Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
> Je pense qu'il y a aussi un principe de précaution car il suffit qu'un client > mail > soit infecté par je ne sais quel trojan pour qu'il envoie en masse du spam > (ca m'est > déjà arrivé quand j'avais une belle plateforme de mail et que j'avais des > utilisateurs > avec des ordis pas à jour qui cliquaient sur n'importe quel mail "vous avez > une facture"). > > Ce qui m'as permis d'avoir certains smtp relays blacklistés et grace à un peu > de chance > j'ai trouve quel était l'utilisateur qui s'était fait owné. > > Dans ce cas, il est possible que le système de "policy" de Gandi se base sur > un certain > nombre de choses, DONT les RBL avec un système de poids et bloque quand ca > passe une > limite. Chose qui est également possible avec un anti spam en out qui peux > sauver la vie > dans le cas que j'ai cité au dessus. Oui justement, quand ton job c’est de fournir du mail en masse, je pense que tu as des moyens plus simples, qui sont probablement quasi en standard sur les serveurs de mail actuels, pour détecter un client de mail infecté (multiple recipients, rate limit, etc…), sans avoir besoin de te fier à une BL. Le problème c’est que le client en question a un prestataire informatique, qui quand on lui explique que le client est en 4G donc IP Publique qui est partagée et change, il dit que c’est pas professionnel. Evidemment, j’ai envie de lui répondre « hey mec, en parlant de professionnel, tu peux pas monter ton serveur de mail plutôt que d’acheter à Gandi et revendre avec une marge de porc, tout en faisant passer pour un export ? » . Mais bon, je me retiens :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
On Thu, Sep 19, 2019 at 10:42:02PM +0200, Xavier Beaudouin wrote: > Bah, gères-le. Comme dis l'adage, si tu n'es pas content d'un service > change de fournisseurs. Gandi ne t'oblige pas à utiliser leur service, > tu peux très bien utiliser un gmail / o365 ou gérer ton propre serveur, > mais dans ce cas tu es responsable de pas mal de choses et... les gros > que j'ai cité juste ici (et bien d'autres) font tout pour ne pas > de faciliter la vie... > Vous avez peut-être déjà vu passer mais dans le doute : https://poolp.org/posts/2019-08-30/you-should-not-run-your-mail-server-because-mail-is-hard/ et sa suite (plus opérationnelle) : https://poolp.org/posts/2019-09-14/setting-up-a-mail-server-with-opensmtpd-dovecot-and-rspamd/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
Le 19/09/2019 à 23:01, Michel Py a écrit : >> Alarig Le Lay a écrit : >> [Spamhaus] >> Tu peux facilement savoir pourquoi tu es blacklisté, leur dé-blacklist >> marche, >> et si tu es c’est pour une bonne raison. Ça ne me semble pas si mal, moi. > > Je plussoie. Chaque fois que j'ai eu un client listé par Spamhaus j'ai trouvé > un merdiciel qui spammait. > J'ai enlevé le merdiciel, dé-listé, çà marche pour moi. C'est une des RBLs > que j'utilise. > > Michel. Même chose ici mais je ne blackliste pas sur la base des RBL, ca contribue simplement au score. Après, à chacun de voir si il préfère sbl, xbl, pbl ou une composition et si il l'applique sur 25, 465 ou 587. Bref, faites vos choix (en tant que presta comme en tant que client). Julien (qui aime être autonome en matière de mail) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
> Il y a cependant un point qui penche en leur faveur: quand tu fais ton > filtrage > aux petits oignons tout seul, tu rates « the big Picture ». :) > Ma question portait plus sur la pratique consistant à mettre de la BL entre > son > MTA et les MUA de ses propres clients authentifiés. > Je n’ai pas l’impression que ça soit courant. Hum... C'est pas courant, mais comme on a pas la trace de la session SMTP parlant que l'authentification s'est bien effectuée (car il y a quand même pas mal de choses entre le poste du MUA et le SMTP relay, et des possibilités assez épaisses pour qu'il y ait un machin entre les deux qui fasse chier...) on ne peux que supposer. Je pense qu'il y a aussi un principe de précaution car il suffit qu'un client mail soit infecté par je ne sais quel trojan pour qu'il envoie en masse du spam (ca m'est déjà arrivé quand j'avais une belle plateforme de mail et que j'avais des utilisateurs avec des ordis pas à jour qui cliquaient sur n'importe quel mail "vous avez une facture"). Ce qui m'as permis d'avoir certains smtp relays blacklistés et grace à un peu de chance j'ai trouve quel était l'utilisateur qui s'était fait owné. Dans ce cas, il est possible que le système de "policy" de Gandi se base sur un certain nombre de choses, DONT les RBL avec un système de poids et bloque quand ca passe une limite. Chose qui est également possible avec un anti spam en out qui peux sauver la vie dans le cas que j'ai cité au dessus. Je pense que aussi les grosses plateformes GAFAM font de même pour bloquer toute activités suspicieuses de leur clients... car oui on est pas à l'abris loin de là. David, rappelles-toi du nombre de fois qu'une certaine plateforme de mail se faisait blacklister a cause des bêtises de certains clients de nos clients... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
Super discussion bien animée, grosse ambiance, mais on s’écarte un peu du sujet :) Perso, je ne lancerai jamais un tel troll, qui est un peu du niveau Linux/Windows. Les BL, on est tous libres de nous en servir ou pas. Il y a cependant un point qui penche en leur faveur: quand tu fais ton filtrage aux petits oignons tout seul, tu rates « the big Picture ». Comme dans le monde de la sécurité, un point central qui agrège des remontées d’information du monde entier peut permettre d’identifier des IP utilisées massivement dans des opérations de spam. Ma question portait plus sur la pratique consistant à mettre de la BL entre son MTA et les MUA de ses propres clients authentifiés. Je n’ai pas l’impression que ça soit courant. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
On Thu, 19 Sep 2019 22:42:02 +0200 (CEST) Xavier Beaudouin wrote: > Sais pas je fais partie de vieux qui ont gérés des gros serveurs de > mail dans les années 2000... Dans les années 2000 ou aujourd'hui, on sait ce que fait la centralisation à l'Internet. Les blacklists et les blacklisteurs étaient déjà bien décriés dans les années 2000. > "le fichier de conf", crois-tu vraiment que gandi ne sais pas ce > qu'ils font. De ce point de vue, oui, quand ils déléguent la censure de leur serveur de messagerie à un tiers, ils ne savent pas ce qu'ils font. > Bah, gères-le. Comme dis l'adage, si tu n'es pas content d'un service > change de fournisseurs. Gandi ne t'oblige pas à utiliser leur > service, tu peux très bien utiliser un gmail / o365 ou gérer ton > propre serveur, mais dans ce cas tu es responsable de pas mal de > choses et... les gros que j'ai cité juste ici (et bien d'autres) font > tout pour ne pas de faciliter la vie... et a coté la rbl de gandi > c'est juste une décoration sur la porte d'entrée. Mais oui, c'est bien pour ça qu'on a nos propres installations et qu'à titre personnel je n'ai jamais utilisé ces choses là. > Tu fais ce que tu veux, mais tu peux aussi raler sur leur support... > ou leur envoyer un mail / irc / whatever... (je sais que certains de > gandi lisent cette ml - bisous a eux -). Non, mais par contre ils avaient des clients que j'ai dû bouger à cause de ça. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
> Alarig Le Lay a écrit : > [Spamhaus] > Tu peux facilement savoir pourquoi tu es blacklisté, leur dé-blacklist marche, > et si tu es c’est pour une bonne raison. Ça ne me semble pas si mal, moi. Je plussoie. Chaque fois que j'ai eu un client listé par Spamhaus j'ai trouvé un merdiciel qui spammait. J'ai enlevé le merdiciel, dé-listé, çà marche pour moi. C'est une des RBLs que j'utilise. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
>> Le principe des RBL c'est de faire chier les spammeurs. Mais la boite >> de pandore a été ouverte dans les années 2000 ou la SEULE RBL >> correctement gérée est passée de "communautaire" à payante > > Je ne suis pas d'accord, historiquement ça avait très mauvaise > réputation et celles qui survivent aujourd'hui c'est parce qu'elles > sont vendues avec un très gros effort de propagande. Sais pas je fais partie de vieux qui ont gérés des gros serveurs de mail dans les années 2000... Bref. >> Alors pourquoi Gandi a utilisé ces listes? parce que peut-être ils en >> avais marre de charrier des truc pourris et que ca leur faisait >> perdre leur temps. > > Je ne pense pas, la raison c'est qu'il n'y a qu'une ligne dans le > fichier de configuration à éditer. Et aussi parce qu'ils n'ont pas idée > de ce qui se trame derrière. "le fichier de conf", crois-tu vraiment que gandi ne sais pas ce qu'ils font. >> Après, si tu veux avoir la paix, prends un dédié, mets ton zimbra et >> gère le bazar avec les DKIM, SPF, etc... les relouteries de google / >> o365... > > Je ne vois pas le rapport avec les blacklists. Bah, gères-le. Comme dis l'adage, si tu n'es pas content d'un service change de fournisseurs. Gandi ne t'oblige pas à utiliser leur service, tu peux très bien utiliser un gmail / o365 ou gérer ton propre serveur, mais dans ce cas tu es responsable de pas mal de choses et... les gros que j'ai cité juste ici (et bien d'autres) font tout pour ne pas de faciliter la vie... et a coté la rbl de gandi c'est juste une décoration sur la porte d'entrée. Tu fais ce que tu veux, mais tu peux aussi raler sur leur support... ou leur envoyer un mail / irc / whatever... (je sais que certains de gandi lisent cette ml - bisous a eux -). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
On Thu, 19 Sep 2019 21:41:58 +0200 (CEST) Xavier Beaudouin wrote: > Le principe des RBL c'est de faire chier les spammeurs. Mais la boite > de pandore a été ouverte dans les années 2000 ou la SEULE RBL > correctement gérée est passée de "communautaire" à payante Je ne suis pas d'accord, historiquement ça avait très mauvaise réputation et celles qui survivent aujourd'hui c'est parce qu'elles sont vendues avec un très gros effort de propagande. > Résultat c'est le bordel. Ceci dit, c'est aussi a ton ISP (voire toi + > ton ISP de ranger le merdier, car si ton IP est arrivée dans cette > liste noire c'est que historiquement y a eu de la merde qui est passé > par là et que ton isp / presta n'as rien foutu... ca s'appelle la > réputation d'IP). Ou bien que le blacklisteur ne t'aime pas. Ou bien qu'il souhaite faire disparaitre des informations compromettantes sur son organisation. Ou bien pour avoir la mainmise sur la victime. > Alors pourquoi Gandi a utilisé ces listes? parce que peut-être ils en > avais marre de charrier des truc pourris et que ca leur faisait > perdre leur temps. Je ne pense pas, la raison c'est qu'il n'y a qu'une ligne dans le fichier de configuration à éditer. Et aussi parce qu'ils n'ont pas idée de ce qui se trame derrière. > Après, si tu veux avoir la paix, prends un dédié, mets ton zimbra et > gère le bazar avec les DKIM, SPF, etc... les relouteries de google / > o365... Je ne vois pas le rapport avec les blacklists. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
Hello, >> Tu peux facilement savoir pourquoi tu es blacklisté, leur dé-blacklist >> marche, et si tu es c’est pour une bonne raison. > > C'est intéressant car j'ai observé complètement le contraire. > Mais j'ai également observé qu'ils étaient très miticuleux sur le choix > des cibles. > > Non seulement il y a ça, mais le principe de blacklister des adresses > IP et en plus de laisser un tier le faire à sa place, je me demande ce > qui pourrait mal se passer... Le principe des RBL c'est de faire chier les spammeurs. Mais la boite de pandore a été ouverte dans les années 2000 ou la SEULE RBL correctement gérée est passée de "communautaire" à payante Résultat c'est le bordel. Ceci dit, c'est aussi a ton ISP (voire toi + ton ISP de ranger le merdier, car si ton IP est arrivée dans cette liste noire c'est que historiquement y a eu de la merde qui est passé par là et que ton isp / presta n'as rien foutu... ca s'appelle la réputation d'IP). Alors pourquoi Gandi a utilisé ces listes? parce que peut-être ils en avais marre de charrier des truc pourris et que ca leur faisait perdre leur temps. Parce que 5 mails gratos avec un domaine, et vu le nombre de domaines ça fait une belle archi de mail a gérer (avec les emmerdes associées)... Après, si tu veux avoir la paix, prends un dédié, mets ton zimbra et gère le bazar avec les DKIM, SPF, etc... les relouteries de google / o365... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
On Thu, 19 Sep 2019 20:48:19 +0200 Alarig Le Lay wrote: > Tu peux facilement savoir pourquoi tu es blacklisté, leur dé-blacklist > marche, et si tu es c’est pour une bonne raison. C'est intéressant car j'ai observé complètement le contraire. Mais j'ai également observé qu'ils étaient très miticuleux sur le choix des cibles. Non seulement il y a ça, mais le principe de blacklister des adresses IP et en plus de laisser un tier le faire à sa place, je me demande ce qui pourrait mal se passer... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
On jeu. 19 sept. 18:30:02 2019, Pavel Polyakov wrote: > Spamhaus, pas obscure ? Haha.. > > Il ne faut pas se fier aux apparences. Tu peux facilement savoir pourquoi tu es blacklisté, leur dé-blacklist marche, et si tu es c’est pour une bonne raison. Ça ne me semble pas si mal, moi. -- Alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
On Thu, 19 Sep 2019 20:19:36 +0200 eldre wrote: > Boarf, c'est du spamhaus, c'est pas comme si c'était un truc si > obscure Spamhaus, pas obscure ? Haha.. Il ne faut pas se fier aux apparences. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
Le 2019/09/19 à 19:19, Pavel Polyakov écrit: > On Thu, 19 Sep 2019 16:59:17 +0200 > David Ponzone wrote: > > > Son IP publique est une IP CGNAT 4G, donc évidemment, c’est ennuyeux > > mais pas trop souvent. BL par SpamRATS et Barracuda surtout (mais je > > sais pas sur quoi Gandi se base). > > J'aime bien Gandi à part leur sponsorisme des blacklisteurs d'IP, et du > pire de tous en plus. > > Donc ouais il y a du filtrage chez Gandi qu'ils délèguent à des tiers. > Du coup pour moi leur service de mail est aussi cheap que du Outlook... > Boarf, c'est du spamhaus, c'est pas comme si c'était un truc si obscure https://docs.gandi.net/fr/gandimail/faq/type_erreurs/sbl-xbl_spamhaus.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
On Thu, 19 Sep 2019 16:59:17 +0200 David Ponzone wrote: > Son IP publique est une IP CGNAT 4G, donc évidemment, c’est ennuyeux > mais pas trop souvent. BL par SpamRATS et Barracuda surtout (mais je > sais pas sur quoi Gandi se base). J'aime bien Gandi à part leur sponsorisme des blacklisteurs d'IP, et du pire de tous en plus. Donc ouais il y a du filtrage chez Gandi qu'ils délèguent à des tiers. Du coup pour moi leur service de mail est aussi cheap que du Outlook... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [ML] [FRnOG] [MISC] Filtrage sur l'IP chez Gandi
Bonjour, On Thu, 19 Sep 2019 16:14:11 +0200 David Ponzone wrote: >| Je crois qu’il y a des gens de chez Gandi sur la liste. >| Un client qui utilise Gandi comme serveur de mail sortant semble être >parfois dans l’impossibilité d’envoyer un mail quand son IP publique est >blacklistée, malgré qu’il s’authentifie. "son IP publique est blacklistée": par qui ? >| Il me semble assez peu habituel de filtrer ses propres clients sur la base >de l’IP source, est-ce que quelqu’un de Gandi (ou pas) peut confirmer que >c’est bien le cas chez eux ? Il peut y avoir de très bonnes raisons: par exemple un autre équipement (ou le même mais sur un compte différent) derrière la même IP qui fait des tentatives d'auth qui échouent. Possible que Gandi blackliste l'IP au bout d'un certain nombre de tentatives... Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/