Re: Bloquer un TLD sous Postfix

2018-04-06 Par sujet Ph. Gras 
Bonjour,

> Je déconseille fortement ce genre de filtrage sauvage ;-)

les remontrances de Daniel me semblent infondées et parfaitement déplacées.

Le filtrage que j'ai réalisé est basé sur un host effectué sur les 256 adresses 
IP
d'une plage dans laquelle se trouve celle d'un expéditeur avec le domaine sur
lequel on cause et un de ses copains en .club

> Vu ta liste et les plages utilisées, tu interdis un paquet de serveurs ovh
> (16 par /28, 32 par /27, etc), et je parie que dans ta liste y'a déjà 90%
> des ips que ce "voyou" n'utilise plus et qui ont été relouées à d'autres
> (voire 100%), pour la plupart parfaitement innocents.

Cette liste est fraîche et après un rapide sondage, toujours d'actualité. 

> Et la généralisation de ces comportements amène à la conclusion que seuls
> gmail, hotmail & co peuvent envoyer des mails ayant de bonnes chances
> d'arriver. Donc tous ceux qui maintenaient leur petit serveur de mail perso
> abandonnent parce qu'ils sont régulièrement blacklistés ici ou là, de
> manière totalement arbitraire et obscure, évidemment sans être prévenus,
> et que ça devient trop pénible à maintenir.

Raisonnement un peu rapide auquel il manque une solide argumentation.
Je fais partie de ceux qui maintiennent un petit serveur de mail perso et j'ai
la conviction que mes règles sont suffisamment laxistes pour ne pas perdre
de mail sur les domaines qu'il gère.

Je suppose que OVH ne surveille pas ce que font ses clients pour respecter
la neutralité du Net. Les réclamations que j'ai pu adresser à cette société par
le passé pour des comportements abusifs ou frauduleux ont été rapidement
et correctement traités.

> Si tu as un script qui détecte que c'est du spam, il vaudrait mieux
> l'envoyer à un rbl sérieux [1], mais le faire automatiquement est risqué
> [2], et le faire après vérification par un humain chronophage :-/

Tu n'as pas pris la peine de me lire avant de partir sur tes grands chevaux.

Je n'ai pas évoqué un script, mais un système ! Il y a intervention humaine.

> Et ensuite tu peux tagguer / rejeter d'après ce domaine, mais si tu
> rejettes, fais le avec un message donnant une idée du motif (genre "too
> much spam")

Je ne rejette pas ces IP, je les DROP après enquête avec iptables.

Bonne continuation,

Ph. Gras

Re: Bloquer un TLD sous Postfix

2018-04-06 Par sujet Vincent Lefevre 
On 2018-04-06 10:16:09 +0200, Daniel Caillibaud wrote:
> Le 06/04/18 à 02:15, Vincent Lefevre  a écrit :
> VL> En ce qui me concerne, j'en ai marre de recevoir du spam en provenance
> VL> de serveurs d'OVH. Les hébergeurs ont leur part de responsabilité. Et
> VL> ils ne devraient pas relouer des adresses utilisées pour spammer (en
> VL> particulier pendant plusieurs semaines ou mois).
> 
> Ils ne devraient peut-être pas mais le font, et même si c'est après
> plusieurs mois, avec du blacklist en dur qui sera jamais viré le pb se pose
> toujours.

L'utilisateur peut se plaindre à son hébergeur et/ou changer
d'hébergeur. Les blacklists en dur permettent aussi de mettre
la pression sur les hébergeurs.

> D'une manière générale, un blocage avec une liste en dur est pas terrible
> si y'a pas de purge automatique. Je le pratique pourtant, mais sur des
> domaines et jamais des ip,

Les spammeurs changent souvent de domaine, plus que d'IP.

Sinon, je blackliste aussi sur des NS. C'est ce que j'ai dû faire
pour me débarrasser définitivement d'un spammeur qui m'a spammé
pendant plusieurs mois. Il changeait à chaque fois de domaine (il
en avait plusieurs centaines, avec des noms semblant plus ou moins
aléatoires), et dans une moindre mesure d'IP.

> et plutôt pour tagger des mails qu'en rejeter.

Trier les mails taggés fait perdre du temps.

> VL> Les RBL ne détectent pas tout.
> 
> Non, mais en les choisissant correctement ça permet quand même d'en
> éliminer avant l'analyse (avec du reject s'ils sont plusieurs à lister
> telle ip comme spammeuse), et ensuite l'antispam doit faire son boulot pour
> tagger ce qui a été accepté à l'entrée.

Chez moi, la plupart du spam est éliminé par les RBL, mais il en reste
beaucoup qui passe au travers.

> VL> > - que le domaine annoncé dans le helo pointe bien vers l'ip qu'il
> VL> > utilise  
> VL> 
> VL> Non, ce n'est pas toujours le cas. Notamment cela empêche d'envoyer
> VL> du mail directement depuis une machine derrière un NAT.
> 
> Non, car je parle de l'ip qui me cause, pas celle d'origine ni celles des
> relais précédents, et je maintiens que l'ip publique sortante qui veut
> m'envoyer des mails doit avoir un reverse qui doit résoudre vers cette ip
> publique.

Je parle bien d'envoyer un mail directement, sans relais. Dans le
passé, c'était ma config, car les relais de mon FAI étaient souvent
blacklistés (petit FAI, et de plus laxiste sur le spam).

-- 
Vincent Lefèvre  - Web: 
100% accessible validated (X)HTML - Blog: 
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)

Re: Bloquer un TLD sous Postfix

2018-04-06 Par sujet Daniel Caillibaud 
Le 06/04/18 à 02:15, Vincent Lefevre  a écrit :

VL> On 2018-04-05 20:39:18 +0200, Daniel Caillibaud wrote:
VL> > Le 04/04/18 à 23:07, "Ph. Gras"  a écrit :  
VL> > PG> ayant été emmerdé aussi par ce voyou, j'ai constitué un système
VL> > PG> pour récupérer toutes ses plages IP à bloquer (avec bash et
VL> > PG> ipcalc), et que je vous livre dans un fichier à télécharger ici :
VL> > PG> https://fichiers.enpret.com/top.txt  
VL> > 
VL> > Je déconseille fortement ce genre de filtrage sauvage ;-)
VL> > 
VL> > Vu ta liste et les plages utilisées, tu interdis un paquet de
VL> > serveurs ovh (16 par /28, 32 par /27, etc), et je parie que dans ta
VL> > liste y'a déjà 90% des ips que ce "voyou" n'utilise plus et qui ont
VL> > été relouées à d'autres (voire 100%), pour la plupart parfaitement
VL> > innocents.  
VL> 
VL> En ce qui me concerne, j'en ai marre de recevoir du spam en provenance
VL> de serveurs d'OVH. Les hébergeurs ont leur part de responsabilité. Et
VL> ils ne devraient pas relouer des adresses utilisées pour spammer (en
VL> particulier pendant plusieurs semaines ou mois).

Ils ne devraient peut-être pas mais le font, et même si c'est après
plusieurs mois, avec du blacklist en dur qui sera jamais viré le pb se pose
toujours.
D'une manière générale, un blocage avec une liste en dur est pas terrible
si y'a pas de purge automatique. Je le pratique pourtant, mais sur des
domaines et jamais des ip, et plutôt pour tagger des mails qu'en rejeter.

VL> > Si tu as un script qui détecte que c'est du spam, il vaudrait mieux
VL> > l'envoyer à un rbl sérieux [1], mais le faire automatiquement est
VL> > risqué [2], et le faire après vérification par un humain
VL> > chronophage :-/  
VL> 
VL> Les RBL ne détectent pas tout.

Non, mais en les choisissant correctement ça permet quand même d'en
éliminer avant l'analyse (avec du reject s'ils sont plusieurs à lister
telle ip comme spammeuse), et ensuite l'antispam doit faire son boulot pour
tagger ce qui a été accepté à l'entrée.

VL> > Sinon, pour le blindage de ton smtp, vaut mieux se fier au domaine de
VL> > l'ip qui t'appelle, avec comme base
VL> > - obliger le smtp qui t'appelle à avoir une ip avec un reverse  
VL> 
VL> Non! Il y a des endroits où ça bloquerait du mail légitime.
VL> Quand j'avais considéré d'ajouter une telle restriction, j'avais
VL> vu que dans le mail que je recevais, certains correspondants
VL> n'avaient pas de reverse (vérification par la command host).

Jamais vu le cas (et je reçois plusieurs milliers de mails par jour de
plusieurs centaines de smtp).

Et si ça arrivait, il pourrait pas écrire à grand monde vu que cette
exigence est très majoritaire chez les hébergeurs de mail (y'en a même qui
imposent reverse qui résoud vers l'ip + reverse identique au helo).

VL> > - que le reverse soit dans les dns et qu'il pointe bien vers cette ip
VL> > (même si le reverse n'est pas le même que le domaine du helo)  
VL> 
VL> Donc non également.

Ben, je pense toujours que si ;-)

VL> > - que le domaine annoncé dans le helo pointe bien vers l'ip qu'il
VL> > utilise  
VL> 
VL> Non, ce n'est pas toujours le cas. Notamment cela empêche d'envoyer
VL> du mail directement depuis une machine derrière un NAT.

Non, car je parle de l'ip qui me cause, pas celle d'origine ni celles des
relais précédents, et je maintiens que l'ip publique sortante qui veut
m'envoyer des mails doit avoir un reverse qui doit résoudre vers cette ip
publique.

C'est un peu plus strict que les RFC, mais qqun qui respecte pas ça peut
pas envoyer de mail à google|hotmail|yahoo|free|orange|… donc j'adopte
aussi ça pour pas prendre plus de spam. C'est vrai que ça accentue le
standard de fait, mais ça me choque pas vu la règle en question.

Avant ça permettait de rejeter d'office tous les spams envoyés depuis les
"PC zombies", celui qui hébergeait un serveur mail chez lui devait prévoir
un reverse ayant une entrée dns, éventuellement avec du dyndns s'il avait
pas d'ip fixe.
Maintenant la plupart des FAI français proposent des ip publiques avec
reverse qui résout, et ils bloquent le port 25 par défaut, mais y'a encore
pas mal d'ip de PC vérolés à travers le monde qui ne satisfont pas ça, et
j'ai jamais vu de mail légitime en provenir (ok, en les bloquant je risque
pas de le savoir, mais j'ai jamais eu de plaintes et mon smtp reçoit du
courrier d'un peu partout).

Amicalement,


-- 
Daniel

Je fais deux régimes en même temps, parce qu'avec
un seul, j'avais pas assez à manger.
Coluche