas de résolution du HELO/EHLO smtp-msa-out09.orange.fr), mais rien n'oblige le client SMTP à fournir un HELO/EHLO qui résolve. En tout cas pas dans les RFC. La restriction reject_unkown_hostname sur Postfix me semble réellement trop violente, je ne connais personne qui s'en serve (du moins la couple avec une erreur 500. Ce type de vérification peut servir dans l'attribution d'une note de spamicité globale ou bien en couplage avec une solution non-"létale", du type greylisting). D'un autre côte, reject_unkown_hostname n'est vraiment pas tant efficace que cela face aux virus/spambots. Par contre on peut filtrer sur des HELO/EHLO mal formés ( reject_invalid_hostname ou reject_invalid_helo_hostname ) : notamment de nombreux virus positionnent le HELO/EHLO au nom du *serveur* SMTP, voire même l'IP du *serveur* SMTP qu'il est en train de contacter, ce qui n'est vraiment pas normal du tout. Donc un check_helo_access avec un REJECT sur les IPs et les noms DNS du serveur SMTP est déjà une bonne chose générant peu de faux-positifs. Par contre je déconseillerais de rejecter des HELO qui ne sont pas FQDN. Il y a de vrais clients SMTP qui ont un HELO qui est un nom simple (machine), sans domaine (machine.domain.tld). Evidemment de tels HELO ne résolvent pas et sont "attrapés" par reject_unkown_hostname. > > > Et que tous les smtp-msa-out?? Sont inconnus..... > > Resultat j'ai retiré le parametre de postfix....mais ca m'arrange pas car il > est plutot pratique contre les spammers.... > > > Je suis le seul a être aussi restrictif sur mes smtp ? Ou d'autres aussi et > ont trouvé une solution juste pour oragne ? > Tu peux toujours faire précéder ton reject_unknown_hostname par un "permit" sur les clients SMTP d'Orange, mais ça n'est pas une solution car tu trouveras d'autres clients SMTP "très connus" qui poseront le même type de problème (bien que je n'en ai pas en tête pour l'instant). Bref il n'y a pas *une* solution pour lutter contre les spammeurs. Il faut un assemblage de solutions, un assemblage intelligent et pertinent (et donc qui dépend du type d'utilisateurs). Cordialement, -- Raphaël Marichez [EMAIL PROTECTED]
pgp2zAecX27NV.pgp
Description: PGP signature
