Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Clément Game

Marc Plunian wrote:

Le 22/07/2010 22:19, Jeremie Le Hen a écrit :

Salut,

On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote:
  

Reste que pour ce genre de tache l'open source a tout ce qu'il faut.

Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça
marche bien :)

   

+1 avec cette solution : le tarpitting permet d'économiser pas mal
d'argent / de ressources etc ...

On le couple avec des filtres additionnels ( RBL ) et un antispam (
SpamAssassin / amavis / dspam ) et on a une très bonne solution.
 

Les produits open-source sont effectivement de bonne qualité, mais le
problème est que la plupart du temps ils sont configurés avec leur
règles par défaut.  Personne n'ignore la professionnalisation du spam et
il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel
passera aux travers des mailles du filet.

Je vous invite à lire ce billet de Chris Siebenmann [1].  Ca fait
plusieurs années que je lis son blog et avant il parlait régulièrement
de la façon dont il combattait le spam au sein de l'université dans
laquelle il travaille.  Et puis il a fini par arrêter.

Je suis très motivés par l'open-source à tous les niveaux, mais je
trouve que la lutte anti-spam est un domaine où le modèle commercial
possède un avantage indéniable car il faut être capable d'investir
beaucoup de temps sur le sujet mais également avoir accès à un retour
d'expérience très large.  Les constructeurs d'appliance et les services
de messagerie comme Gmail ou Hotmail en sont de bons exemples.

[1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame

   
Tu le dis toi même les spammeurs se sont professionnalisés, donc en 
face il faut également des pros. Si tu ne maîtrises pas à fond les 
serveurs de messageries, les protocoles, les techniques de lutte 
antispam, ... et que tu penses arrêter les spam en tarouillant son 
spamassasin dans ton coin, c'est sur que comme Chris Siebermann tu vas 
vite te fatiguer, d'autant plus que Spamassasin n'est pas l'arme absolue.
Cela ne remet pas en cause les produits antispam Open Source et les 
concepts de la lutte antispam, simplement il faut des gens compétents 
pour le mettre en œuvre. Les concepts de listes grises, d'utilisation 
de RBL, de réputation SPF, DKIM,  sont accessibles à tous mais il 
faut y investir du temps.


Je suis tout à fait d'accord avec ce qui vient d'etre dit, et je 
rajouterais qu'il n'existe à l'heure actuelle aucune solution anti spam 
Opensource qui marche correctement avec des volumetries de l'ordre de 
10M mails/jour ...Si d'aventure vous voulez quand meme essayer, vous 
vous retrouvez alors tt de suite avec de gros bottlenecks et augmenter 
drastiquement le nombre de serveurs deviendra vite necessaire. Orange, 
par le biais d'Atos en a fait les frais...à trafic égal il leur fallait 
6 fois plus de serveurs Postfix/SA qu'une archi full ironport par exemple.


C'est un fait, les solutions de type SA ou dspam fonctionnent mais leur 
latence moyenne elevée (voir tres elevée ) par rapport à la concurence 
pro ( cloudmark , vaderetro,  whatever...)  les empeche de s'imposer en 
environement Opérateur.


C.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Brute force SNMP

2010-07-23 Par sujet Kevin COUSIN
Bonjour la liste,

Avez-vous déjà eu des attaques par brute force SNMP depuis l'adresse 
194.51.220.194 ?

Cordialement,
 
Kevin COUSIN
Administrateur Linux
 
Mail : kevin.cou...@global-sp.net
Tel. : +33 (0)1 44 70 48 22
Fax : +33 (0)1 44 70 48 49
www.globalsp.com
Global SP, The SaaS Company

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Brute force SNMP

2010-07-23 Par sujet Mathieu Goessens
On 23/07/2010 12:05, Kevin COUSIN wrote:
 Bonjour la liste,
 
   Avez-vous déjà eu des attaques par brute force SNMP depuis l'adresse 
 194.51.220.194 ?
 

Heu, c'est quoi une attaque par brute force SNMP ? essayez de deviner
des comptes ? essayer de s'auth en SASL ?

Je suis sceptique sur l'interêt du message, si on commence à lister
toutes les IPs qui essaient de bruteforce, on a pas fini... tu veux
égayer notre vendredi ? :p

-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Brute force SNMP

2010-07-23 Par sujet Dominique Rousseau
Le Fri, Jul 23, 2010 at 12:05:55PM +0200, Kevin COUSIN 
[kevin.cou...@global-sp.net] a écrit:
 Bonjour la liste,
 
   Avez-vous déjà eu des attaques par brute force SNMP depuis l'adresse 
 194.51.220.194 ?

$ whois 194.51.220.194 |grep abuse
abuse-mailbox:  ab...@orange-business.com


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet  Intranet
50, rue Riolan 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
---
Liste de diffusion du FRnOG
http://www.frnog.org/



RE: [FRnOG] Brute force SNMP

2010-07-23 Par sujet Kevin COUSIN
Je cherchais juste à avoir des infos, au cas où. Mais c'est vrai que c'est 
calme pour un vendredi :D

Cordialement,
 
Kevin COUSIN
Administrateur Linux
 
Mail : kevin.cou...@global-sp.net
Tel. : +33 (0)1 44 70 48 22
Fax : +33 (0)1 44 70 48 49
www.globalsp.com
Global SP, The SaaS Company

-Message d'origine-
De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Mathieu 
Goessens
Envoyé : vendredi 23 juillet 2010 12:12
À : frnog@FRnOG.org
Objet : Re: [FRnOG] Brute force SNMP

On 23/07/2010 12:05, Kevin COUSIN wrote:
 Bonjour la liste,
 
   Avez-vous déjà eu des attaques par brute force SNMP depuis l'adresse 
 194.51.220.194 ?
 

Heu, c'est quoi une attaque par brute force SNMP ? essayez de deviner
des comptes ? essayer de s'auth en SASL ?

Je suis sceptique sur l'interêt du message, si on commence à lister
toutes les IPs qui essaient de bruteforce, on a pas fini... tu veux
égayer notre vendredi ? :p

-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Brute force SNMP

2010-07-23 Par sujet MM
Le 23 juil. 2010 à 12:11, Mathieu Goessens a écrit :

 Heu, c'est quoi une attaque par brute force SNMP ? essayez de deviner
 des comptes ? essayer de s'auth en SASL ?

SNMP != SMTP ;)

Bon, d'une manière générale - des attaques aveugles viennent de partout (botnet 
ou machines rootées) - demander si quelqu'un a déjà eu une attaque d'une 
adresse particulière c'est ... spécial :D

Mathieu (un autre)---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Brute force SNMP

2010-07-23 Par sujet Olivier Bonvalet

Le 23/07/2010 12:28, MM a écrit :

Le 23 juil. 2010 à 12:11, Mathieu Goessens a écrit :
   

Heu, c'est quoi une attaque par brute force SNMP ? essayez de deviner
des comptes ? essayer de s'auth en SASL ?
 

SNMP != SMTP ;)

Bon, d'une manière générale - des attaques aveugles viennent de partout (botnet 
ou machines rootées) - demander si quelqu'un a déjà eu une attaque d'une 
adresse particulière c'est ... spécial :D
   


Encore un Kevin ;)

(pas taper)
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Lilian RIGARD - Devclic
Sauf qu'utiliser uniquement Dspam ou Spamassassin pour filter le SPAM c'est se 
tirer une balle dans le pied ... Il faut des filtres en amont car Dspam et 
Spamassassin sont très très gourmands et en effet ils demandent d'augmenter le 
nombre de serveurs de façon conséquente.

On a, en place, un système basé sur des statistiques de pollution, si une IP 
pose problème à un moment donné, elle est remontée avec un warning et si 
celle-ci se manifeste de plus en plus tjs en erreur elle est bannie pendant un 
temps donné sur toute l'infra de mails, les whitelist sont aussi là pour 
laisser passer tout ce qui est bon et éviter de traiter ce qui n'est pas 
nécessaire de traiter ...

Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à 
mon sens Dspam et Spamassassin ne doivent analyser que les mails des 
utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer.

C'est encore une fois une question d'architecture et de réflexion sur le 
système en place.

Lilian.

Le 23 juil. 2010 à 10:49, Clément Game a écrit :

 Marc Plunian wrote:
 Le 22/07/2010 22:19, Jeremie Le Hen a écrit :
 Salut,
 
 On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote:
  
 Reste que pour ce genre de tache l'open source a tout ce qu'il faut.
 
 Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça
 marche bien :)
 
   
 +1 avec cette solution : le tarpitting permet d'économiser pas mal
 d'argent / de ressources etc ...
 
 On le couple avec des filtres additionnels ( RBL ) et un antispam (
 SpamAssassin / amavis / dspam ) et on a une très bonne solution.
 
 Les produits open-source sont effectivement de bonne qualité, mais le
 problème est que la plupart du temps ils sont configurés avec leur
 règles par défaut.  Personne n'ignore la professionnalisation du spam et
 il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel
 passera aux travers des mailles du filet.
 
 Je vous invite à lire ce billet de Chris Siebenmann [1].  Ca fait
 plusieurs années que je lis son blog et avant il parlait régulièrement
 de la façon dont il combattait le spam au sein de l'université dans
 laquelle il travaille.  Et puis il a fini par arrêter.
 
 Je suis très motivés par l'open-source à tous les niveaux, mais je
 trouve que la lutte anti-spam est un domaine où le modèle commercial
 possède un avantage indéniable car il faut être capable d'investir
 beaucoup de temps sur le sujet mais également avoir accès à un retour
 d'expérience très large.  Les constructeurs d'appliance et les services
 de messagerie comme Gmail ou Hotmail en sont de bons exemples.
 
 [1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame
 
   
 Tu le dis toi même les spammeurs se sont professionnalisés, donc en face il 
 faut également des pros. Si tu ne maîtrises pas à fond les serveurs de 
 messageries, les protocoles, les techniques de lutte antispam, ... et que tu 
 penses arrêter les spam en tarouillant son spamassasin dans ton coin, 
 c'est sur que comme Chris Siebermann tu vas vite te fatiguer, d'autant plus 
 que Spamassasin n'est pas l'arme absolue.
 Cela ne remet pas en cause les produits antispam Open Source et les concepts 
 de la lutte antispam, simplement il faut des gens compétents pour le mettre 
 en œuvre. Les concepts de listes grises, d'utilisation de RBL, de réputation 
 SPF, DKIM,  sont accessibles à tous mais il faut y investir du temps.
 
 Je suis tout à fait d'accord avec ce qui vient d'etre dit, et je rajouterais 
 qu'il n'existe à l'heure actuelle aucune solution anti spam Opensource qui 
 marche correctement avec des volumetries de l'ordre de 10M mails/jour ...Si 
 d'aventure vous voulez quand meme essayer, vous vous retrouvez alors tt de 
 suite avec de gros bottlenecks et augmenter drastiquement le nombre de 
 serveurs deviendra vite necessaire. Orange, par le biais d'Atos en a fait les 
 frais...à trafic égal il leur fallait 6 fois plus de serveurs Postfix/SA 
 qu'une archi full ironport par exemple.
 
 C'est un fait, les solutions de type SA ou dspam fonctionnent mais leur 
 latence moyenne elevée (voir tres elevée ) par rapport à la concurence pro ( 
 cloudmark , vaderetro,  whatever...)  les empeche de s'imposer en 
 environement Opérateur.
 
 C.
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/



RE: [FRnOG] Brute force SNMP

2010-07-23 Par sujet Kevin COUSIN
Je confirme, c'est SNMP :D Mon prénom est déjà un handicap dans ce métier :D

Cordialement,
 
Kevin COUSIN
Administrateur Linux
 
Mail : kevin.cou...@global-sp.net
Tel. : +33 (0)1 44 70 48 22
Fax : +33 (0)1 44 70 48 49
www.globalsp.com
Global SP, The SaaS Company

-Message d'origine-
De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Olivier 
Bonvalet
Envoyé : vendredi 23 juillet 2010 12:30
À : frnog@FRnOG.org
Objet : Re: [FRnOG] Brute force SNMP

Le 23/07/2010 12:28, MM a écrit :
 Le 23 juil. 2010 à 12:11, Mathieu Goessens a écrit :

 Heu, c'est quoi une attaque par brute force SNMP ? essayez de deviner
 des comptes ? essayer de s'auth en SASL ?
  
 SNMP != SMTP ;)

 Bon, d'une manière générale - des attaques aveugles viennent de partout 
 (botnet ou machines rootées) - demander si quelqu'un a déjà eu une attaque 
 d'une adresse particulière c'est ... spécial :D


Encore un Kevin ;)

(pas taper)
---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Brute force SNMP

2010-07-23 Par sujet Lilian RIGARD - Devclic
Non pas eu de bruteforce de ce genre ... de toute façon tout est autorisé en 
fonction des IPs sources.

Lilian.
Le 23 juil. 2010 à 14:01, Kevin COUSIN a écrit :

 Je confirme, c'est SNMP :D Mon prénom est déjà un handicap dans ce métier :D
 
 Cordialement,
 
 Kevin COUSIN
 Administrateur Linux
 
 Mail : kevin.cou...@global-sp.net
 Tel. : +33 (0)1 44 70 48 22
 Fax : +33 (0)1 44 70 48 49
 www.globalsp.com
 Global SP, The SaaS Company
 
 -Message d'origine-
 De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de 
 Olivier Bonvalet
 Envoyé : vendredi 23 juillet 2010 12:30
 À : frnog@FRnOG.org
 Objet : Re: [FRnOG] Brute force SNMP
 
 Le 23/07/2010 12:28, MM a écrit :
 Le 23 juil. 2010 à 12:11, Mathieu Goessens a écrit :
 
 Heu, c'est quoi une attaque par brute force SNMP ? essayez de deviner
 des comptes ? essayer de s'auth en SASL ?
 
 SNMP != SMTP ;)
 
 Bon, d'une manière générale - des attaques aveugles viennent de partout 
 (botnet ou machines rootées) - demander si quelqu'un a déjà eu une attaque 
 d'une adresse particulière c'est ... spécial :D
 
 
 Encore un Kevin ;)
 
 (pas taper)
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Clément Game
Le fait de faire du filtrage avant analyse de contenu releve d'une 
evidence. maintenant en benchmarking, sur des corpus identiques...les 
solution Antispam libres se font litteralement violer par les  
meilleures solutions pros, c'est tout.


C.

Lilian RIGARD - Devclic wrote:

Sauf qu'utiliser uniquement Dspam ou Spamassassin pour filter le SPAM c'est se 
tirer une balle dans le pied ... Il faut des filtres en amont car Dspam et 
Spamassassin sont très très gourmands et en effet ils demandent d'augmenter le 
nombre de serveurs de façon conséquente
On a, en place, un système basé sur des statistiques de pollution, si une IP 
pose problème à un moment donné, elle est remontée avec un warning et si celle-ci se 
manifeste de plus en plus tjs en erreur elle est bannie pendant un temps donné sur toute 
l'infra de mails, les whitelist sont aussi là pour laisser passer tout ce qui est bon et 
éviter de traiter ce qui n'est pas nécessaire de traiter ...

Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à 
mon sens Dspam et Spamassassin ne doivent analyser que les mails des 
utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer.

C'est encore une fois une question d'architecture et de réflexion sur le 
système en place.

Lilian.

Le 23 juil. 2010 à 10:49, Clément Game a écrit :

  

Marc Plunian wrote:


Le 22/07/2010 22:19, Jeremie Le Hen a écrit :
  

Salut,

On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote:
 


Reste que pour ce genre de tache l'open source a tout ce qu'il faut.

Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça
marche bien :)

  


+1 avec cette solution : le tarpitting permet d'économiser pas mal
d'argent / de ressources etc ...

On le couple avec des filtres additionnels ( RBL ) et un antispam (
SpamAssassin / amavis / dspam ) et on a une très bonne solution.

  

Les produits open-source sont effectivement de bonne qualité, mais le
problème est que la plupart du temps ils sont configurés avec leur
règles par défaut.  Personne n'ignore la professionnalisation du spam et
il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel
passera aux travers des mailles du filet.

Je vous invite à lire ce billet de Chris Siebenmann [1].  Ca fait
plusieurs années que je lis son blog et avant il parlait régulièrement
de la façon dont il combattait le spam au sein de l'université dans
laquelle il travaille.  Et puis il a fini par arrêter.

Je suis très motivés par l'open-source à tous les niveaux, mais je
trouve que la lutte anti-spam est un domaine où le modèle commercial
possède un avantage indéniable car il faut être capable d'investir
beaucoup de temps sur le sujet mais également avoir accès à un retour
d'expérience très large.  Les constructeurs d'appliance et les services
de messagerie comme Gmail ou Hotmail en sont de bons exemples.

[1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame

  


Tu le dis toi même les spammeurs se sont professionnalisés, donc en face il faut 
également des pros. Si tu ne maîtrises pas à fond les serveurs de messageries, les 
protocoles, les techniques de lutte antispam, ... et que tu penses arrêter les spam en 
tarouillant son spamassasin dans ton coin, c'est sur que comme Chris 
Siebermann tu vas vite te fatiguer, d'autant plus que Spamassasin n'est pas l'arme 
absolue.
Cela ne remet pas en cause les produits antispam Open Source et les concepts de 
la lutte antispam, simplement il faut des gens compétents pour le mettre en 
œuvre. Les concepts de listes grises, d'utilisation de RBL, de réputation SPF, 
DKIM,  sont accessibles à tous mais il faut y investir du temps.

  

Je suis tout à fait d'accord avec ce qui vient d'etre dit, et je rajouterais 
qu'il n'existe à l'heure actuelle aucune solution anti spam Opensource qui 
marche correctement avec des volumetries de l'ordre de 10M mails/jour ...Si 
d'aventure vous voulez quand meme essayer, vous vous retrouvez alors tt de 
suite avec de gros bottlenecks et augmenter drastiquement le nombre de serveurs 
deviendra vite necessaire. Orange, par le biais d'Atos en a fait les frais...à 
trafic égal il leur fallait 6 fois plus de serveurs Postfix/SA qu'une archi 
full ironport par exemple.

C'est un fait, les solutions de type SA ou dspam fonctionnent mais leur latence 
moyenne elevée (voir tres elevée ) par rapport à la concurence pro ( cloudmark 
, vaderetro,  whatever...)  les empeche de s'imposer en environement Opérateur.

C.

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

  


---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Sébastien Namèche

Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit :
 Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à 
 mon sens Dspam et Spamassassin ne doivent analyser que les mails des 
 utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer.
 
 C'est encore une fois une question d'architecture et de réflexion sur le 
 système en place.


Oui, il n'est pas envisageable de pouvoir absorber une charge importante si 
chaque message doit passer par des analyses de contenu (filtres bayésiens, OCR 
sur les images, etc.).

Pour les grosses volumétries, deux aspects essentiels :

  1) Il faut détecter les courriers indésirables pendant la session SMTP pour 
refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le 
problème de la patate chaude. Cf. 
http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais 
toujours d'actualité). J'aime bien embarrasser les files d'attente des 
hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang 
(déjà cité dans ce fil) est l'idéal.

  2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, DKIM, 
conformance, etc.) avant de se résoudre à regarder le contenu d'un message. En 
fait, la plus grosse partie des messages indésirables doivent être repérés 
avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les anti-virus de 
nos relais de messagerie détectent très peu de virus car ils sont interceptés 
avant d'arriver à l'anti-virus.

En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 1 
million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de 
gamme d'il y a 3 ans.

Bon WE à tous,

-- 
Sébastien Namèche
Société Netensia

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Thomas Mangin
Pareil ici,

Postfix est très bon comme mx et scanner pour ça (mais les fan de Exim diront 
la même chose) entre les fonctions en dur et l'utilisation d'un daemon 
externe, c' est très flexible.

http://www.postfix.org/SMTPD_POLICY_README.html
http://www.policyd.org/

MX - postfix + policy daemon
SCANNER - postfix + Amavis + Clamav + SpamAssasin + FuzzyOCR + ...

Thomas

On 23 Jul 2010, at 13:35, Sébastien Namèche wrote:

 
 Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit :
 Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à 
 mon sens Dspam et Spamassassin ne doivent analyser que les mails des 
 utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer.
 
 C'est encore une fois une question d'architecture et de réflexion sur le 
 système en place.
 
 
 Oui, il n'est pas envisageable de pouvoir absorber une charge importante si 
 chaque message doit passer par des analyses de contenu (filtres bayésiens, 
 OCR sur les images, etc.).
 
 Pour les grosses volumétries, deux aspects essentiels :
 
  1) Il faut détecter les courriers indésirables pendant la session SMTP pour 
 refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le 
 problème de la patate chaude. Cf. 
 http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais 
 toujours d'actualité). J'aime bien embarrasser les files d'attente des 
 hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang 
 (déjà cité dans ce fil) est l'idéal.
 
  2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, 
 DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un 
 message. En fait, la plus grosse partie des messages indésirables doivent 
 être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les 
 anti-virus de nos relais de messagerie détectent très peu de virus car ils 
 sont interceptés avant d'arriver à l'anti-virus.
 
 En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 
 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de 
 gamme d'il y a 3 ans.
 
 Bon WE à tous,
 
 -- 
 Sébastien Namèche
 Société Netensia
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Brute force SNMP

2010-07-23 Par sujet fr...@webmail.fr


Encore un Kevin ;)




Pour moi la question est :
Pourquoi avoir le SNMP accessible en world wide ?

...



---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Brute force SNMP

2010-07-23 Par sujet Rémi Bouhl
2010/7/23, fr...@webmail.fr fr...@webmail.fr:

 Encore un Kevin ;)



 Pour moi la question est :
 Pourquoi avoir le SNMP accessible en world wide ?

Rien ne dit que son SNMP est accessible, l'attaquant peut très bien
balancer des requêtes SNMP au pif sans s'inquiéter de l'absence de
réponse.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Maxime Teissèdre
Bonjour,

Je gère plusieurs relais de messagerie sous Postfix/Amavis/ClamAV/SA.
Les deux plus gros ont un trafic journalier de 5,2 millions de connexions
SMTP

Le serveur ne peut pas traiter tous ces messages!!!

Il en rejette à la connexion 5,1 millions, pour à peine 20 000 messages
scannés par jours.

Pour certains domaines, la liste des BAL est nécessaire, sinon le serveur ne
tient pas.
J'utilise les restrictions intégrés à Postfix, la liste des BAL de certains
domaines, les Greylists puis Amavis combiné à ClamAV et SA (en fonction des
domaines à filtrés ou non).

Ça fonctionne pas mal, mais si les Greylists sont trop utilisées, le serveur
peut être DOWN chaque nuit pendant le traitement de la BDD de postgrey
(je suis monté à 3millions d'entrées dans la BDD et avec la liste des BAL
d'un seul domaine, je suis retombé à 300 000).

Bon weekend,

Maxime Teissèdre.

Le 23 juillet 2010 14:35, Sébastien Namèche
sebastien.name...@netensia.fra écrit :


 Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit :
  Plus le filtrage est fait en amont moins on a besoin de filtrer derrière
 : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des
 utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer.
 
  C'est encore une fois une question d'architecture et de réflexion sur le
 système en place.


 Oui, il n'est pas envisageable de pouvoir absorber une charge importante si
 chaque message doit passer par des analyses de contenu (filtres bayésiens,
 OCR sur les images, etc.).

 Pour les grosses volumétries, deux aspects essentiels :

  1) Il faut détecter les courriers indésirables pendant la session SMTP
 pour refuser de les prendre en charge à ce moment là. C'est ce que j'appelle
 le problème de la patate chaude. Cf.
 http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien
 mais toujours d'actualité). J'aime bien embarrasser les files d'attente des
 hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que
 MIMEDefang (déjà cité dans ce fil) est l'idéal.

  2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF,
 DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un
 message. En fait, la plus grosse partie des messages indésirables doivent
 être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple,
 les anti-virus de nos relais de messagerie détectent très peu de virus car
 ils sont interceptés avant d'arriver à l'anti-virus.

 En se basant sur ces principes, nous avons des cas où nous arrivons à
 traiter 1 million de sessions SMTP entrantes par jour sur un simple Dell
 d'entrée de gamme d'il y a 3 ans.

 Bon WE à tous,

 --
 Sébastien Namèche
 Société Netensia

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/




Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Trognon Patrice
Ouep même config que toi Maxime en moins couillus certe sur le nombre de mail 
traite mais par contre plus d'une quarantaine de serveurs sur cette conf sans 
aucun soucis !
Juste Clamav qui se bloque de temps en temps un petit stop/start et ça repart, 
sur deux serveurs j'ai eu des soucis de maj de clamav !

Patrice Trognon
http://www.boxadmin.com
 09.50.15.77.80
 06.21.09.36.94

Le 23 juil. 2010 à 15:59, Maxime Teissèdre maxime.teisse...@gmail.com a écrit 
:

 Bonjour,
 
 Je gère plusieurs relais de messagerie sous Postfix/Amavis/ClamAV/SA.
 Les deux plus gros ont un trafic journalier de 5,2 millions de connexions SMTP
 
 Le serveur ne peut pas traiter tous ces messages!!!
 
 Il en rejette à la connexion 5,1 millions, pour à peine 20 000 messages 
 scannés par jours.
 
 Pour certains domaines, la liste des BAL est nécessaire, sinon le serveur ne 
 tient pas.
 J'utilise les restrictions intégrés à Postfix, la liste des BAL de certains 
 domaines, les Greylists puis Amavis combiné à ClamAV et SA (en fonction des 
 domaines à filtrés ou non).
 
 Ça fonctionne pas mal, mais si les Greylists sont trop utilisées, le serveur 
 peut être DOWN chaque nuit pendant le traitement de la BDD de postgrey 
 (je suis monté à 3millions d'entrées dans la BDD et avec la liste des BAL 
 d'un seul domaine, je suis retombé à 300 000).
 
 Bon weekend,
 
 Maxime Teissèdre.
 
 Le 23 juillet 2010 14:35, Sébastien Namèche sebastien.name...@netensia.fr a 
 écrit :
 
 Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit :
  Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : 
  à mon sens Dspam et Spamassassin ne doivent analyser que les mails des 
  utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer.
 
  C'est encore une fois une question d'architecture et de réflexion sur le 
  système en place.
 
 
 Oui, il n'est pas envisageable de pouvoir absorber une charge importante si 
 chaque message doit passer par des analyses de contenu (filtres bayésiens, 
 OCR sur les images, etc.).
 
 Pour les grosses volumétries, deux aspects essentiels :
 
  1) Il faut détecter les courriers indésirables pendant la session SMTP pour 
 refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le 
 problème de la patate chaude. Cf. 
 http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais 
 toujours d'actualité). J'aime bien embarrasser les files d'attente des 
 hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang 
 (déjà cité dans ce fil) est l'idéal.
 
  2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, 
 DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un 
 message. En fait, la plus grosse partie des messages indésirables doivent 
 être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les 
 anti-virus de nos relais de messagerie détectent très peu de virus car ils 
 sont interceptés avant d'arriver à l'anti-virus.
 
 En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 
 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de 
 gamme d'il y a 3 ans.
 
 Bon WE à tous,
 
 --
 Sébastien Namèche
 Société Netensia
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 


Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Gregory Colpart
'jour,

On Fri, Jul 23, 2010 at 03:59:20PM +0200, Maxime Teissèdre wrote:
 […]
 J'utilise les restrictions intégrés à Postfix, la liste des BAL de certains
 domaines, les Greylists puis Amavis combiné à ClamAV et SA (en fonction des
 domaines à filtrés ou non).
 […]

Idem.

On (info)gère pas mal de serveurs de mail, et les solutions Open Source
n'ont vraiment pas à rougir. Évidemment il faut filtrer un maximum en
amont avec - ce que j'appelle - les filtres de 1er niveau qui tentent
de zapper les mails selon plein de critères (récap' sur http://mx.evolix.net/ ).
Pour le greylisting... c'est génial si l'on peut... mais quasiment
aucun de nos clients ne le tolère ! Du coup, on fait du
pseudo-greylisting (on greyliste si RBL, reverse DNS
incohérent, etc.). Ensuite, pour les quelques % de mails qui sont
passés au travers, on a les filtres de 2e niveau très coûteux
en ressources : SpamAssassin, Bogofilter, Amavis, ClamAV, en
personnalisant tout cela (règles sur mesure, auto-apprentissage
via listes blanches, etc.). De plus, en permettant aux
utilisateurs de choisir leurs paramètres (activation ou non de
l'antispam, choix de la sévérité, etc.), on aboutit à quelques
choses d'assez fiable. On a ça chez pas mal de clients, et pas
besoin de matériel de fou pour le faire tourner.

c...@+
-- 
Gregory Colpart r...@evolix.fr  GnuPG:1024D/C1027A0E
Evolix - Informatique et Logiciels Libres http://www.evolix.fr/
---
Liste de diffusion du FRnOG
http://www.frnog.org/