Re: Suggestion pour les attachements lourds (was:Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.)

2010-07-31 Par sujet Damien GARROS
Le 30 juil. 2010 23:21, Stephane Kanschine carx...@hexecho.net a écrit :
 Le Fri 30 Jul, vers 11:44, Jérôme Nicolle exprimait :

 Je n'ai pas trouvé de code tout fait et je n'ai pas eu le temps de finir
 le mien, vous savez si ça existe ?

 Ça existe déjà pour les listes de diffusion, dans un scénario SYMPA
 par exemple. Ça existe comme recette procmail. Il me semble me
 souvenir que ça existe aussi dans RT, mais pas que pour les pièces
 jointes volumineuses.

 --
 « Si un dieu était si puissant qu'il ait créé le monde, mais qu'ensuite il
ne
 fasse rien pour y corriger les problèmes, à quoi bon l'adorer ? Ne
serait-il
 pas plus juste de le juger ? » - Richard M. Stallman
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-30 Par sujet Alain Richard

Le 29 juil. 2010 à 16:14, Benjamin Billon a écrit :

 Le seul problème de cette solution est qu'il est très difficile d'avoir une 
 interface utilisateur digne de ce nom, et c'est généralement là que les 
 produits commerciaux gagnent, surtout que ceux qui achètent les produits 
 sont rarement ceux qui les exploitent...
 Ca c'est un problème pour l'admin.

Pas tout à fait : dans une PME de taille moyenne (50-500 personnes), l'admin 
peut très bien passer son temps à répondre à des questions genre pourquoi mon 
mail n'est pas arrivé ? pourquoi mon mail est marqué comme spam ? pourquoi mon 
mail n'est pas détecté comme spam ? En générale l'entreprise ne dédie que très 
rarement un poste à temps plein pour adresser ce genre de demande... Certains 
produits, comme MailInBlack (dont j'exècre le principe c'est très contre 
productif), reporte le problème à l'utilisateur lui-même, ce qui est une bonne 
idée probablement.

L'admin ne passe normalement pas son temps devant l'interface utilisateur du 
moteur de filtrage, il peut donc se satisfaire d'une interface relativement 
pauvre.

 Par principe, le greylisting est une hérésie qui mérite d'être bannie de tout 
 organisme digne de ce nom, repousser de 15 voire même de 5 minutes l'arrivée 
 d'un message attendu étant universellement contre-productif.

Mouiais, à mon humble avis, les gens qui utilisent le mail comme un moyen 
d'acheminement temps réel n'ont pas tout compris au film, ce sont souvent les 
mêmes qui se pleignent de ne pas pouvoir envoyer leur dernier PowerPoint de 
100Mo pas mail :-). 

Sur un moteur grey-listing et avec une bonne configuration du moteurs et de ses 
interaction, on peut très fortement diminuer cet inconvénient par divers moyens 
(construction de listes de white-listing automatique, retarder uniquement d'une 
minutes, informer les utilisateurs, réemission d'un message lorsqu'il est 
nécessaire de le recevoir immédiatement, ...).

D'expérience, en entreprise les messages attendus en instantanés représentent 
moins de 0,1% des mails sollicités.

 Les spammeurs savent depuis longtemps qu'il suffit, en cas de greylisting, 
 d'insister un peu plus longtemps que d'habitude, et dans la mesure où ce sont 
 les ressources cpu/réseau de machines infectées et non les leurs qui sont 
 ralenties/impactées par le procédé, rien ne les décourage de contourner cette 
 solution.
 Et dans l'idéal, c'est non du greylisting mais du traffic shaping qu'il 
 faudrait mettre en place, avec des latences plus ou moins prononcées en 
 fonction de la réputation de l'expéditeur.


Bien évidement si le spammeur est un bon élève, alors il re-essaiera, mais 
alors généralement c'est plutôt un message type commercial avec possibilité de 
désinscription et serveur bien identifié comme valide.

La volumétrie du spam est plutôt constituée de moteurs  sur des machines 
compromises et qui utilisent des bases de données de spam avec des centaines de 
millions d'emails, dont probablement plus de 80% sont faux ou inactifs. Ces 
moteurs ont une durée de vie très limités sur internet (quelques dizaines 
d'heures au maximum) avant d'être blacklistées dans des RBLs ou arrêtés par le 
propriétaire de la liaison ou son ISP. De par leur nature et la nature de leur 
base d'emails, ces moteurs n'ont aucune velléité de gérer des spools pour les 
emails blockés par le grey-listing.

C'est pourquoi, du moins dans notre expérience depuis plusieurs années, le 
grey-listing est la seule technologie qui a significativement fait diminuer le 
spam sans augmenter les faux positif.

Quant à la mise en oeuvre de trafic shaping, c'est peut-être une idée à 
creuser, mais il me semble difficile de le faire au niveau du destinataire car 
le spam est imlportant mais généralement faible une fois divisé par le nombre 
de sources non ? 

Cordialement,

-- 
Alain RICHARD mailto:alain.rich...@equation.fr
EQUATION SA http://www.equation.fr/
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
Applications client/serveur, ingénierie réseau et Linux



Suggestion pour les attachements lourds (was:Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.)

2010-07-30 Par sujet Jérôme Nicolle
Le 30/07/10 11:29, Alain Richard a écrit :
 Mouiais, à mon humble avis, les gens qui utilisent le mail comme un
 moyen d'acheminement temps réel n'ont pas tout compris au film, ce sont
 souvent les mêmes qui se pleignent de ne pas pouvoir envoyer leur
 dernier PowerPoint de 100Mo pas mail :-). 
 

J'ai tenté (mais pas fini) de poser un bout de code qui dissocie les
pièces jointes pour les acheminer vers un dépôt accessible en HTTP, et
ce automatiquement à l'envoi du mail, par le relai SMTP local.

Je n'ai pas trouvé de code tout fait et je n'ai pas eu le temps de finir
le mien, vous savez si ça existe ?

Dans l'idée :
- Si la taille du mail dépasse 5Mo
- Si des attachements dépassent 1ko (pour laisser les images des
signatures et ces conneries là)
- Les attachements de plus de 100ko sont détachés, hashés et envoyés sur
un dl.free.fr-like interne, associé au mail-id
- Le contenu du mail est altéré pour ajouter _en début de mail_ le lien
de téléchargement
- Le code coté httpd retourne par mail un accusé de téléchargement des
pièces jointes à l'expéditeur

Ca devrait être adaptable pour pas mal de cas d'utilisation, et le fait
de hasher les fichiers et de les envoyer sur un canal distinct permet de
dédupliquer et/ou compresser le contenu.

Qu'en dites vous ? Ca vaudrait le coup de finir de développer ce merdier ?

-- 
Jérôme Nicolle



signature.asc
Description: OpenPGP digital signature


Re: Suggestion pour les attachements lourds (was:Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.)

2010-07-30 Par sujet Alain Richard

Le 30 juil. 2010 à 11:44, Jérôme Nicolle a écrit :

 J'ai tenté (mais pas fini) de poser un bout de code qui dissocie les
 pièces jointes pour les acheminer vers un dépôt accessible en HTTP, et
 ce automatiquement à l'envoi du mail, par le relai SMTP local.
 
 Je n'ai pas trouvé de code tout fait et je n'ai pas eu le temps de finir
 le mien, vous savez si ça existe ?
 
 Dans l'idée :
 - Si la taille du mail dépasse 5Mo
 - Si des attachements dépassent 1ko (pour laisser les images des
 signatures et ces conneries là)
 - Les attachements de plus de 100ko sont détachés, hashés et envoyés sur
 un dl.free.fr-like interne, associé au mail-id
 - Le contenu du mail est altéré pour ajouter _en début de mail_ le lien
 de téléchargement
 - Le code coté httpd retourne par mail un accusé de téléchargement des
 pièces jointes à l'expéditeur
 
 Ca devrait être adaptable pour pas mal de cas d'utilisation, et le fait
 de hasher les fichiers et de les envoyer sur un canal distinct permet de
 dédupliquer et/ou compresser le contenu.
 
 Qu'en dites vous ? Ca vaudrait le coup de finir de développer ce merdier ?
 
 -- 
 Jérôme Nicolle


Personnellement je considère que le mail n'est PAS un serveur de fichiers. Je 
préfère donc essayer d'évangéliser les utilisateurs en limitant la taille sur 
le serveur SMTP pour qu'ils changent leur mauvaise habitude.

Même si techniquement il doit effectivement être possible de finaliser ce dév, 
il me semble que cela poserait plusieurs problèmes :

- encourager à la diffusion de messages lourds par email.
- devenir dépendant d'un services externe qui ne garanti aucunement la 
confidentialité ni la sécurité des informations
- les services genre dl.free.fr ont généralement une politique d'expiration des 
données non maitrisée par l'émetteur de l'email
- les messages contenant des gros fichiers sont généralement échanger entre 
deux utilisateurs intranet, ce serait domage de les externaliser
- c'est incompatible avec les technologies de signature électronique des 
messages

Perso je ne pense pas que j'utiliserais une telle architecture, ou du moins pas 
si elle dépend d'un site web externe.

Cordialement,

-- 
Alain RICHARD mailto:alain.rich...@equation.fr
EQUATION SA http://www.equation.fr/
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
Applications client/serveur, ingénierie réseau et Linux



Re: Suggestion pour les attachements lourds (was:Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.)

2010-07-30 Par sujet Rémi Bouhl
Bonjour,

Le 30/07/10, Alain Richardalain.rich...@equation.fr a écrit :


 Personnellement je considère que le mail n'est PAS un serveur de fichiers.
 Je préfère donc essayer d'évangéliser les utilisateurs en limitant la taille
 sur le serveur SMTP pour qu'ils changent leur mauvaise habitude.

Ça n'empêche pas de leur proposer un service interne de stockage/mise
à disposition.

 Même si techniquement il doit effectivement être possible de finaliser ce
 dév, il me semble que cela poserait plusieurs problèmes :

 - encourager à la diffusion de messages lourds par email.
 - devenir dépendant d'un services externe qui ne garanti aucunement la
 confidentialité ni la sécurité des informations
 - les services genre dl.free.fr ont généralement une politique d'expiration
 des données non maitrisée par l'émetteur de l'email
 - les messages contenant des gros fichiers sont généralement échanger entre
 deux utilisateurs intranet, ce serait domage de les externaliser

Si j'ai bien lu, l'idée est d'avoir un serveur _interne_
Ça m'aurait étonné que Jérôme aille mettre ça sur dl.free.fr ou autre
service tiers.

 - c'est incompatible avec les technologies de signature électronique des
 messages

Si on parle de GPG, les gens qui l'utilisent savent se servir des
mails et n'envoient pas des pièces jointes de plusieurs Mo, en
principe.

Cordialement,

Rémi Bouhl.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: Suggestion pour les attachements lourds (was:Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.)

2010-07-30 Par sujet Thomas Mangin
 J'ai tenté (mais pas fini) de poser un bout de code qui dissocie les
 pièces jointes pour les acheminer vers un dépôt accessible en HTTP, et
 ce automatiquement à l'envoi du mail, par le relai SMTP local.

http://inoa.net/qmail-outbox/
Aucune expérience sur la qualité du code !

Thomas

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: Suggestion pour les attachements lourds (was:Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.)

2010-07-30 Par sujet Florian MAURY
2010/7/30 Jérôme Nicolle jer...@ceriz.fr:
 Le 30/07/10 11:29, Alain Richard a écrit :
 Mouiais, à mon humble avis, les gens qui utilisent le mail comme un
 moyen d'acheminement temps réel n'ont pas tout compris au film, ce sont
 souvent les mêmes qui se pleignent de ne pas pouvoir envoyer leur
 dernier PowerPoint de 100Mo pas mail :-).


 J'ai tenté (mais pas fini) de poser un bout de code qui dissocie les
 pièces jointes pour les acheminer vers un dépôt accessible en HTTP, et
 ce automatiquement à l'envoi du mail, par le relai SMTP local.

 Je n'ai pas trouvé de code tout fait et je n'ai pas eu le temps de finir
 le mien, vous savez si ça existe ?

 Dans l'idée :
 - Si la taille du mail dépasse 5Mo
 - Si des attachements dépassent 1ko (pour laisser les images des
 signatures et ces conneries là)
 - Les attachements de plus de 100ko sont détachés, hashés et envoyés sur
 un dl.free.fr-like interne, associé au mail-id
 - Le contenu du mail est altéré pour ajouter _en début de mail_ le lien
 de téléchargement
 - Le code coté httpd retourne par mail un accusé de téléchargement des
 pièces jointes à l'expéditeur

 Ca devrait être adaptable pour pas mal de cas d'utilisation, et le fait
 de hasher les fichiers et de les envoyer sur un canal distinct permet de
 dédupliquer et/ou compresser le contenu.

 Qu'en dites vous ? Ca vaudrait le coup de finir de développer ce merdier ?


Bonjour,
L'idée est intéressante ; elle l'est d'autant plus si on ajoute un
système de détection des pièces jointes de masse et qu'on les repère
par hash.

Reste qu'il faudrait patcher le serveur imap (et quid du pop dans ce
cas ?) pour supprimer la pièce jointe quand le mail est supprimé,
sinon bonjour le stockage ad vitam (et supprimer la pièce après un
délai n'est pas souhaitable car on en sait pas à l'avance
l'attachement d'un user à un attachment :P

Pour ce qui est de l'aspect technique de la solution, tu risques
également d'être confontré à des problèmes avec les mails signés
puisque tu altères le contenu en rajoutant le lien (je ne parle pas de
clear signed GPG)

Tant que ces deux points n'ont pas été résolus, il me parait cependant
difficile d'implémenter une telle solution.

Cordialement,
Florian MAURY
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: Suggestion pour les attachements lourds (was:Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.)

2010-07-30 Par sujet Thomas Mangin
 http://inoa.net/qmail-outbox/
 Aucune expérience sur la qualité du code !
 
 jamais réussit à le setup :)
 pourtant on a essayé beaucoup (et j'ai encore un personne sur le coup depuis 
 pfiuuu 3 mois quand elle a le temps)

Je suis tombe dans la soupe qmail tout petit donc pour moi ça n'a l'air pas 
trop dur mais il faut avoir les compétences C et sysadmin et bien connaitre 
qmail.
Peut-etre un peu dur comme combinaison :(

Thomas---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-30 Par sujet Antoine Versini

On 07/29/10 20:09, Radu-Adrian Feurdean wrote:


[...] Ou il y a quelques mois l'afaire Nerim + UCEProtect (la j'ai
bien rigole).


Étrangement, nous, on a beaucoup moins rigolé que vous...

Qu'est-ce qui a bien pu provoquer votre hilarité ? Qu'un opérateur 
résolument engagé dans la lutte contre le spam se fasse blacklister tout 
son AS par un système totalement inepte dont les créateurs eux-mêmes 
déconseillent l'usage ?


Ce filtrage a empêché bon nombre de nos clients disposant de leurs 
propres MTA sans histoires, sans réseaux infectés, de continuer à 
envoyer leurs mails en toute sérénité comme ils l'ont toujours fait.


Nous en sommes à présent au point de surveiller l'ensemble de nos 
clients afin de les prévenir (et de nous prévenir) --voire même de les 
bloquer-- s'ils sont infectés ou indélicats.


Que voulez-vous donc que nous fassions de plus ? Vous en connaissez 
beaucoup des opérateurs qui ont le cran de bloquer leurs clients en cas 
d'abus manifeste de spam ? Je parle de clients corporate, pas de pékins 
derrière une stupidbox quelconque, hein. Ce n'est même pas notre métier, 
à la base. Nous sommes opérateur IP, pas je ne sais quoi qui nous 
forcerait à surveiller l'activité de nos clients.


Et maintenant, c'est quoi la prochaine étape ? Il va peut-être faloir 
arrêter dans l'escalade de la violence en inventant toute sortes de 
techniques stupides, totalement disproportionnées et surtout qui créent 
plus de problèmes qu'elles n'en résolvent.


--
Antoine Versini - Nerim
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: Suggestion pour les attachements lourds (was:Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.)

2010-07-30 Par sujet Yann-Guirec Manac'h
 
 
 Je suis tombe dans la soupe qmail tout petit donc pour moi ça n'a l'air pas 
 trop dur mais il faut avoir les compétences C et sysadmin et bien connaitre 
 qmail.
 Peut-etre un peu dur comme combinaison :(

je peux t'assurer qu'on en trouve (pas facile :)
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-30 Par sujet Radu-Adrian Feurdean

On Fri, 30 Jul 2010 12:42:16 +0200, Antoine Versini
antoine.vers...@corp.nerim.net said:
 On 07/29/10 20:09, Radu-Adrian Feurdean wrote:
 
  [...] Ou il y a quelques mois l'afaire Nerim + UCEProtect (la j'ai
  bien rigole).
 
 Étrangement, nous, on a beaucoup moins rigolé que vous...
 
 Qu'est-ce qui a bien pu provoquer votre hilarité ? Qu'un opérateur 
 résolument engagé dans la lutte contre le spam se fasse blacklister tout 
 son AS par un système totalement inepte dont les créateurs eux-mêmes 
 déconseillent l'usage ?

Et que nous, les spammeurs (selon toi :) parmi d'autres) on n'est pas
encore arrive dans ce situation.

C'est pas de vous (Nerim) que je me suis marre, mais de la situation en
general : quelqu'un qui fait ses devoirs qui se trouve pris en otage,
alors que vous pouvons continuer a envoyer nos  sans probleme.
D'ailleurs il me smeble que Gandi ils ont aussi eu des souci du genreil
y a quelque temps, mais le plus marrant (.) c'est de voir ca en
live.

D'ailleurs c'est probablement parce-que nous, a cause de notre metier et
notre reputation on est arrive a avoir plusieurs gens payes uniquement
pour suivre ces genres de conneries et eviter au max qu'on arrive la.
Alors que vous, comme vous faites vos devoirs d'ISP proprement vous
n'etes pas cense arriver la. Et *quand* ca arrive quand-meme, ca vous
prend par surprise et avec un impact tres serieux.

 Ce filtrage a empêché bon nombre de nos clients disposant de leurs 
 propres MTA sans histoires, sans réseaux infectés, de continuer à 
 envoyer leurs mails en toute sérénité comme ils l'ont toujours fait.
 
 Nous en sommes à présent au point de surveiller l'ensemble de nos 
 clients afin de les prévenir (et de nous prévenir) --voire même de les 
 bloquer-- s'ils sont infectés ou indélicats.
 
 Que voulez-vous donc que nous fassions de plus ? Vous en connaissez 
 beaucoup des opérateurs qui ont le cran de bloquer leurs clients en cas 
 d'abus manifeste de spam ? Je parle de clients corporate, pas de pékins 
 derrière une stupidbox quelconque, hein. Ce n'est même pas notre métier, 
 à la base. Nous sommes opérateur IP, pas je ne sais quoi qui nous 
 forcerait à surveiller l'activité de nos clients.

Je connais la situation et je la comprends bien; c'est en effet pas
votre boulot. Je suis parfaitement d'accord.
Par contre, ca dit beaucoup de la mentalite des combattants anti-spam.
Ca me rappelle les gens crises/hysteriques, qui essayent a tout prix de
causer un max de degats n'imorte ou, juste pour se faire entendre et
pour imposer leurs idees. Dans d'autres conditions on appelle ca des
terroristes.

Autre connerie dans le genre : SpamCop qui envoie les plaintes aux
upstreams. C'est vlable meme pour OVH (envoi a OVH, TATAGlobe et GBLX).

 Et maintenant, c'est quoi la prochaine étape ? Il va peut-être faloir 
 arrêter dans l'escalade de la violence en inventant toute sortes de 
 techniques stupides, totalement disproportionnées et surtout qui créent 
 plus de problèmes qu'elles n'en résolvent.

Ca fait quelque temps que je dis que la solution contre le spam ne peut
plus s'attaquer aux moyens techniques sans causer (beaucoup) des
victimes innocentes. CA passe par l'education des utilisateurs (ca c'est
pas nouveau) et surtout par l'education des marketeurs; de leur permier
annee d'etude. J'ai entendu N fois le coup du stagiaire ou nouveau
embauche au marketing qui arrive avec une idee geniale du style: CD
ZZZProspects a 30 EUR, relance sur les des-inscrits, relance sur des
vieilles listes de 5 ans, ou d'autres conneries imaginatives qui
generent des plaintes. Sans doute, si les operateurs de botnet ont la
vie facile, c'est aussi en partie due a des marketeurs qui veulent
envoyer leur KK a un max de monde a tout prix.

Et puisqu'on est sur frNOG, l'email sur IPv6 a large echelle, j'attends
vraiment de le voir un jour, mais j'ai peur que ca sera le dernier
bastion de l'IPv4 avec probablement un jour un internet v4 qui va
transporter a plus de 95% du SMTP (en cercle ferme en plus).

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: Suggestion pour les attachements lourds (was:Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.)

2010-07-30 Par sujet Stephane Kanschine
Le Fri 30 Jul, vers 11:44, Jérôme Nicolle exprimait :
 
 Je n'ai pas trouvé de code tout fait et je n'ai pas eu le temps de finir
 le mien, vous savez si ça existe ?

Ça existe déjà pour les listes de diffusion, dans un scénario SYMPA
par exemple. Ça existe comme recette procmail. Il me semble me
souvenir que ça existe aussi dans RT, mais pas que pour les pièces
jointes volumineuses.

-- 
« Si un dieu était si puissant qu'il ait créé le monde, mais qu'ensuite il ne
fasse rien pour y corriger les problèmes, à quoi bon l'adorer ? Ne serait-il
pas plus juste de le juger ? » - Richard M. Stallman
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Alain Richard

 Oui, il n'est pas envisageable de pouvoir absorber une charge importante si 
 chaque message doit passer par des analyses de contenu (filtres bayésiens, 
 OCR sur les images, etc.).
 
 Pour les grosses volumétries, deux aspects essentiels :
 
  1) Il faut détecter les courriers indésirables pendant la session SMTP pour 
 refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le 
 problème de la patate chaude. Cf. 
 http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais 
 toujours d'actualité). J'aime bien embarrasser les files d'attente des 
 hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang 
 (déjà cité dans ce fil) est l'idéal.
 
  2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, 
 DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un 
 message. En fait, la plus grosse partie des messages indésirables doivent 
 être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les 
 anti-virus de nos relais de messagerie détectent très peu de virus car ils 
 sont interceptés avant d'arriver à l'anti-virus.
 
 En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 
 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de 
 gamme d'il y a 3 ans.
 
 Bon WE à tous,
 
 -- 
 Sébastien Namèche
 Société Netensia
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

Nous mettons en place couramment des solution Open Sources basées sur Sendmail 
+ DNSRBL + MimeDefang + DCCD + razor + pyzor + SpamAssassin + GreyListing + 
clamav + généralement un anti-virus commercial (par exemple Kaspersky).

Ces solutions permettent effectivement de gérer très très convenablement le 
problème de SPAM. Notamment la seule solution greylisting arrête généralement 
plus de 98% du SPAM et est quasiment incoutournable par les Spammeurs. Elle 
permet de plus de ne soumettre aux moteurs anti-spam et anti-virus que les 
messages restant, ce qui est très grosse économie de CPU.

Le seul problème de cette solution est qu'il est très difficile d'avoir une 
interface utilisateur digne de ce nom, et c'est généralement là que les 
produits commerciaux gagnent, surtout que ceux qui achètent les produits sont 
rarement ceux qui les exploitent...

Cordialement,

-- 
Alain RICHARD mailto:alain.rich...@equation.fr
EQUATION SA http://www.equation.fr/
Tel : +33 477 79 48 00 Fax : +33 477 79 48 01
Applications client/serveur, ingénierie réseau et Linux



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet David Touitou
Bonjour la liste.

 Le seul problème de cette solution est qu'il est très difficile
 d'avoir une interface utilisateur digne de ce nom, et c'est
 généralement là que les produits commerciaux gagnent, surtout que ceux
 qui achètent les produits sont rarement ceux qui les exploitent...

http://forum.mailcleaner.org/viewtopic.php?f=1t=1002

La beta 3 est très largement stable (au moins autant que la précédente version 
stable).

Il faut fouiller un peu le forum pour les toutes dernières mises à jour (genre 
ClamAV) et ne pas oublier, bien entendu, de construire ses propres bases de 
travail.

C'est un outil de type appliance avec :
 . gestion de cluster (une interface d'admin pour X serveurs)
 . quarantaine, greylisting, callout and co gérable par domaine
 . clicodrome total (accès web admin)
 . SOAP 
 . plein de stats
 . accès web utilisateur (gestion du mode de filtrage, de la quarantaine, 
stats, etc)
 . etc

Et également une version commerciale, avec plugins complémentaires, mises à 
jour pushées, etc.

David
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Benjamin Billon


Le seul problème de cette solution est qu'il est très difficile 
d'avoir une interface utilisateur digne de ce nom, et c'est 
généralement là que les produits commerciaux gagnent, surtout que ceux 
qui achètent les produits sont rarement ceux qui les exploitent...

Ca c'est un problème pour l'admin.

Par principe, le greylisting est une hérésie qui mérite d'être bannie de 
tout organisme digne de ce nom, repousser de 15 voire même de 5 minutes 
l'arrivée d'un message attendu étant universellement contre-productif.
Les spammeurs savent depuis longtemps qu'il suffit, en cas de 
greylisting, d'insister un peu plus longtemps que d'habitude, et dans la 
mesure où ce sont les ressources cpu/réseau de machines infectées et non 
les leurs qui sont ralenties/impactées par le procédé, rien ne les 
décourage de contourner cette solution.
Et dans l'idéal, c'est non du greylisting mais du traffic shaping qu'il 
faudrait mettre en place, avec des latences plus ou moins prononcées en 
fonction de la réputation de l'expéditeur.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Julien Reveret

 Nous mettons en place couramment des solution Open Sources basées sur
 Sendmail + DNSRBL + MimeDefang + DCCD + razor + pyzor + SpamAssassin +
 GreyListing + clamav + généralement un anti-virus commercial (par exemple
 Kaspersky).

 Ces solutions permettent effectivement de gérer très très convenablement
 le problème de SPAM. Notamment la seule solution greylisting arrête
 généralement plus de 98% du SPAM et est quasiment incoutournable par les
 Spammeurs. Elle permet de plus de ne soumettre aux moteurs anti-spam et
 anti-virus que les messages restant, ce qui est très grosse économie de
 CPU.


Le greylisting est parfaitement contournable par les spammeurs, ils ont au
moins 2 choix pour cela :
1) Compromettre un serveur sur lequel se trouve un MTA digne de ce nom qui
renverra le message après expiration du délai de greylisting.
2) Mettre à jour les softs sur les zombies de son botnet pour gérer le
greylisting.

Pour information les serveurs des ML Debian sont configurés avec du
greylisting et pourtant les listes sont régulièrement spammées. C'est
juste que ce n'est financièrement pas viable pour la plupart des spammers
de prendre des ressources sur des machines de leur botnet pour gérer la
réexpédition. Voilà pourquoi le greylisting reste encore un moyen efficace
de lutte contre le spam.

Un autre intérêt du greylisting est que même si les spammeurs décident à
grande échelle de le contourner, le temps d'attente entre 2 connexions
peut jouer en la faveur des DNSBL qui auront (peut être) eu le temps de
repérer le zombie en question et donc de permettre un filtrage plus
efficace à l'antispam qui agit derrière.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Jérôme Nicolle
Le 29/07/10 16:25, Julien Reveret a écrit :
 Un autre intérêt du greylisting est que même si les spammeurs décident à
 grande échelle de le contourner, le temps d'attente entre 2 connexions
 peut jouer en la faveur des DNSBL qui auront (peut être) eu le temps de
 repérer le zombie en question et donc de permettre un filtrage plus
 efficace à l'antispam qui agit derrière.

Tout à fait. De toute façon, le greylisting est un moyen peu couteux
d'éliminer le gros du trafic illégitime, il est surtout là pour ne pas
avoir à scanner le contenu de _tout_ le trafic.

-- 
Jérôme Nicolle



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Benjamin Billon


le greylisting est un moyen peu couteux d'éliminer le gros du trafic 
illégitime, il est surtout là pour ne pas avoir à scanner le contenu 
de _tout_ le trafic.
Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins 
90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans 
iptables ou pourquoi pas sur les routeurs.
Si les faux positifs sont inévitables, c'est tout de même à l'expéditeur 
de se faire délister (a priori s'il est dans la RBL, c'est qu'il y a une 
raison), et à l'inverse du greylisting, on ne va pas considérer que tout 
expéditeur est forcément indésiré.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Aurélien Beaujean
Le Thursday 29 July 2010 à 16:21, Jérôme Nicolle écrivait:
 Tout à fait. De toute façon, le greylisting est un moyen peu couteux

Peu couteux ? Vous rigolez là ? C'est sans parler la batterie de disques
que j'ai du ajouter pour le stockage temporaire les mails des
greylisteurs... Bref, c'est sûr qu'utiliser les ressources des autres
pour déléguer sa problématique de SPAM, c'est peu couteux...

La grosse conséquence de la généralisation du greylisting n'aura été que
de doubler le flux de trafic de SPAM, car depuis bien 2 ans, les
spammeurs réémment quasi systématiquement leurs campagnes pour essayer
de passer au travers du greylisting.

-- 
Auré
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Aurélien Beaujean
Le Thursday 29 July 2010 à 16:31, Benjamin Billon écrivait:
 Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins
 90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans
 iptables ou pourquoi pas sur les routeurs.

Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans
parce qu'il y a bien une raison...

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Jiw


Benjamin :
Par principe, le greylisting est une hérésie qui mérite d'être bannie de tout organisme digne de ce nom, repousser de 15 voire 
même de 5 minutes l'arrivée d'un message attendu étant universellement contre-productif. [..]


Julien :

[...] Voilà pourquoi le greylisting reste encore un moyen efficace
de lutte contre le spam.


Chers amis,

n'oublions pas d'insérer le :
 De mon avis / expérience, je pense que...
et surtout le :
 mais il n'y a pas qu'une solution en informatique, chacun doit trouver la 
sienne...

Ce qui est vrai, n'implique pas que l'inverse est faux.
Restons humble et n'oublions pas que la diversité des solutions est bien plus 
efficaces qu'une unicité standardisée.

Pourquoi un boulanger devrait avoir les mêmes outils qu'un pépinieriste ?

Prenons le problème à l'envers, qu'est ce qui est le plus dur pour le spammeur
de s'adapter à une solution unique ou de s'adapter à N solutions différentes 
dans leurs mises en place
et leurs configurations ?

Plus vous êtes différent et plus c'est lui qui doit travailler dur.
Tout comme plus on est différent et moins un virus aura d'impact sur nos 
organismes.

J 


---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Jérôme Nicolle
Le 29/07/10 16:32, Aurélien Beaujean a écrit :
 Le Thursday 29 July 2010 à 16:21, Jérôme Nicolle écrivait:
 Tout à fait. De toute façon, le greylisting est un moyen peu couteux
 
 Peu couteux ? Vous rigolez là ? C'est sans parler la batterie de disques
 que j'ai du ajouter pour le stockage temporaire les mails des
 greylisteurs... Bref, c'est sûr qu'utiliser les ressources des autres
 pour déléguer sa problématique de SPAM, c'est peu couteux...

C'est précisément parce que la charge de stockage n'est pas
naturellement à l'émetteur que le spam est aussi répandu. Donc oui,
c'est l'expéditeur qui stocke. ce qui est greylisté. C'est normal, et ça
devrait même être systématique.

 La grosse conséquence de la généralisation du greylisting n'aura été que
 de doubler le flux de trafic de SPAM, car depuis bien 2 ans, les
 spammeurs réémment quasi systématiquement leurs campagnes pour essayer
 de passer au travers du greylisting.

on s'en fout du flux, ça ne consomme qu'une BP ridicule par rapport à la
vidéo. Ce qui compte c'est le coût de traitement et de stockage à la
réception. Et GOTO t'aura updaté les signatures entre les deux vagues de
réémission, donc le travail est fait.


-- 
Jérôme Nicolle



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Dominique Rousseau
Le Thu, Jul 29, 2010 at 04:31:05PM +0200, Benjamin Billon [bbil...@splio.fr] a 
écrit:
 
 le greylisting est un moyen peu couteux d'éliminer le gros du trafic 
 illégitime, il est surtout là pour ne pas avoir à scanner le contenu 
 de _tout_ le trafic.
 Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins 
 90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans 
 iptables ou pourquoi pas sur les routeurs.

Mais du coup, tu délègues (presque) complètement ta politique de qui
peut te parler à un tiers.

 Si les faux positifs sont inévitables, c'est tout de même à l'expéditeur 
 de se faire délister (a priori s'il est dans la RBL, c'est qu'il y a une 
 raison),

Ou pas.
Par exemple, pour les serveurs derrière des lignes xDSL, si on est en ip
« non fixe » et qu'on récupère une adresse qui a servi dans le passé de
relai ouvert.
Ou si on récupère chez un hosteur une adresse ip attribuée précédemment
à un autre client, etc.

 et à l'inverse du greylisting, on ne va pas considérer que tout 
 expéditeur est forcément indésiré.

J'ai ~ 150 entrées whitelistées dans ma config de postgrey, ça élimine
99% des problèmes avec les serveurs légitimes qui font des trucs
bizarres (genre 2e tentative effectuée depuis une ip différente, from
d'envelope à usage unique, ...)

Ce n'est évidemment pas la panacée, mais ça soulage bien l'antispam
derrière.


-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet  Intranet
50, rue Riolan 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Jérôme Nicolle
Le 29/07/10 16:37, Aurélien Beaujean a écrit :
 Le Thursday 29 July 2010 à 16:31, Benjamin Billon écrivait:
 Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins
 90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans
 iptables ou pourquoi pas sur les routeurs.
 
 Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans
 parce qu'il y a bien une raison...

Là dessus on est d'accord. Du coup, je m'en sers parfois en scoring,
mais jamais en arbitraire pur. Et si je me retrouve dans une des listes
sans raison, c'est qu'elle est par définition peu fiable, donc mail auto
à tous les postmasters tiers qui m'ont bouncé à cause de cette saloperie.

-- 
Jérôme Nicolle



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Jérôme Nicolle
Le 29/07/10 16:42, Dominique Rousseau a écrit :
 J'ai ~ 150 entrées whitelistées dans ma config de postgrey, ça élimine
 99% des problèmes avec les serveurs légitimes qui font des trucs
 bizarres (genre 2e tentative effectuée depuis une ip différente, from
 d'envelope à usage unique, ...)

Tu fais tourner ?


-- 
Jérôme Nicolle



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Lilian RIGARD - Devclic
Un truc intéressant aussi ... utiliser une Whitelist globale : DNSWL, elle 
autorise par exemple les serveurs Orange ...

A la place de Postgrey, on met en place Milter-Greylist qui synchronise tout 
seul ses bdd internes.

Le 29 juil. 2010 à 16:45, Jérôme Nicolle a écrit :

 Le 29/07/10 16:42, Dominique Rousseau a écrit :
 J'ai ~ 150 entrées whitelistées dans ma config de postgrey, ça élimine
 99% des problèmes avec les serveurs légitimes qui font des trucs
 bizarres (genre 2e tentative effectuée depuis une ip différente, from
 d'envelope à usage unique, ...)
 
 Tu fais tourner ?
 
 
 -- 
 Jérôme Nicolle
 

--
Lilian



---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Aurélien Beaujean
Le Thursday 29 July 2010 à 16:41, Jérôme Nicolle écrivait:
 C'est précisément parce que la charge de stockage n'est pas
 naturellement à l'émetteur que le spam est aussi répandu. Donc oui,
 c'est l'expéditeur qui stocke. ce qui est greylisté. C'est normal, et
 ça devrait même être systématique.

Ha oui, il faudrait donc changer le protocol SMTP en place pour exaucer
vos voeux.

 on s'en fout du flux, ça ne consomme qu'une BP ridicule par rapport à la
 vidéo. Ce qui compte c'est le coût de traitement et de stockage à la
 réception. Et GOTO t'aura updaté les signatures entre les deux vagues de
 réémission, donc le travail est fait.

Donc vous vous en foutez d'utiliser des techniques qui inscitent les
spammeurs à spammer plus fort. Cela vous semble une bonne pratique
absolument pas contre-productive.

-- 
Auré
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Benjamin Billon



Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans
parce qu'il y a bien une raison..
Envoyer (et livrer) des emails n'est plus aussi évident qu'il y a 5 ans. 
Quand il s'agit du coeur de métier, forcément on fait très attention à 
ce qui peut sortir de nos machines.


Dans le temps, je m'étais installé le service SMTP d'IIS sur mon laptop. 
C'est vachement plus pratique que de devoir se connecter à un serveur 
SMTP distant ! Mais un jour, les règles ont changé, et avoir un SMTP 
stable et fixe est devenu une Best Practice. Tout comme ne pas envoyer 
de bounces asynchrones, ou ne pas faire d'open relay ...
On ne peut pas tout deviner et c'est bien malheureux, mais si un serveur 
mail est blacklisté est que le responsable (postmaster) ne voit pas 
pourquoi, il est sans doute temps d'externaliser le service (ou de 
changer de presta).


Pour le cas de proxad (tu vois bien de quoi je veux parler), il y avait 
bien une raison, bien qu'on puisse douter de sa légitimité ...

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Jérôme Nicolle
Le 29/07/10 16:49, Aurélien Beaujean a écrit :
 Le Thursday 29 July 2010 à 16:41, Jérôme Nicolle écrivait:
 C'est précisément parce que la charge de stockage n'est pas
 naturellement à l'émetteur que le spam est aussi répandu. Donc oui,
 c'est l'expéditeur qui stocke. ce qui est greylisté. C'est normal, et
 ça devrait même être systématique.
 
 Ha oui, il faudrait donc changer le protocol SMTP en place pour exaucer
 vos voeux.

C'est la voie que prennent tous les travaux et propositions de
remplacement ou d'évolution de SMTP, permettant de traiter le problème
de fond et non les symptômes et mauvaises utilisations.

 
 on s'en fout du flux, ça ne consomme qu'une BP ridicule par rapport à la
 vidéo. Ce qui compte c'est le coût de traitement et de stockage à la
 réception. Et GOTO t'aura updaté les signatures entre les deux vagues de
 réémission, donc le travail est fait.
 
 Donc vous vous en foutez d'utiliser des techniques qui inscitent les
 spammeurs à spammer plus fort. Cela vous semble une bonne pratique
 absolument pas contre-productive.

ce qui est contre productif :
- concentrer des millions de boites mails sur un seul système
- utiliser des techniques arbitraires sources de faux positifs (et donc
de non fourniture du service)
- traiter les symptômes et non le problème de fond

Mais tu n'est pas le seul à faire tout ça hein, ce n'est pas une attaque
personnelle, juste un constat.

J'aimerais juste que les gros acteurs du mail se mettent à causer de
l'avenir du service plutôt que de camper sur des acquis problématiques...


-- 
Jérôme Nicolle



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Sebastien WILLEMIJNS
On Thu, 29 Jul 2010 16:32 +0200, Aurélien Beaujean
abeauj...@proxad.net wrote:

 La grosse conséquence de la généralisation du greylisting n'aura été que
 de doubler le flux de trafic de SPAM, car depuis bien 2 ans, les
 spammeurs réémment quasi systématiquement leurs campagnes pour essayer
 de passer au travers du greylisting.

A part la big deconnexion de McColo il y a X dizaines de mois j'ai rien
vu de grosses
attaques frontales comunes de prestataires internet à ce sujet (ISP,
webhoster, TierX...)

Les opt-in aussi sont une vraie poisse... rien n'empeche des zigotos de
revendre des
bases d'adreses e-mails fraichement unsubscribed donc valides ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Jérôme Nicolle
Le 29/07/10 17:01, Benjamin Billon a écrit :
  De fiable, je n'ai en tête que Spamhaus (zen), spamcop et cbl. C'est
 déjà bigrement efficace avec un taux de faux positif minime (dans mon
 cas jamais).
 Et comme c'est géré dans la transaction SMTP, une petite réponse
 synchrone bien sentie et le postmaster doit être capable de retrouver
 l'info (avec le nom de la BL, et tout)

Et la réponse synchrone, tu la tarpit ?

-- 
Jérôme Nicolle



signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Aurélien Beaujean
Le Thursday 29 July 2010 à 16:58, Jérôme Nicolle écrivait:
 J'aimerais juste que les gros acteurs du mail se mettent à causer de
 l'avenir du service plutôt que de camper sur des acquis
 problématiques...

T'en fais pas, ils causent: http://www.maawg.org/

-- 
Auré
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Benjamin Billon



Ou pas.
Par exemple, pour les serveurs derrière des lignes xDSL, si on est en ip
« non fixe » et qu'on récupère une adresse qui a servi dans le passé de
relai ouvert.
Un serveur de mail derrière une IP dynamique, c'est une bonne idée si on 
ne veut pas que Hotmail, Yahoo et leurs potes les messages.


Entre la belle utopie de tout le monde est libre de pouvoir envoyer des 
mails et les extrémistes qui ne jurent que par le deny all accept WL, 
il y a un certain fossé.
Dans les faits, les gros webmails globaux (hotmail et yahoo) et 
quelques ISP américains imposent aux senders de suivre des pratiques 
bien plus contraignantes que les lois.
Quand un autre ISP se dit qu'il va faire autrement pour des raisons de 
principe, il se heurte à des règles déjà bien établies ; le bilan de 
l'action en est d'autant plus mitigé.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Thomas Mangin
On 29 Jul 2010, at 15:37, Aurélien Beaujean wrote:

 Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans
 parce qu'il y a bien une raison...

Salut,

Si tu appliques les techniques de filtrage de mail en SORTIE de ton 
réseau/serveurs, tu peux découvrir les problèmes avant les receveurs et 
anticiper/éviter de te faire blacklister, mais ces outils ne se trouvent pas en 
OSS (faites moi signe autrement) et demandent de faire de l'intégration 
logicielle.

Pour le grey listing, quand c'est fait par IP - ça ralenti normalement un mail 
et même pas toujours, car les systèmes laissent souvent passer le premier mail, 
pour les mails de confirmation venant de serveurs web, etc.
Mes serveurs ont été blacklistes (et bien plus qu'une fois) et il y avait 
_toujours_ une raison, mes clients, un mot de passe SMTP AUTH compromis, etc. 
Si quelqu'un ne voit pas sa raison d'entrée sur une blackliste, c'est qu' il a 
besoin de surveiller plus ses équipements.

Si tu ajoutes le problème des botnets qui n'est pas prêt de disparaitre; si 
quelqu'un pense que c'est dur maintenant, attendez encore 5 ans et on parlera 
des beaux jours de 2010. Je me souviens des discours au début du siècle ou on 
disait déjà que le mail était passé du service le plus simple a gérer au plus 
compliqué !

Mais le débat est stérile, SMTP est un protocole avec un gros problème mais 
personne ne veut le changer et ce n'est pas possible de le fixer. 
Les solutions simples sont impossibles : augmenter le prix du mail, ou passer 
comme pour l'IM en whiteliste mais personne ne le veut - c'est un problème 
social pas technique.

Mes £0.02 ...

Thomas

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Clément Game
maawg ca n'a rien d'une causerie fraternelle entre acteurs de la 
messagerie, faut arreter de se mentir...maawg c'est fait pour faire du 
business, et accessoirement faire passer des vacances gratuites aux 
decisionaires de l'IT au frais de leur boite, sous couvert de working 
group.


C.


Le Thursday 29 July 2010 à 16:58, Jérôme Nicolle écrivait:
  

J'aimerais juste que les gros acteurs du mail se mettent à causer de
l'avenir du service plutôt que de camper sur des acquis
problématiques...



T'en fais pas, ils causent: http://www.maawg.org/

  


---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Benjamin Billon

 Parle pour toi !
Tu bosses pour un revendeur de solutions d'envoi de mails, de mémoire je 
n'ai pas souvent vu d'intervention de ce genre de membres dans les 
différents comités.

Ce n'est pas le cas de la plupart des participants !
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Xavier Beaudouin

Le 29 juil. 2010 à 16:37, Aurélien Beaujean a écrit :

 Le Thursday 29 July 2010 à 16:31, Benjamin Billon écrivait:
 Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins
 90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans
 iptables ou pourquoi pas sur les routeurs.
 
 Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans
 parce qu'il y a bien une raison...

+1

Les RBL je les utilisent now qu'en poids pour SpamAssassin ou 
policyd-weight... Trop de faux positifs...
Le gros pb c'est que les seuls qui étaient valable il y pas loin de 10 ans 
c'étais MAPS... Mais comme c'est devenu payant c'est devenu la foire... 
Résultat : c'est devenu inutilisable.

/Xavier---
Liste de diffusion du FRnOG
http://www.frnog.org/




Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Julien Escario

Le 29/07/2010 16:39, Jiw a écrit :

Pourquoi un boulanger devrait avoir les mêmes outils qu'un pépinieriste ?


troll
Parce qu'en mode SaaS, c'est tout le monde avec le même environnement et ils 
font pas chier.

/troll

Et pourtant, j'ai toujours un C.A. de boulangerie ...

Quoi, chuis en avance ?

Julien
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Julien Escario

Le 29/07/2010 16:37, Aurélien Beaujean a écrit :

Le Thursday 29 July 2010 à 16:31, Benjamin Billon écrivait:

Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins
90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans
iptables ou pourquoi pas sur les routeurs.


Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans
parce qu'il y a bien une raison...


Ah, oui, un peu comme quand on se fait blacklisté par mx?.free.fr quand on a un 
SMTP sortant qui est coupé deux heures et qui repart un peu trop vite.

Ou comme quand on fait de la vérification d'expéditeur ...

Toussa toussa quoi.

Julien
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Xavier Beaudouin
Salut,

Le 29 juil. 2010 à 18:26, Julien Escario a écrit :

 Le 29/07/2010 16:37, Aurélien Beaujean a écrit :
 Le Thursday 29 July 2010 à 16:31, Benjamin Billon écrivait:
 Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins
 90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans
 iptables ou pourquoi pas sur les routeurs.
 
 Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans
 parce qu'il y a bien une raison...
 
 Ah, oui, un peu comme quand on se fait blacklisté par mx?.free.fr quand on a 
 un SMTP sortant qui est coupé deux heures et qui repart un peu trop vite.

J'ai mis une limitiation du nombre de mails/s a destination de mx?.free.fr 
(mais aussi online.net en passant)...

 Ou comme quand on fait de la vérification d'expéditeur ...

Je fais plus... C'est trop lent, et les serpents qui se mordent la queue m'ont 
calmé. Sans compter les MTA qui n'acceptent plus  comme sender valable...

Trop d'abus... comme d'hab...

J'ai même mis pas mal de temps avant de coller un antivirus sur mes MTA... je 
parles pas d'antispam...  Ca fait que depuis 2003 que j'ai foutu ca... quand le 
rapport signal sur bruit augmente... :)

Xavier---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Thomas Mangin
 Si tu appliques les techniques de filtrage de mail en SORTIE de ton
 réseau/serveurs, tu peux découvrir les problèmes avant les receveurs
 et anticiper/éviter de te faire blacklister, mais ces outils ne se
 trouvent pas en OSS (faites moi signe autrement) et demandent de faire
 de l'intégration logicielle.
 
 On peut retourner un outil comme MailCleaner (voir mon mail précédent).
 Et il peut alors effectuer le même boulot qu'en entrant (filtrage, drop, 
 quarantaine, etc).
 
 Mais, face aux faux positifs and co, ça ne t'empêchera pas de faire du 
 traitement manuel.

Je suis d'accord ceci dit détecter du spam en sortie c'est plus facile que de 
le détecter en entrée. Et si tu bloques un client, au moins tu as une relation 
contractuelle avec l'émetteur et tu peux le contacter bien plus facilement - au 
pire tu cause un délai a l'émission ce qui est mieux de des bounces.

Pour reparler réseau et offrir un nouvel usage a netflow :

prêcher destination=mon église

Dans mon gros monde utopique, il faut chercher a connaitre le profil des 
addresses IP émettrices de son réseau, par exemple : 
 - client 1 envoie normalement deux mails par jour via le serveur SMP de son 
FAI, si il commence a faire de la résolution MX, il y a un problème : le cas 
classique des botnets
 - client 2 envoie des mails tous les jours via MX entre 08:00 et 18:00 et se 
met a en envoyer a 12:00 : encore un botnet :p
 - client 3 a son serveur de mail envoyant 50 mails par jours, et commence a 
envoyer 50 mails/minutes a Yahoo, MSN, etc. : le cas d'un mot de passe SMTPAUTH 
compromis, d'une machine derrière le même firewall NAT sous contrôle d'un 
botnet, etc.
 - client 4 envoie régulièrement des mails a un serveur et tout un coup 
commence a en envoyer des centaines, mais nul part ailleurs : surement une 
liste de diffusion legitime
 - client 5 envoie a vos serveurs SMTP des bounces : cela ne devrait pas 
arriver, encore un serveur exchange qui collecte les mails en POP et bounce les 
emails :)
 - client 6 envoie beaucoup de mails tout le temps mais aujourd'hui son rapport 
5xx vs 2xx est vraiment mauvais, quelque chose cloche encore un fois

Avec ces règles - et surement d'autres et du fine tuning, un FAI peut 
surement détecter la plupart des problèmes de spam. 
Dites moi si vous avez d'autres idées de règles.

C'est ce que je dois finir avec mon projet anti-spam qui a été dormant durant 
plus d'un ans (cela va faire un an que je dis ça) ... 
Ceci dit ça marchait bien pour moi quand c'était en test sur mon reseau :)
Cela me détectait des spams pour lesquels je ne recevait aucun rapport :)
http://scavenger.exa.org.uk/

/prêcher

Thomas

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Benjamin Billon



J'ai mis une limitiation du nombre de mails/s a destination de mx?.free.fr 
(mais aussi online.net en passant)...
J'ai sans doute l'air super chiant avec mes bonnes pratiques à la con, 
mais oui, tous les FAI ont des règles différentes, et il faut toutes les 
respecter. Et quand celles-ci ne sont pas publiques, il faut les trouver 
par soi-même.

Ou comme quand on fait de la vérification d'expéditeur ...

Je fais plus... C'est trop lent, et les serpents qui se mordent la queue m'ont calmé. 
Sans compter les MTA qui n'acceptent plus  comme sender valable...

Le VRFY il faut oublier, c'est à  ne _jamais_ faire.


Par contre s'il est nécessaire de continuer la discussion, merci de le 
faire sur une autre liste (au hasard FRsaG).

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Radu-Adrian Feurdean

On Thu, 29 Jul 2010 16:41:05 +0200, Jérôme Nicolle jer...@ceriz.fr
said:

 C'est précisément parce que la charge de stockage n'est pas
 naturellement à l'émetteur que le spam est aussi répandu. Donc oui,
 c'est l'expéditeur qui stocke. ce qui est greylisté. C'est normal, et ça
 devrait même être systématique.
 
 on s'en fout du flux, ça ne consomme qu'une BP ridicule par rapport à la
 vidéo. Ce qui compte c'est le coût de traitement et de stockage à la
 réception. Et GOTO t'aura updaté les signatures entre les deux vagues de
 réémission, donc le travail est fait.

Quand tu envoies de l'email, tu vois pas les choses de meme facon. Et
pour envoyer des e-mails en quantite il n'y a pas que les spammeurs (=
gerants de botnet + clients) et les marketeurs (ESP+clients). Il y a
aussi les FAI qui offrent une boite mail a leur abonnes, les FAI pro ou
hebergeurs qui peuvent gerer des serveurs mail pour ZZZ entreprises a
YYY salaries ou tout betement les hebergeurs d'emails (HotMail, Yahoo,
Runbox, FastMail, .). Quand on est dans le milieu on se rend
immediatement compte qu'envoyer plusieurs millions d'emails par jour
c'est pas si deconnant que ca (nous/mon employeur avons depasse les 100
millions/jour *) et qu'en effet il y a des solutions les unes plus
deconnantes et debiles que les autres, de deux cote (envoi et
reception).

100M/jour en sortie, dont plus de 95% consideres comme envoyes
(transaction SMTP finie avec succes, pas de bounce dans la semaine).

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Radu-Adrian Feurdean

On Thu, 29 Jul 2010 16:54:00 +0200, Benjamin Billon bbil...@splio.fr
said:

 On ne peut pas tout deviner et c'est bien malheureux, mais si un serveur 
 mail est blacklisté est que le responsable (postmaster) ne voit pas 
 pourquoi, il est sans doute temps d'externaliser le service (ou de 
 changer de presta).

Parfois on voit pourquoi, on ne peut rien faire (apart eventuellement
payer pour etre de-blackliste), et externaliser le service apres un
passage en inde (voir l'autre thread) ca marche pas trop. Changer de
presta, pareil, tu ne peux pas le faire tous les quelques mois.
Certains doivent se rappeler l'affaire SORBS + Wanadoo d'il y a quelques
annees. Ou il y a quelques mois l'afaire Nerim + UCEProtect (la j'ai
bien rigole).

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Radu-Adrian Feurdean

On Thu, 29 Jul 2010 17:03:05 +0200, Aurélien Beaujean
abeauj...@proxad.net said:
 Le Thursday 29 July 2010 à 16:58, Jérôme Nicolle écrivait:
  J'aimerais juste que les gros acteurs du mail se mettent à causer de
  l'avenir du service plutôt que de camper sur des acquis
  problématiques...
 
 T'en fais pas, ils causent: http://www.maawg.org/

Vaut mieux pas. L'idee institutionalise la-bas c'est que les envois
doivent se faire uniquement entre les grands (cercle quasiment ferme),
ce qui arrange certainement certains (dont ton employeur et le mien),
mais c'est globalement mauvais.

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Radu-Adrian Feurdean

On Thu, 29 Jul 2010 19:39:28 +0200, Benjamin Billon bbil...@splio.fr
said:

 Par contre s'il est nécessaire de continuer la discussion, merci de le 
 faire sur une autre liste (au hasard FRsaG).

Ceci etant dit, il y a une autre question qu'il faudra se poser : C'est
quoi le SPAM ? 

Parce qu'on est arrive au point ou le spam c'est un e-mail qu'on a recu
et qu'on aime pas = un spammeur = quelqu'un qui envoie beaucoup
d'emails que beaucoup de gens aiment pas(*). Le bon-sens, l'opt-in (meme
confirme), le concept de relation contractuelle ou les diverses
definitions (UBE, UCE, ) ne veulent quasiment plus rien dire.

(*) le troll pour demain

-- 
Radu-Adrian Feurdean
 raf (a) ftml ! net

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-29 Par sujet Manuel Guesdon
On Thu, 29 Jul 2010 20:41:44 +0200
Radu-Adrian Feurdean r...@ftml.net wrote:
| On Thu, 29 Jul 2010 19:39:28 +0200, Benjamin Billon bbil...@splio.fr
| said:
| 
|  Par contre s'il est nécessaire de continuer la discussion, merci de le 
|  faire sur une autre liste (au hasard FRsaG).
| 
| Ceci etant dit, il y a une autre question qu'il faudra se poser : C'est
| quoi le SPAM ? 

J'suis sans doute un peu simple d'esprit mais:
- si l'émetteur a acheté son fichier chez biduleProspect = spam
- les mails medoc/montres/logiciels à prix cassé et autres = spam
- les mails qui viennent d'une boite avec qui tu n'as pas de relation, que
ce n'est pas quelqu'un que tu connais qui l'envoi et qui veut en plus te
vendre des volets roulants = spam
- les mails envoyés à des messages-id = spam
- et j'en oublie...
Dans 97% (à la louche) des cas, pas besoin de réfléchir plus d'1 seconde.

Et par inférence les boites spécialisées (dont c'est le business) dans le
routage de ces saloperies ou autres groupements du même acabit ben on les
appelle des spammeurs.

Et hop EOT.

| (*) le troll pour demain

Et m* j'ai marché dedans...


Manuel

--
__
Manuel Guesdon - OXYMIUM
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Clément Game

Marc Plunian wrote:

Le 22/07/2010 22:19, Jeremie Le Hen a écrit :

Salut,

On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote:
  

Reste que pour ce genre de tache l'open source a tout ce qu'il faut.

Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça
marche bien :)

   

+1 avec cette solution : le tarpitting permet d'économiser pas mal
d'argent / de ressources etc ...

On le couple avec des filtres additionnels ( RBL ) et un antispam (
SpamAssassin / amavis / dspam ) et on a une très bonne solution.
 

Les produits open-source sont effectivement de bonne qualité, mais le
problème est que la plupart du temps ils sont configurés avec leur
règles par défaut.  Personne n'ignore la professionnalisation du spam et
il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel
passera aux travers des mailles du filet.

Je vous invite à lire ce billet de Chris Siebenmann [1].  Ca fait
plusieurs années que je lis son blog et avant il parlait régulièrement
de la façon dont il combattait le spam au sein de l'université dans
laquelle il travaille.  Et puis il a fini par arrêter.

Je suis très motivés par l'open-source à tous les niveaux, mais je
trouve que la lutte anti-spam est un domaine où le modèle commercial
possède un avantage indéniable car il faut être capable d'investir
beaucoup de temps sur le sujet mais également avoir accès à un retour
d'expérience très large.  Les constructeurs d'appliance et les services
de messagerie comme Gmail ou Hotmail en sont de bons exemples.

[1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame

   
Tu le dis toi même les spammeurs se sont professionnalisés, donc en 
face il faut également des pros. Si tu ne maîtrises pas à fond les 
serveurs de messageries, les protocoles, les techniques de lutte 
antispam, ... et que tu penses arrêter les spam en tarouillant son 
spamassasin dans ton coin, c'est sur que comme Chris Siebermann tu vas 
vite te fatiguer, d'autant plus que Spamassasin n'est pas l'arme absolue.
Cela ne remet pas en cause les produits antispam Open Source et les 
concepts de la lutte antispam, simplement il faut des gens compétents 
pour le mettre en œuvre. Les concepts de listes grises, d'utilisation 
de RBL, de réputation SPF, DKIM,  sont accessibles à tous mais il 
faut y investir du temps.


Je suis tout à fait d'accord avec ce qui vient d'etre dit, et je 
rajouterais qu'il n'existe à l'heure actuelle aucune solution anti spam 
Opensource qui marche correctement avec des volumetries de l'ordre de 
10M mails/jour ...Si d'aventure vous voulez quand meme essayer, vous 
vous retrouvez alors tt de suite avec de gros bottlenecks et augmenter 
drastiquement le nombre de serveurs deviendra vite necessaire. Orange, 
par le biais d'Atos en a fait les frais...à trafic égal il leur fallait 
6 fois plus de serveurs Postfix/SA qu'une archi full ironport par exemple.


C'est un fait, les solutions de type SA ou dspam fonctionnent mais leur 
latence moyenne elevée (voir tres elevée ) par rapport à la concurence 
pro ( cloudmark , vaderetro,  whatever...)  les empeche de s'imposer en 
environement Opérateur.


C.

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Lilian RIGARD - Devclic
Sauf qu'utiliser uniquement Dspam ou Spamassassin pour filter le SPAM c'est se 
tirer une balle dans le pied ... Il faut des filtres en amont car Dspam et 
Spamassassin sont très très gourmands et en effet ils demandent d'augmenter le 
nombre de serveurs de façon conséquente.

On a, en place, un système basé sur des statistiques de pollution, si une IP 
pose problème à un moment donné, elle est remontée avec un warning et si 
celle-ci se manifeste de plus en plus tjs en erreur elle est bannie pendant un 
temps donné sur toute l'infra de mails, les whitelist sont aussi là pour 
laisser passer tout ce qui est bon et éviter de traiter ce qui n'est pas 
nécessaire de traiter ...

Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à 
mon sens Dspam et Spamassassin ne doivent analyser que les mails des 
utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer.

C'est encore une fois une question d'architecture et de réflexion sur le 
système en place.

Lilian.

Le 23 juil. 2010 à 10:49, Clément Game a écrit :

 Marc Plunian wrote:
 Le 22/07/2010 22:19, Jeremie Le Hen a écrit :
 Salut,
 
 On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote:
  
 Reste que pour ce genre de tache l'open source a tout ce qu'il faut.
 
 Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça
 marche bien :)
 
   
 +1 avec cette solution : le tarpitting permet d'économiser pas mal
 d'argent / de ressources etc ...
 
 On le couple avec des filtres additionnels ( RBL ) et un antispam (
 SpamAssassin / amavis / dspam ) et on a une très bonne solution.
 
 Les produits open-source sont effectivement de bonne qualité, mais le
 problème est que la plupart du temps ils sont configurés avec leur
 règles par défaut.  Personne n'ignore la professionnalisation du spam et
 il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel
 passera aux travers des mailles du filet.
 
 Je vous invite à lire ce billet de Chris Siebenmann [1].  Ca fait
 plusieurs années que je lis son blog et avant il parlait régulièrement
 de la façon dont il combattait le spam au sein de l'université dans
 laquelle il travaille.  Et puis il a fini par arrêter.
 
 Je suis très motivés par l'open-source à tous les niveaux, mais je
 trouve que la lutte anti-spam est un domaine où le modèle commercial
 possède un avantage indéniable car il faut être capable d'investir
 beaucoup de temps sur le sujet mais également avoir accès à un retour
 d'expérience très large.  Les constructeurs d'appliance et les services
 de messagerie comme Gmail ou Hotmail en sont de bons exemples.
 
 [1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame
 
   
 Tu le dis toi même les spammeurs se sont professionnalisés, donc en face il 
 faut également des pros. Si tu ne maîtrises pas à fond les serveurs de 
 messageries, les protocoles, les techniques de lutte antispam, ... et que tu 
 penses arrêter les spam en tarouillant son spamassasin dans ton coin, 
 c'est sur que comme Chris Siebermann tu vas vite te fatiguer, d'autant plus 
 que Spamassasin n'est pas l'arme absolue.
 Cela ne remet pas en cause les produits antispam Open Source et les concepts 
 de la lutte antispam, simplement il faut des gens compétents pour le mettre 
 en œuvre. Les concepts de listes grises, d'utilisation de RBL, de réputation 
 SPF, DKIM,  sont accessibles à tous mais il faut y investir du temps.
 
 Je suis tout à fait d'accord avec ce qui vient d'etre dit, et je rajouterais 
 qu'il n'existe à l'heure actuelle aucune solution anti spam Opensource qui 
 marche correctement avec des volumetries de l'ordre de 10M mails/jour ...Si 
 d'aventure vous voulez quand meme essayer, vous vous retrouvez alors tt de 
 suite avec de gros bottlenecks et augmenter drastiquement le nombre de 
 serveurs deviendra vite necessaire. Orange, par le biais d'Atos en a fait les 
 frais...à trafic égal il leur fallait 6 fois plus de serveurs Postfix/SA 
 qu'une archi full ironport par exemple.
 
 C'est un fait, les solutions de type SA ou dspam fonctionnent mais leur 
 latence moyenne elevée (voir tres elevée ) par rapport à la concurence pro ( 
 cloudmark , vaderetro,  whatever...)  les empeche de s'imposer en 
 environement Opérateur.
 
 C.
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Clément Game
Le fait de faire du filtrage avant analyse de contenu releve d'une 
evidence. maintenant en benchmarking, sur des corpus identiques...les 
solution Antispam libres se font litteralement violer par les  
meilleures solutions pros, c'est tout.


C.

Lilian RIGARD - Devclic wrote:

Sauf qu'utiliser uniquement Dspam ou Spamassassin pour filter le SPAM c'est se 
tirer une balle dans le pied ... Il faut des filtres en amont car Dspam et 
Spamassassin sont très très gourmands et en effet ils demandent d'augmenter le 
nombre de serveurs de façon conséquente
On a, en place, un système basé sur des statistiques de pollution, si une IP 
pose problème à un moment donné, elle est remontée avec un warning et si celle-ci se 
manifeste de plus en plus tjs en erreur elle est bannie pendant un temps donné sur toute 
l'infra de mails, les whitelist sont aussi là pour laisser passer tout ce qui est bon et 
éviter de traiter ce qui n'est pas nécessaire de traiter ...

Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à 
mon sens Dspam et Spamassassin ne doivent analyser que les mails des 
utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer.

C'est encore une fois une question d'architecture et de réflexion sur le 
système en place.

Lilian.

Le 23 juil. 2010 à 10:49, Clément Game a écrit :

  

Marc Plunian wrote:


Le 22/07/2010 22:19, Jeremie Le Hen a écrit :
  

Salut,

On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote:
 


Reste que pour ce genre de tache l'open source a tout ce qu'il faut.

Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça
marche bien :)

  


+1 avec cette solution : le tarpitting permet d'économiser pas mal
d'argent / de ressources etc ...

On le couple avec des filtres additionnels ( RBL ) et un antispam (
SpamAssassin / amavis / dspam ) et on a une très bonne solution.

  

Les produits open-source sont effectivement de bonne qualité, mais le
problème est que la plupart du temps ils sont configurés avec leur
règles par défaut.  Personne n'ignore la professionnalisation du spam et
il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel
passera aux travers des mailles du filet.

Je vous invite à lire ce billet de Chris Siebenmann [1].  Ca fait
plusieurs années que je lis son blog et avant il parlait régulièrement
de la façon dont il combattait le spam au sein de l'université dans
laquelle il travaille.  Et puis il a fini par arrêter.

Je suis très motivés par l'open-source à tous les niveaux, mais je
trouve que la lutte anti-spam est un domaine où le modèle commercial
possède un avantage indéniable car il faut être capable d'investir
beaucoup de temps sur le sujet mais également avoir accès à un retour
d'expérience très large.  Les constructeurs d'appliance et les services
de messagerie comme Gmail ou Hotmail en sont de bons exemples.

[1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame

  


Tu le dis toi même les spammeurs se sont professionnalisés, donc en face il faut 
également des pros. Si tu ne maîtrises pas à fond les serveurs de messageries, les 
protocoles, les techniques de lutte antispam, ... et que tu penses arrêter les spam en 
tarouillant son spamassasin dans ton coin, c'est sur que comme Chris 
Siebermann tu vas vite te fatiguer, d'autant plus que Spamassasin n'est pas l'arme 
absolue.
Cela ne remet pas en cause les produits antispam Open Source et les concepts de 
la lutte antispam, simplement il faut des gens compétents pour le mettre en 
œuvre. Les concepts de listes grises, d'utilisation de RBL, de réputation SPF, 
DKIM,  sont accessibles à tous mais il faut y investir du temps.

  

Je suis tout à fait d'accord avec ce qui vient d'etre dit, et je rajouterais 
qu'il n'existe à l'heure actuelle aucune solution anti spam Opensource qui 
marche correctement avec des volumetries de l'ordre de 10M mails/jour ...Si 
d'aventure vous voulez quand meme essayer, vous vous retrouvez alors tt de 
suite avec de gros bottlenecks et augmenter drastiquement le nombre de serveurs 
deviendra vite necessaire. Orange, par le biais d'Atos en a fait les frais...à 
trafic égal il leur fallait 6 fois plus de serveurs Postfix/SA qu'une archi 
full ironport par exemple.

C'est un fait, les solutions de type SA ou dspam fonctionnent mais leur latence 
moyenne elevée (voir tres elevée ) par rapport à la concurence pro ( cloudmark 
, vaderetro,  whatever...)  les empeche de s'imposer en environement Opérateur.

C.

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

  


---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Sébastien Namèche

Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit :
 Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à 
 mon sens Dspam et Spamassassin ne doivent analyser que les mails des 
 utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer.
 
 C'est encore une fois une question d'architecture et de réflexion sur le 
 système en place.


Oui, il n'est pas envisageable de pouvoir absorber une charge importante si 
chaque message doit passer par des analyses de contenu (filtres bayésiens, OCR 
sur les images, etc.).

Pour les grosses volumétries, deux aspects essentiels :

  1) Il faut détecter les courriers indésirables pendant la session SMTP pour 
refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le 
problème de la patate chaude. Cf. 
http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais 
toujours d'actualité). J'aime bien embarrasser les files d'attente des 
hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang 
(déjà cité dans ce fil) est l'idéal.

  2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, DKIM, 
conformance, etc.) avant de se résoudre à regarder le contenu d'un message. En 
fait, la plus grosse partie des messages indésirables doivent être repérés 
avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les anti-virus de 
nos relais de messagerie détectent très peu de virus car ils sont interceptés 
avant d'arriver à l'anti-virus.

En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 1 
million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de 
gamme d'il y a 3 ans.

Bon WE à tous,

-- 
Sébastien Namèche
Société Netensia

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Thomas Mangin
Pareil ici,

Postfix est très bon comme mx et scanner pour ça (mais les fan de Exim diront 
la même chose) entre les fonctions en dur et l'utilisation d'un daemon 
externe, c' est très flexible.

http://www.postfix.org/SMTPD_POLICY_README.html
http://www.policyd.org/

MX - postfix + policy daemon
SCANNER - postfix + Amavis + Clamav + SpamAssasin + FuzzyOCR + ...

Thomas

On 23 Jul 2010, at 13:35, Sébastien Namèche wrote:

 
 Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit :
 Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à 
 mon sens Dspam et Spamassassin ne doivent analyser que les mails des 
 utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer.
 
 C'est encore une fois une question d'architecture et de réflexion sur le 
 système en place.
 
 
 Oui, il n'est pas envisageable de pouvoir absorber une charge importante si 
 chaque message doit passer par des analyses de contenu (filtres bayésiens, 
 OCR sur les images, etc.).
 
 Pour les grosses volumétries, deux aspects essentiels :
 
  1) Il faut détecter les courriers indésirables pendant la session SMTP pour 
 refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le 
 problème de la patate chaude. Cf. 
 http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais 
 toujours d'actualité). J'aime bien embarrasser les files d'attente des 
 hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang 
 (déjà cité dans ce fil) est l'idéal.
 
  2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, 
 DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un 
 message. En fait, la plus grosse partie des messages indésirables doivent 
 être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les 
 anti-virus de nos relais de messagerie détectent très peu de virus car ils 
 sont interceptés avant d'arriver à l'anti-virus.
 
 En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 
 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de 
 gamme d'il y a 3 ans.
 
 Bon WE à tous,
 
 -- 
 Sébastien Namèche
 Société Netensia
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Maxime Teissèdre
Bonjour,

Je gère plusieurs relais de messagerie sous Postfix/Amavis/ClamAV/SA.
Les deux plus gros ont un trafic journalier de 5,2 millions de connexions
SMTP

Le serveur ne peut pas traiter tous ces messages!!!

Il en rejette à la connexion 5,1 millions, pour à peine 20 000 messages
scannés par jours.

Pour certains domaines, la liste des BAL est nécessaire, sinon le serveur ne
tient pas.
J'utilise les restrictions intégrés à Postfix, la liste des BAL de certains
domaines, les Greylists puis Amavis combiné à ClamAV et SA (en fonction des
domaines à filtrés ou non).

Ça fonctionne pas mal, mais si les Greylists sont trop utilisées, le serveur
peut être DOWN chaque nuit pendant le traitement de la BDD de postgrey
(je suis monté à 3millions d'entrées dans la BDD et avec la liste des BAL
d'un seul domaine, je suis retombé à 300 000).

Bon weekend,

Maxime Teissèdre.

Le 23 juillet 2010 14:35, Sébastien Namèche
sebastien.name...@netensia.fra écrit :


 Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit :
  Plus le filtrage est fait en amont moins on a besoin de filtrer derrière
 : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des
 utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer.
 
  C'est encore une fois une question d'architecture et de réflexion sur le
 système en place.


 Oui, il n'est pas envisageable de pouvoir absorber une charge importante si
 chaque message doit passer par des analyses de contenu (filtres bayésiens,
 OCR sur les images, etc.).

 Pour les grosses volumétries, deux aspects essentiels :

  1) Il faut détecter les courriers indésirables pendant la session SMTP
 pour refuser de les prendre en charge à ce moment là. C'est ce que j'appelle
 le problème de la patate chaude. Cf.
 http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien
 mais toujours d'actualité). J'aime bien embarrasser les files d'attente des
 hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que
 MIMEDefang (déjà cité dans ce fil) est l'idéal.

  2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF,
 DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un
 message. En fait, la plus grosse partie des messages indésirables doivent
 être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple,
 les anti-virus de nos relais de messagerie détectent très peu de virus car
 ils sont interceptés avant d'arriver à l'anti-virus.

 En se basant sur ces principes, nous avons des cas où nous arrivons à
 traiter 1 million de sessions SMTP entrantes par jour sur un simple Dell
 d'entrée de gamme d'il y a 3 ans.

 Bon WE à tous,

 --
 Sébastien Namèche
 Société Netensia

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/




Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Trognon Patrice
Ouep même config que toi Maxime en moins couillus certe sur le nombre de mail 
traite mais par contre plus d'une quarantaine de serveurs sur cette conf sans 
aucun soucis !
Juste Clamav qui se bloque de temps en temps un petit stop/start et ça repart, 
sur deux serveurs j'ai eu des soucis de maj de clamav !

Patrice Trognon
http://www.boxadmin.com
 09.50.15.77.80
 06.21.09.36.94

Le 23 juil. 2010 à 15:59, Maxime Teissèdre maxime.teisse...@gmail.com a écrit 
:

 Bonjour,
 
 Je gère plusieurs relais de messagerie sous Postfix/Amavis/ClamAV/SA.
 Les deux plus gros ont un trafic journalier de 5,2 millions de connexions SMTP
 
 Le serveur ne peut pas traiter tous ces messages!!!
 
 Il en rejette à la connexion 5,1 millions, pour à peine 20 000 messages 
 scannés par jours.
 
 Pour certains domaines, la liste des BAL est nécessaire, sinon le serveur ne 
 tient pas.
 J'utilise les restrictions intégrés à Postfix, la liste des BAL de certains 
 domaines, les Greylists puis Amavis combiné à ClamAV et SA (en fonction des 
 domaines à filtrés ou non).
 
 Ça fonctionne pas mal, mais si les Greylists sont trop utilisées, le serveur 
 peut être DOWN chaque nuit pendant le traitement de la BDD de postgrey 
 (je suis monté à 3millions d'entrées dans la BDD et avec la liste des BAL 
 d'un seul domaine, je suis retombé à 300 000).
 
 Bon weekend,
 
 Maxime Teissèdre.
 
 Le 23 juillet 2010 14:35, Sébastien Namèche sebastien.name...@netensia.fr a 
 écrit :
 
 Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit :
  Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : 
  à mon sens Dspam et Spamassassin ne doivent analyser que les mails des 
  utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer.
 
  C'est encore une fois une question d'architecture et de réflexion sur le 
  système en place.
 
 
 Oui, il n'est pas envisageable de pouvoir absorber une charge importante si 
 chaque message doit passer par des analyses de contenu (filtres bayésiens, 
 OCR sur les images, etc.).
 
 Pour les grosses volumétries, deux aspects essentiels :
 
  1) Il faut détecter les courriers indésirables pendant la session SMTP pour 
 refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le 
 problème de la patate chaude. Cf. 
 http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais 
 toujours d'actualité). J'aime bien embarrasser les files d'attente des 
 hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang 
 (déjà cité dans ce fil) est l'idéal.
 
  2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, 
 DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un 
 message. En fait, la plus grosse partie des messages indésirables doivent 
 être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les 
 anti-virus de nos relais de messagerie détectent très peu de virus car ils 
 sont interceptés avant d'arriver à l'anti-virus.
 
 En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 
 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de 
 gamme d'il y a 3 ans.
 
 Bon WE à tous,
 
 --
 Sébastien Namèche
 Société Netensia
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 


Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-23 Par sujet Gregory Colpart
'jour,

On Fri, Jul 23, 2010 at 03:59:20PM +0200, Maxime Teissèdre wrote:
 […]
 J'utilise les restrictions intégrés à Postfix, la liste des BAL de certains
 domaines, les Greylists puis Amavis combiné à ClamAV et SA (en fonction des
 domaines à filtrés ou non).
 […]

Idem.

On (info)gère pas mal de serveurs de mail, et les solutions Open Source
n'ont vraiment pas à rougir. Évidemment il faut filtrer un maximum en
amont avec - ce que j'appelle - les filtres de 1er niveau qui tentent
de zapper les mails selon plein de critères (récap' sur http://mx.evolix.net/ ).
Pour le greylisting... c'est génial si l'on peut... mais quasiment
aucun de nos clients ne le tolère ! Du coup, on fait du
pseudo-greylisting (on greyliste si RBL, reverse DNS
incohérent, etc.). Ensuite, pour les quelques % de mails qui sont
passés au travers, on a les filtres de 2e niveau très coûteux
en ressources : SpamAssassin, Bogofilter, Amavis, ClamAV, en
personnalisant tout cela (règles sur mesure, auto-apprentissage
via listes blanches, etc.). De plus, en permettant aux
utilisateurs de choisir leurs paramètres (activation ou non de
l'antispam, choix de la sévérité, etc.), on aboutit à quelques
choses d'assez fiable. On a ça chez pas mal de clients, et pas
besoin de matériel de fou pour le faire tourner.

c...@+
-- 
Gregory Colpart r...@evolix.fr  GnuPG:1024D/C1027A0E
Evolix - Informatique et Logiciels Libres http://www.evolix.fr/
---
Liste de diffusion du FRnOG
http://www.frnog.org/



[FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Jérôme Quintard | ACTISENS
Salut à tous,

A titre d'information, utilisez-vous des appliances du type antispam/antivirus 
et si oui quel retour avez-vous au niveau :


-  efficacité,

-  fiabilité au niveau soft/hardware des boîtiers,

-  facilité d'usage pour l'utilisateur final,

-  flexibilité d'administration,

-  etc.

Jérôme


[cid:logo7e87.jpg]http://www.actisens.com

Jérôme Quintard
Responsable Informatique
Ligne directe: 05 49 49 49 52


[cid:hr390c.gif]http://www.actisens.com
8, rue Evariste Galois 86130 Jaunay-Clan * Tél. : 05 49 49 49 50 * Fax : 05 49 
49 46 48

inline: logo7e87.jpginline: hr390c.gif

Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Raphaël Mazelier



On 22 juil. 2010, at 15:30, Jérôme Quintard | ACTISENS jquint...@actisens.c 
om wrote:



Salut à tous,



A titre d’information, utilisez-vous des appliances du type antispam 
/antivirus et si oui quel retour avez-vous au niveau :


Dans un precedent job on avait des ironport. Je n'aime pas trop les  
appliances en general, mais j'en ai un bon souvenir. Gui tres simple,  
efficaces et surtout jamais eu le moindre probleme. Je ne connais pas  
le pricing en revanche.


Reste que pour ce genre de tache l'open source a tout ce qu'il faut.

--
raphael---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Bedis 9

 Reste que pour ce genre de tache l'open source a tout ce qu'il faut.


Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche
bien :)

a+


Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Lilian RIGARD - Devclic
+1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / 
de ressources etc ...

On le couple avec des filtres additionnels ( RBL ) et un antispam ( 
SpamAssassin / amavis / dspam ) et on a une très bonne solution.
Le 22 juil. 2010 à 15:55, Bedis 9 a écrit :

 
 
 Reste que pour ce genre de tache l'open source a tout ce qu'il faut.
 
 
 Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche 
 bien :)
 
 a+



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Clement Hermann


Le 22/07/2010 15:30, Jérôme Quintard | ACTISENS a écrit :


Salut à tous,

A titre d'information, utilisez-vous des appliances du type 
antispam/antivirus et si oui quel retour avez-vous au niveau :


- efficacité,

- fiabilité au niveau soft/hardware des boîtiers,

- facilité d'usage pour l'utilisateur final,

- flexibilité d'administration,

- etc.


On n'utilise pas leur appliance (on installe sur nos propres serveurs), 
mais on est très contents de la solution CanitDB de roaring Penguin pour 
l'antispam. C'est basé sur des briques libres (ils sont notamment les 
auteurs de mimedefang pour ceux qui connaissent).
Le seul défaut est un petit manque de flexibilité pour les virus, c'est 
un peu du tout ou rien à coup de clamav


A+

--
Clément Hermann


Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Arnaud Landry
j'utilise une applicance proofpoint , ça fonctionne plutôt pas mal et étant 
donnée le peu de temps que j'ai à accorder à la gestion du spam je dirais que 
ça réalise parfaitement la tache que je lui demande même si le gui est un peu 
bordélique à mon gout

sinon il y a une boite qui à une distrib toute faite basé sur de l'open source 
, avec une web interface simple, c'est spamtitan ^^
-- 
Arnaud Landry


On 22 Jul 2010, at 16:10, Lilian RIGARD - Devclic wrote:

 +1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / 
 de ressources etc ...
 
 On le couple avec des filtres additionnels ( RBL ) et un antispam ( 
 SpamAssassin / amavis / dspam ) et on a une très bonne solution.
 Le 22 juil. 2010 à 15:55, Bedis 9 a écrit :
 
 
 
 Reste que pour ce genre de tache l'open source a tout ce qu'il faut.
 
 
 Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche 
 bien :)
 
 a+
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet BRET Wilfried
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Bonjour,


La ou je travail nous installons des solutions MailInBlack et Astaro.

Le MailInBlack :

Il est basé sur un systéme de challenge/response, les emmeteurs
reçoivent un mail leur demandant d'aller remplir un(e ?) CAPTCHA lors du
premier envoi.

Il n'y a donc pas de faux negatif par contre des faux positifs, les gens
ne jouant pas forcément le jeu du(e la ?) captcha.
Mais les utilisateurs ont chacun un accés à un espace web leur
permettant en temps reel de gérer les mails bloqués. De plus ils peuvent
recevoir de 1 à 3 rapports par jour.

Niveau fiabilité, la version serveur hard tourne sur de l'ibm, sinon une
version vmware existe. Une option HA est disponible.

Niveau Administration, pas grand chose à faire, il se base sur un
annuaire ldap, le petit défaut étant qu'il n'est pas trés simple de
suivre un mail intégralement (plusieurs menu + besoin de lire les logs
en ssh)

L'Astaro Mail Gateway :

Il est basé sur Commtouch, un hash des mail est comparé à une base de
donnée chez Commtouch.

Il y a donc parfois du faux négatif mais moins de faux positifs. Je
dirai qu'il y a au moins 95% de bon traitements. Même principe , les
utilisateurs ont accés à une interface web de gestion de leurs mails
bloqués. De plus ils peuvent reçevoir un à deux rapports par jours.
Une gestion des compte pop existe aussi.

Niveau fiabilité, la version hardware tourne soit sur de l'assemblé
pour/par Astaro, soit sur un serveur au choix (voir la harware
compiliance liste) soit en vmware, une option HA existe aussi.

Niveau Administration pas grand chose à faire non plus, gestion de base
ldap aussi, le suivi des mails est quand même bien plus simple.

Les deux produites disposent d'antivirus (Deux sur l'astaro)

Cordialement

Le 22/07/2010 15:30, Jérôme Quintard | ACTISENS a écrit :
 Salut à tous,
 
  
 
 A titre d’information, utilisez-vous des appliances du type
 antispam/antivirus et si oui quel retour avez-vous au niveau :
 
  
 
 -  efficacité,
 
 -  fiabilité au niveau soft/hardware des boîtiers,
 
 -  facilité d’usage pour l’utilisateur final,
 
 -  flexibilité d’administration,
 
 -  etc.
 
  
 
 Jérôme
 
  
 Actisens http://www.actisens.com
 
 *Jérôme Quintard*
 Responsable Informatique
 Ligne directe: 05 49 49 49 52
 
 http://www.actisens.com
 *8, rue Evariste Galois 86130 Jaunay-Clan • Tél. : 05 49 49 49 50 • Fax
 : 05 49 49 46 48***
 
 

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)

iEYEARECAAYFAkxIVhsACgkQX2fgdNmOrZCHSgCdGfGVpbHVW+DRzeOpZmTrkq3L
xRMAn0by0NlgmnUcuHaU0Xv92pSFXNUX
=gSuL
-END PGP SIGNATURE-
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Christophe Baegert

Le 22/07/2010 16:30, BRET Wilfried a écrit :

Le MailInBlack :

Il est basé sur un systéme de challenge/response, les emmeteurs
reçoivent un mail leur demandant d'aller remplir un(e ?) CAPTCHA lors du
premier envoi.

Il n'y a donc pas de faux negatif par contre des faux positifs, les gens
ne jouant pas forcément le jeu du(e la ?) captcha.


Intéressant mais je crains que le taux approche 90 % !!! Et plus cette 
solution se répandra, plus les gens en auront marre de remplir des 
captchas à chaque email envoyé, et le taux augmentera encore...


Cordialement,
--
Christophe
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Yann-Guirec Manac'h


Le 22 juil. 2010 à 10:30, BRET Wilfried a écrit :

 Le MailInBlack :
 
 Il est basé sur un systéme de challenge/response, les emmeteurs
 reçoivent un mail leur demandant d'aller remplir un(e ?) CAPTCHA lors du
 premier envoi.
 
chez nous, mailinblack est blacklisté directement. dès qu'on vois que tu 
cherche le challenge/reponse, on te bl avec un beau ``554-go away''

pendant un moment, on avait mis en place un robot qui envoyait un fax avec un 
captcha pour valider le fait que tu ai envoyé un challenge/réponse.
--
Yann-Guirec Manac'h
y...@ibexdelta.net
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Rémi Bouhl
Le 22/07/10, BRET Wilfriedkneis...@free.fr a écrit :
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1

 Bonjour,


 La ou je travail nous installons des solutions MailInBlack et Astaro.

 Le MailInBlack :

 Il est basé sur un systéme de challenge/response, les emmeteurs
 reçoivent un mail leur demandant d'aller remplir un(e ?) CAPTCHA lors du
 premier envoi.

Heu.. tu le détermines comment l'émetteur (le vrai) du courrier?
Une des caractéristiques du spam c'est justement d'avoir très souvent
des adresses d'émission usurpées, identiques à celle du destinataire,
inexistantes..

--
Rémi
---
Liste de diffusion du FRnOG
http://www.frnog.org/



RE: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Jérôme Quintard | ACTISENS
En fait si je pose la question c'est que l'on a pas mal de problèmes avec nos 
appliances Vadéretro Mailcube en terme de fiabilité (au niveau soft 
principalement) et une efficacité en deçà de nos précédences solutions (basées 
ne serait-ce que sur spam assassin, forefront security for exchange ou encore 
les différents modules du serveur altn mdaemon). En 4 mois, 4 coupures d'un 
total d'une dizaine d'heures contre 4 coupures d'un total de 1h pour les 8 
années précédentes...

Aujourd'hui on se pose vraiment la question de savoir si on est seul au monde 
dans cette problématique ou si tout au contraire d'autres ont le même soucis... 
sachant que des milliers d'euros plus tard on trouve que le seul intérêt c'est 
une gestion par utilisateur de la quarantaine

Jerome

Jérôme Quintard Responsable Informatique Ligne directe: 05 49 49 49 52
8, rue Evariste Galois 86130 Jaunay-Clan * Tél. : 05 49 49 49 50 * Fax : 05 49 
49 46 48
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet BRET Wilfried
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Le 22/07/2010 17:08, Olivier Bonvalet a écrit :
 Le 22/07/2010 16:59, Yann-Guirec Manac'h a écrit :
 Le 22 juil. 2010 à 10:30, BRET Wilfried a écrit :
   
 Le MailInBlack :

 Il est basé sur un systéme de challenge/response, les emmeteurs
 reçoivent un mail leur demandant d'aller remplir un(e ?) CAPTCHA lors du
 premier envoi.

  
 chez nous, mailinblack est blacklisté directement. dès qu'on vois que
 tu cherche le challenge/reponse, on te bl avec un beau ``554-go away''

 pendant un moment, on avait mis en place un robot qui envoyait un fax
 avec un captcha pour valider le fait que tu ai envoyé un
 challenge/réponse.


 
 Je n'en suis pas encore au point de les blacklister, mais je déteste ce
 système. A mon avis les clients de ce genre de truc perdent énormément
 d'emails légitimes.

Les trois rapports par jour envoyé aux destinataires sont justement la
pour ne pas perdre d'emails légitimes.

 En tous cas il n'y a vraiment aucune chance que j'aille confirmer mon
 envoi sur leur outil.
 


-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)

iEYEARECAAYFAkxIajcACgkQX2fgdNmOrZC51gCeOgODGmcthizOVwbUkfnO18qj
CQgAnj8CB6z7HEWG/DSkhvOWMI8Lm1Wg
=htI+
-END PGP SIGNATURE-
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet BRET Wilfried
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Le 22/07/2010 17:20, Rémi Bouhl a écrit :
 Le 22/07/10, BRET Wilfriedkneis...@free.fr a écrit :
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1

 Bonjour,


 La ou je travail nous installons des solutions MailInBlack et Astaro.

 Le MailInBlack :

 Il est basé sur un systéme de challenge/response, les emmeteurs
 reçoivent un mail leur demandant d'aller remplir un(e ?) CAPTCHA lors du
 premier envoi.
 
 Heu.. tu le détermines comment l'émetteur (le vrai) du courrier?
 Une des caractéristiques du spam c'est justement d'avoir très souvent
 des adresses d'émission usurpées, identiques à celle du destinataire,
 inexistantes..

Il y a aussi des vérifications du from (spf/dkim/rbl/...) Tout comme il
y a une limite d'envoi de challenge (configurable)

Le to est plus simple si on utilise du ldap, en effet si l'adresse n'est
pas dans le ldap elle est refusée.


 
 --
 Rémi
 

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)

iEYEARECAAYFAkxIa9QACgkQX2fgdNmOrZBDiwCgoWTK7cbHmg2dtegYM5tksM+0
wo4An2zXGqrAX1AXCK0hJE+ERb4jqZXp
=Tx0c
-END PGP SIGNATURE-
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Benjamin BILLON


Je n'en suis pas encore au point de les blacklister, mais je déteste 
ce système. A mon avis les clients de ce genre de truc perdent 
énormément d'emails légitimes.
En tous cas il n'y a vraiment aucune chance que j'aille confirmer mon 
envoi sur leur outil.
Un énorme reproche que l'on puisse faire à MIB est qu'au lieu de luter 
contre l'envoi d'emails indésirables, ce système en génère un 
supplémentaire pour tout mail envoyé par un expéditeur inconnu, ajoutant 
encore du trafic mail là où il y en a déjà trop, alors qu'on se fatigue 
déjà à éduquer les postmasters pour qu'ils corrigent leurs backscatters 
et autres bounces asynchrones ...

---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Nicolas CARTRON
Pour compléter le poste d'Arnaud, à l'époque quand on avait choisi la solution, 
on avait écarté les solutions de Barracuda dont le taux de détection de spam 
était ridicule (et ce malgré le fait que l'interface web était vraiment très 
intuitive). 
Sinon les appliances de Symantec fonctionnaient bien, mais à l'inverse leur 
interface d'admin était très  compliquée. 

Enfin le gros avantage de proofpoint c'est le système d'envoi de mail quotidien 
de quarantaine aux utilisateurs, qui dégage un temps non négligeable à l'IT :)

Regards,
Nicolas. 

On 22 juil. 2010, at 16:27, Arnaud Landry arnaud.lan...@me.com wrote:

 j'utilise une applicance proofpoint , ça fonctionne plutôt pas mal et étant 
 donnée le peu de temps que j'ai à accorder à la gestion du spam je dirais que 
 ça réalise parfaitement la tache que je lui demande même si le gui est un peu 
 bordélique à mon gout
 
 sinon il y a une boite qui à une distrib toute faite basé sur de l'open 
 source , avec une web interface simple, c'est spamtitan ^^
 -- 
 Arnaud Landry
 
 
 On 22 Jul 2010, at 16:10, Lilian RIGARD - Devclic wrote:
 
 +1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent 
 / de ressources etc ...
 
 On le couple avec des filtres additionnels ( RBL ) et un antispam ( 
 SpamAssassin / amavis / dspam ) et on a une très bonne solution.
 Le 22 juil. 2010 à 15:55, Bedis 9 a écrit :
 
 
 
 Reste que pour ce genre de tache l'open source a tout ce qu'il faut.
 
 
 Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche 
 bien :)
 
 a+
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Jeremie Le Hen
Salut,

On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote:
  Reste que pour ce genre de tache l'open source a tout ce qu'il faut.
  
  Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça
  marche bien :)
  
 +1 avec cette solution : le tarpitting permet d'économiser pas mal
 d'argent / de ressources etc ...
 
 On le couple avec des filtres additionnels ( RBL ) et un antispam (
 SpamAssassin / amavis / dspam ) et on a une très bonne solution.

Les produits open-source sont effectivement de bonne qualité, mais le
problème est que la plupart du temps ils sont configurés avec leur
règles par défaut.  Personne n'ignore la professionnalisation du spam et
il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel
passera aux travers des mailles du filet.

Je vous invite à lire ce billet de Chris Siebenmann [1].  Ca fait
plusieurs années que je lis son blog et avant il parlait régulièrement
de la façon dont il combattait le spam au sein de l'université dans
laquelle il travaille.  Et puis il a fini par arrêter.

Je suis très motivés par l'open-source à tous les niveaux, mais je
trouve que la lutte anti-spam est un domaine où le modèle commercial
possède un avantage indéniable car il faut être capable d'investir
beaucoup de temps sur le sujet mais également avoir accès à un retour
d'expérience très large.  Les constructeurs d'appliance et les services
de messagerie comme Gmail ou Hotmail en sont de bons exemples.

[1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame

-- 
Jeremie Le Hen

Humans are born free and equal.  But some are more equal than others.
Coluche
---
Liste de diffusion du FRnOG
http://www.frnog.org/



Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.

2010-07-22 Par sujet Marc Plunian

Le 22/07/2010 22:19, Jeremie Le Hen a écrit :

Salut,

On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote:
   

Reste que pour ce genre de tache l'open source a tout ce qu'il faut.

Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça
marche bien :)

   

+1 avec cette solution : le tarpitting permet d'économiser pas mal
d'argent / de ressources etc ...

On le couple avec des filtres additionnels ( RBL ) et un antispam (
SpamAssassin / amavis / dspam ) et on a une très bonne solution.
 

Les produits open-source sont effectivement de bonne qualité, mais le
problème est que la plupart du temps ils sont configurés avec leur
règles par défaut.  Personne n'ignore la professionnalisation du spam et
il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel
passera aux travers des mailles du filet.

Je vous invite à lire ce billet de Chris Siebenmann [1].  Ca fait
plusieurs années que je lis son blog et avant il parlait régulièrement
de la façon dont il combattait le spam au sein de l'université dans
laquelle il travaille.  Et puis il a fini par arrêter.

Je suis très motivés par l'open-source à tous les niveaux, mais je
trouve que la lutte anti-spam est un domaine où le modèle commercial
possède un avantage indéniable car il faut être capable d'investir
beaucoup de temps sur le sujet mais également avoir accès à un retour
d'expérience très large.  Les constructeurs d'appliance et les services
de messagerie comme Gmail ou Hotmail en sont de bons exemples.

[1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame

   
Tu le dis toi même les spammeurs se sont professionnalisés, donc en face 
il faut également des pros. Si tu ne maîtrises pas à fond les serveurs 
de messageries, les protocoles, les techniques de lutte antispam, ... et 
que tu penses arrêter les spam en tarouillant son spamassasin dans ton 
coin, c'est sur que comme Chris Siebermann tu vas vite te fatiguer, 
d'autant plus que Spamassasin n'est pas l'arme absolue.
Cela ne remet pas en cause les produits antispam Open Source et les 
concepts de la lutte antispam, simplement il faut des gens compétents 
pour le mettre en œuvre. Les concepts de listes grises, d'utilisation de 
RBL, de réputation SPF, DKIM,  sont accessibles à tous mais il faut 
y investir du temps.


--
Marc Plunian
Responsable clientèle

Mob : 06.50.18.65.41
Bur : 02.97.68.92.03

marc.plun...@netensia.fr

Solution anti-spam et anti-virus : antispam.netensia.fr
Site dédié à l'hébergement : hebergement.netensia.fr
Site web de Netensia  : www.netensia.fr

---
Liste de diffusion du FRnOG
http://www.frnog.org/