Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 29 juil. 2010 à 16:14, Benjamin Billon a écrit : Le seul problème de cette solution est qu'il est très difficile d'avoir une interface utilisateur digne de ce nom, et c'est généralement là que les produits commerciaux gagnent, surtout que ceux qui achètent les produits sont rarement ceux qui les exploitent... Ca c'est un problème pour l'admin. Pas tout à fait : dans une PME de taille moyenne (50-500 personnes), l'admin peut très bien passer son temps à répondre à des questions genre pourquoi mon mail n'est pas arrivé ? pourquoi mon mail est marqué comme spam ? pourquoi mon mail n'est pas détecté comme spam ? En générale l'entreprise ne dédie que très rarement un poste à temps plein pour adresser ce genre de demande... Certains produits, comme MailInBlack (dont j'exècre le principe c'est très contre productif), reporte le problème à l'utilisateur lui-même, ce qui est une bonne idée probablement. L'admin ne passe normalement pas son temps devant l'interface utilisateur du moteur de filtrage, il peut donc se satisfaire d'une interface relativement pauvre. Par principe, le greylisting est une hérésie qui mérite d'être bannie de tout organisme digne de ce nom, repousser de 15 voire même de 5 minutes l'arrivée d'un message attendu étant universellement contre-productif. Mouiais, à mon humble avis, les gens qui utilisent le mail comme un moyen d'acheminement temps réel n'ont pas tout compris au film, ce sont souvent les mêmes qui se pleignent de ne pas pouvoir envoyer leur dernier PowerPoint de 100Mo pas mail :-). Sur un moteur grey-listing et avec une bonne configuration du moteurs et de ses interaction, on peut très fortement diminuer cet inconvénient par divers moyens (construction de listes de white-listing automatique, retarder uniquement d'une minutes, informer les utilisateurs, réemission d'un message lorsqu'il est nécessaire de le recevoir immédiatement, ...). D'expérience, en entreprise les messages attendus en instantanés représentent moins de 0,1% des mails sollicités. Les spammeurs savent depuis longtemps qu'il suffit, en cas de greylisting, d'insister un peu plus longtemps que d'habitude, et dans la mesure où ce sont les ressources cpu/réseau de machines infectées et non les leurs qui sont ralenties/impactées par le procédé, rien ne les décourage de contourner cette solution. Et dans l'idéal, c'est non du greylisting mais du traffic shaping qu'il faudrait mettre en place, avec des latences plus ou moins prononcées en fonction de la réputation de l'expéditeur. Bien évidement si le spammeur est un bon élève, alors il re-essaiera, mais alors généralement c'est plutôt un message type commercial avec possibilité de désinscription et serveur bien identifié comme valide. La volumétrie du spam est plutôt constituée de moteurs sur des machines compromises et qui utilisent des bases de données de spam avec des centaines de millions d'emails, dont probablement plus de 80% sont faux ou inactifs. Ces moteurs ont une durée de vie très limités sur internet (quelques dizaines d'heures au maximum) avant d'être blacklistées dans des RBLs ou arrêtés par le propriétaire de la liaison ou son ISP. De par leur nature et la nature de leur base d'emails, ces moteurs n'ont aucune velléité de gérer des spools pour les emails blockés par le grey-listing. C'est pourquoi, du moins dans notre expérience depuis plusieurs années, le grey-listing est la seule technologie qui a significativement fait diminuer le spam sans augmenter les faux positif. Quant à la mise en oeuvre de trafic shaping, c'est peut-être une idée à creuser, mais il me semble difficile de le faire au niveau du destinataire car le spam est imlportant mais généralement faible une fois divisé par le nombre de sources non ? Cordialement, -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 Applications client/serveur, ingénierie réseau et Linux
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
On 07/29/10 20:09, Radu-Adrian Feurdean wrote: [...] Ou il y a quelques mois l'afaire Nerim + UCEProtect (la j'ai bien rigole). Étrangement, nous, on a beaucoup moins rigolé que vous... Qu'est-ce qui a bien pu provoquer votre hilarité ? Qu'un opérateur résolument engagé dans la lutte contre le spam se fasse blacklister tout son AS par un système totalement inepte dont les créateurs eux-mêmes déconseillent l'usage ? Ce filtrage a empêché bon nombre de nos clients disposant de leurs propres MTA sans histoires, sans réseaux infectés, de continuer à envoyer leurs mails en toute sérénité comme ils l'ont toujours fait. Nous en sommes à présent au point de surveiller l'ensemble de nos clients afin de les prévenir (et de nous prévenir) --voire même de les bloquer-- s'ils sont infectés ou indélicats. Que voulez-vous donc que nous fassions de plus ? Vous en connaissez beaucoup des opérateurs qui ont le cran de bloquer leurs clients en cas d'abus manifeste de spam ? Je parle de clients corporate, pas de pékins derrière une stupidbox quelconque, hein. Ce n'est même pas notre métier, à la base. Nous sommes opérateur IP, pas je ne sais quoi qui nous forcerait à surveiller l'activité de nos clients. Et maintenant, c'est quoi la prochaine étape ? Il va peut-être faloir arrêter dans l'escalade de la violence en inventant toute sortes de techniques stupides, totalement disproportionnées et surtout qui créent plus de problèmes qu'elles n'en résolvent. -- Antoine Versini - Nerim --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
On Fri, 30 Jul 2010 12:42:16 +0200, Antoine Versini antoine.vers...@corp.nerim.net said: On 07/29/10 20:09, Radu-Adrian Feurdean wrote: [...] Ou il y a quelques mois l'afaire Nerim + UCEProtect (la j'ai bien rigole). Étrangement, nous, on a beaucoup moins rigolé que vous... Qu'est-ce qui a bien pu provoquer votre hilarité ? Qu'un opérateur résolument engagé dans la lutte contre le spam se fasse blacklister tout son AS par un système totalement inepte dont les créateurs eux-mêmes déconseillent l'usage ? Et que nous, les spammeurs (selon toi :) parmi d'autres) on n'est pas encore arrive dans ce situation. C'est pas de vous (Nerim) que je me suis marre, mais de la situation en general : quelqu'un qui fait ses devoirs qui se trouve pris en otage, alors que vous pouvons continuer a envoyer nos sans probleme. D'ailleurs il me smeble que Gandi ils ont aussi eu des souci du genreil y a quelque temps, mais le plus marrant (.) c'est de voir ca en live. D'ailleurs c'est probablement parce-que nous, a cause de notre metier et notre reputation on est arrive a avoir plusieurs gens payes uniquement pour suivre ces genres de conneries et eviter au max qu'on arrive la. Alors que vous, comme vous faites vos devoirs d'ISP proprement vous n'etes pas cense arriver la. Et *quand* ca arrive quand-meme, ca vous prend par surprise et avec un impact tres serieux. Ce filtrage a empêché bon nombre de nos clients disposant de leurs propres MTA sans histoires, sans réseaux infectés, de continuer à envoyer leurs mails en toute sérénité comme ils l'ont toujours fait. Nous en sommes à présent au point de surveiller l'ensemble de nos clients afin de les prévenir (et de nous prévenir) --voire même de les bloquer-- s'ils sont infectés ou indélicats. Que voulez-vous donc que nous fassions de plus ? Vous en connaissez beaucoup des opérateurs qui ont le cran de bloquer leurs clients en cas d'abus manifeste de spam ? Je parle de clients corporate, pas de pékins derrière une stupidbox quelconque, hein. Ce n'est même pas notre métier, à la base. Nous sommes opérateur IP, pas je ne sais quoi qui nous forcerait à surveiller l'activité de nos clients. Je connais la situation et je la comprends bien; c'est en effet pas votre boulot. Je suis parfaitement d'accord. Par contre, ca dit beaucoup de la mentalite des combattants anti-spam. Ca me rappelle les gens crises/hysteriques, qui essayent a tout prix de causer un max de degats n'imorte ou, juste pour se faire entendre et pour imposer leurs idees. Dans d'autres conditions on appelle ca des terroristes. Autre connerie dans le genre : SpamCop qui envoie les plaintes aux upstreams. C'est vlable meme pour OVH (envoi a OVH, TATAGlobe et GBLX). Et maintenant, c'est quoi la prochaine étape ? Il va peut-être faloir arrêter dans l'escalade de la violence en inventant toute sortes de techniques stupides, totalement disproportionnées et surtout qui créent plus de problèmes qu'elles n'en résolvent. Ca fait quelque temps que je dis que la solution contre le spam ne peut plus s'attaquer aux moyens techniques sans causer (beaucoup) des victimes innocentes. CA passe par l'education des utilisateurs (ca c'est pas nouveau) et surtout par l'education des marketeurs; de leur permier annee d'etude. J'ai entendu N fois le coup du stagiaire ou nouveau embauche au marketing qui arrive avec une idee geniale du style: CD ZZZProspects a 30 EUR, relance sur les des-inscrits, relance sur des vieilles listes de 5 ans, ou d'autres conneries imaginatives qui generent des plaintes. Sans doute, si les operateurs de botnet ont la vie facile, c'est aussi en partie due a des marketeurs qui veulent envoyer leur KK a un max de monde a tout prix. Et puisqu'on est sur frNOG, l'email sur IPv6 a large echelle, j'attends vraiment de le voir un jour, mais j'ai peur que ca sera le dernier bastion de l'IPv4 avec probablement un jour un internet v4 qui va transporter a plus de 95% du SMTP (en cercle ferme en plus). -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Oui, il n'est pas envisageable de pouvoir absorber une charge importante si chaque message doit passer par des analyses de contenu (filtres bayésiens, OCR sur les images, etc.). Pour les grosses volumétries, deux aspects essentiels : 1) Il faut détecter les courriers indésirables pendant la session SMTP pour refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le problème de la patate chaude. Cf. http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais toujours d'actualité). J'aime bien embarrasser les files d'attente des hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang (déjà cité dans ce fil) est l'idéal. 2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un message. En fait, la plus grosse partie des messages indésirables doivent être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les anti-virus de nos relais de messagerie détectent très peu de virus car ils sont interceptés avant d'arriver à l'anti-virus. En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de gamme d'il y a 3 ans. Bon WE à tous, -- Sébastien Namèche Société Netensia --- Liste de diffusion du FRnOG http://www.frnog.org/ Nous mettons en place couramment des solution Open Sources basées sur Sendmail + DNSRBL + MimeDefang + DCCD + razor + pyzor + SpamAssassin + GreyListing + clamav + généralement un anti-virus commercial (par exemple Kaspersky). Ces solutions permettent effectivement de gérer très très convenablement le problème de SPAM. Notamment la seule solution greylisting arrête généralement plus de 98% du SPAM et est quasiment incoutournable par les Spammeurs. Elle permet de plus de ne soumettre aux moteurs anti-spam et anti-virus que les messages restant, ce qui est très grosse économie de CPU. Le seul problème de cette solution est qu'il est très difficile d'avoir une interface utilisateur digne de ce nom, et c'est généralement là que les produits commerciaux gagnent, surtout que ceux qui achètent les produits sont rarement ceux qui les exploitent... Cordialement, -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 Applications client/serveur, ingénierie réseau et Linux
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Bonjour la liste. Le seul problème de cette solution est qu'il est très difficile d'avoir une interface utilisateur digne de ce nom, et c'est généralement là que les produits commerciaux gagnent, surtout que ceux qui achètent les produits sont rarement ceux qui les exploitent... http://forum.mailcleaner.org/viewtopic.php?f=1t=1002 La beta 3 est très largement stable (au moins autant que la précédente version stable). Il faut fouiller un peu le forum pour les toutes dernières mises à jour (genre ClamAV) et ne pas oublier, bien entendu, de construire ses propres bases de travail. C'est un outil de type appliance avec : . gestion de cluster (une interface d'admin pour X serveurs) . quarantaine, greylisting, callout and co gérable par domaine . clicodrome total (accès web admin) . SOAP . plein de stats . accès web utilisateur (gestion du mode de filtrage, de la quarantaine, stats, etc) . etc Et également une version commerciale, avec plugins complémentaires, mises à jour pushées, etc. David --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le seul problème de cette solution est qu'il est très difficile d'avoir une interface utilisateur digne de ce nom, et c'est généralement là que les produits commerciaux gagnent, surtout que ceux qui achètent les produits sont rarement ceux qui les exploitent... Ca c'est un problème pour l'admin. Par principe, le greylisting est une hérésie qui mérite d'être bannie de tout organisme digne de ce nom, repousser de 15 voire même de 5 minutes l'arrivée d'un message attendu étant universellement contre-productif. Les spammeurs savent depuis longtemps qu'il suffit, en cas de greylisting, d'insister un peu plus longtemps que d'habitude, et dans la mesure où ce sont les ressources cpu/réseau de machines infectées et non les leurs qui sont ralenties/impactées par le procédé, rien ne les décourage de contourner cette solution. Et dans l'idéal, c'est non du greylisting mais du traffic shaping qu'il faudrait mettre en place, avec des latences plus ou moins prononcées en fonction de la réputation de l'expéditeur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Nous mettons en place couramment des solution Open Sources basées sur Sendmail + DNSRBL + MimeDefang + DCCD + razor + pyzor + SpamAssassin + GreyListing + clamav + généralement un anti-virus commercial (par exemple Kaspersky). Ces solutions permettent effectivement de gérer très très convenablement le problème de SPAM. Notamment la seule solution greylisting arrête généralement plus de 98% du SPAM et est quasiment incoutournable par les Spammeurs. Elle permet de plus de ne soumettre aux moteurs anti-spam et anti-virus que les messages restant, ce qui est très grosse économie de CPU. Le greylisting est parfaitement contournable par les spammeurs, ils ont au moins 2 choix pour cela : 1) Compromettre un serveur sur lequel se trouve un MTA digne de ce nom qui renverra le message après expiration du délai de greylisting. 2) Mettre à jour les softs sur les zombies de son botnet pour gérer le greylisting. Pour information les serveurs des ML Debian sont configurés avec du greylisting et pourtant les listes sont régulièrement spammées. C'est juste que ce n'est financièrement pas viable pour la plupart des spammers de prendre des ressources sur des machines de leur botnet pour gérer la réexpédition. Voilà pourquoi le greylisting reste encore un moyen efficace de lutte contre le spam. Un autre intérêt du greylisting est que même si les spammeurs décident à grande échelle de le contourner, le temps d'attente entre 2 connexions peut jouer en la faveur des DNSBL qui auront (peut être) eu le temps de repérer le zombie en question et donc de permettre un filtrage plus efficace à l'antispam qui agit derrière. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 29/07/10 16:25, Julien Reveret a écrit : Un autre intérêt du greylisting est que même si les spammeurs décident à grande échelle de le contourner, le temps d'attente entre 2 connexions peut jouer en la faveur des DNSBL qui auront (peut être) eu le temps de repérer le zombie en question et donc de permettre un filtrage plus efficace à l'antispam qui agit derrière. Tout à fait. De toute façon, le greylisting est un moyen peu couteux d'éliminer le gros du trafic illégitime, il est surtout là pour ne pas avoir à scanner le contenu de _tout_ le trafic. -- Jérôme Nicolle signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
le greylisting est un moyen peu couteux d'éliminer le gros du trafic illégitime, il est surtout là pour ne pas avoir à scanner le contenu de _tout_ le trafic. Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins 90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans iptables ou pourquoi pas sur les routeurs. Si les faux positifs sont inévitables, c'est tout de même à l'expéditeur de se faire délister (a priori s'il est dans la RBL, c'est qu'il y a une raison), et à l'inverse du greylisting, on ne va pas considérer que tout expéditeur est forcément indésiré. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le Thursday 29 July 2010 à 16:21, Jérôme Nicolle écrivait: Tout à fait. De toute façon, le greylisting est un moyen peu couteux Peu couteux ? Vous rigolez là ? C'est sans parler la batterie de disques que j'ai du ajouter pour le stockage temporaire les mails des greylisteurs... Bref, c'est sûr qu'utiliser les ressources des autres pour déléguer sa problématique de SPAM, c'est peu couteux... La grosse conséquence de la généralisation du greylisting n'aura été que de doubler le flux de trafic de SPAM, car depuis bien 2 ans, les spammeurs réémment quasi systématiquement leurs campagnes pour essayer de passer au travers du greylisting. -- Auré --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le Thursday 29 July 2010 à 16:31, Benjamin Billon écrivait: Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins 90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans iptables ou pourquoi pas sur les routeurs. Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans parce qu'il y a bien une raison... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Benjamin : Par principe, le greylisting est une hérésie qui mérite d'être bannie de tout organisme digne de ce nom, repousser de 15 voire même de 5 minutes l'arrivée d'un message attendu étant universellement contre-productif. [..] Julien : [...] Voilà pourquoi le greylisting reste encore un moyen efficace de lutte contre le spam. Chers amis, n'oublions pas d'insérer le : De mon avis / expérience, je pense que... et surtout le : mais il n'y a pas qu'une solution en informatique, chacun doit trouver la sienne... Ce qui est vrai, n'implique pas que l'inverse est faux. Restons humble et n'oublions pas que la diversité des solutions est bien plus efficaces qu'une unicité standardisée. Pourquoi un boulanger devrait avoir les mêmes outils qu'un pépinieriste ? Prenons le problème à l'envers, qu'est ce qui est le plus dur pour le spammeur de s'adapter à une solution unique ou de s'adapter à N solutions différentes dans leurs mises en place et leurs configurations ? Plus vous êtes différent et plus c'est lui qui doit travailler dur. Tout comme plus on est différent et moins un virus aura d'impact sur nos organismes. J --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 29/07/10 16:32, Aurélien Beaujean a écrit : Le Thursday 29 July 2010 à 16:21, Jérôme Nicolle écrivait: Tout à fait. De toute façon, le greylisting est un moyen peu couteux Peu couteux ? Vous rigolez là ? C'est sans parler la batterie de disques que j'ai du ajouter pour le stockage temporaire les mails des greylisteurs... Bref, c'est sûr qu'utiliser les ressources des autres pour déléguer sa problématique de SPAM, c'est peu couteux... C'est précisément parce que la charge de stockage n'est pas naturellement à l'émetteur que le spam est aussi répandu. Donc oui, c'est l'expéditeur qui stocke. ce qui est greylisté. C'est normal, et ça devrait même être systématique. La grosse conséquence de la généralisation du greylisting n'aura été que de doubler le flux de trafic de SPAM, car depuis bien 2 ans, les spammeurs réémment quasi systématiquement leurs campagnes pour essayer de passer au travers du greylisting. on s'en fout du flux, ça ne consomme qu'une BP ridicule par rapport à la vidéo. Ce qui compte c'est le coût de traitement et de stockage à la réception. Et GOTO t'aura updaté les signatures entre les deux vagues de réémission, donc le travail est fait. -- Jérôme Nicolle signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le Thu, Jul 29, 2010 at 04:31:05PM +0200, Benjamin Billon [bbil...@splio.fr] a écrit: le greylisting est un moyen peu couteux d'éliminer le gros du trafic illégitime, il est surtout là pour ne pas avoir à scanner le contenu de _tout_ le trafic. Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins 90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans iptables ou pourquoi pas sur les routeurs. Mais du coup, tu délègues (presque) complètement ta politique de qui peut te parler à un tiers. Si les faux positifs sont inévitables, c'est tout de même à l'expéditeur de se faire délister (a priori s'il est dans la RBL, c'est qu'il y a une raison), Ou pas. Par exemple, pour les serveurs derrière des lignes xDSL, si on est en ip « non fixe » et qu'on récupère une adresse qui a servi dans le passé de relai ouvert. Ou si on récupère chez un hosteur une adresse ip attribuée précédemment à un autre client, etc. et à l'inverse du greylisting, on ne va pas considérer que tout expéditeur est forcément indésiré. J'ai ~ 150 entrées whitelistées dans ma config de postgrey, ça élimine 99% des problèmes avec les serveurs légitimes qui font des trucs bizarres (genre 2e tentative effectuée depuis une ip différente, from d'envelope à usage unique, ...) Ce n'est évidemment pas la panacée, mais ça soulage bien l'antispam derrière. -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 29/07/10 16:37, Aurélien Beaujean a écrit : Le Thursday 29 July 2010 à 16:31, Benjamin Billon écrivait: Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins 90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans iptables ou pourquoi pas sur les routeurs. Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans parce qu'il y a bien une raison... Là dessus on est d'accord. Du coup, je m'en sers parfois en scoring, mais jamais en arbitraire pur. Et si je me retrouve dans une des listes sans raison, c'est qu'elle est par définition peu fiable, donc mail auto à tous les postmasters tiers qui m'ont bouncé à cause de cette saloperie. -- Jérôme Nicolle signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 29/07/10 16:42, Dominique Rousseau a écrit : J'ai ~ 150 entrées whitelistées dans ma config de postgrey, ça élimine 99% des problèmes avec les serveurs légitimes qui font des trucs bizarres (genre 2e tentative effectuée depuis une ip différente, from d'envelope à usage unique, ...) Tu fais tourner ? -- Jérôme Nicolle signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Un truc intéressant aussi ... utiliser une Whitelist globale : DNSWL, elle autorise par exemple les serveurs Orange ... A la place de Postgrey, on met en place Milter-Greylist qui synchronise tout seul ses bdd internes. Le 29 juil. 2010 à 16:45, Jérôme Nicolle a écrit : Le 29/07/10 16:42, Dominique Rousseau a écrit : J'ai ~ 150 entrées whitelistées dans ma config de postgrey, ça élimine 99% des problèmes avec les serveurs légitimes qui font des trucs bizarres (genre 2e tentative effectuée depuis une ip différente, from d'envelope à usage unique, ...) Tu fais tourner ? -- Jérôme Nicolle -- Lilian --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le Thursday 29 July 2010 à 16:41, Jérôme Nicolle écrivait: C'est précisément parce que la charge de stockage n'est pas naturellement à l'émetteur que le spam est aussi répandu. Donc oui, c'est l'expéditeur qui stocke. ce qui est greylisté. C'est normal, et ça devrait même être systématique. Ha oui, il faudrait donc changer le protocol SMTP en place pour exaucer vos voeux. on s'en fout du flux, ça ne consomme qu'une BP ridicule par rapport à la vidéo. Ce qui compte c'est le coût de traitement et de stockage à la réception. Et GOTO t'aura updaté les signatures entre les deux vagues de réémission, donc le travail est fait. Donc vous vous en foutez d'utiliser des techniques qui inscitent les spammeurs à spammer plus fort. Cela vous semble une bonne pratique absolument pas contre-productive. -- Auré --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans parce qu'il y a bien une raison.. Envoyer (et livrer) des emails n'est plus aussi évident qu'il y a 5 ans. Quand il s'agit du coeur de métier, forcément on fait très attention à ce qui peut sortir de nos machines. Dans le temps, je m'étais installé le service SMTP d'IIS sur mon laptop. C'est vachement plus pratique que de devoir se connecter à un serveur SMTP distant ! Mais un jour, les règles ont changé, et avoir un SMTP stable et fixe est devenu une Best Practice. Tout comme ne pas envoyer de bounces asynchrones, ou ne pas faire d'open relay ... On ne peut pas tout deviner et c'est bien malheureux, mais si un serveur mail est blacklisté est que le responsable (postmaster) ne voit pas pourquoi, il est sans doute temps d'externaliser le service (ou de changer de presta). Pour le cas de proxad (tu vois bien de quoi je veux parler), il y avait bien une raison, bien qu'on puisse douter de sa légitimité ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 29/07/10 16:49, Aurélien Beaujean a écrit : Le Thursday 29 July 2010 à 16:41, Jérôme Nicolle écrivait: C'est précisément parce que la charge de stockage n'est pas naturellement à l'émetteur que le spam est aussi répandu. Donc oui, c'est l'expéditeur qui stocke. ce qui est greylisté. C'est normal, et ça devrait même être systématique. Ha oui, il faudrait donc changer le protocol SMTP en place pour exaucer vos voeux. C'est la voie que prennent tous les travaux et propositions de remplacement ou d'évolution de SMTP, permettant de traiter le problème de fond et non les symptômes et mauvaises utilisations. on s'en fout du flux, ça ne consomme qu'une BP ridicule par rapport à la vidéo. Ce qui compte c'est le coût de traitement et de stockage à la réception. Et GOTO t'aura updaté les signatures entre les deux vagues de réémission, donc le travail est fait. Donc vous vous en foutez d'utiliser des techniques qui inscitent les spammeurs à spammer plus fort. Cela vous semble une bonne pratique absolument pas contre-productive. ce qui est contre productif : - concentrer des millions de boites mails sur un seul système - utiliser des techniques arbitraires sources de faux positifs (et donc de non fourniture du service) - traiter les symptômes et non le problème de fond Mais tu n'est pas le seul à faire tout ça hein, ce n'est pas une attaque personnelle, juste un constat. J'aimerais juste que les gros acteurs du mail se mettent à causer de l'avenir du service plutôt que de camper sur des acquis problématiques... -- Jérôme Nicolle signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
On Thu, 29 Jul 2010 16:32 +0200, Aurélien Beaujean abeauj...@proxad.net wrote: La grosse conséquence de la généralisation du greylisting n'aura été que de doubler le flux de trafic de SPAM, car depuis bien 2 ans, les spammeurs réémment quasi systématiquement leurs campagnes pour essayer de passer au travers du greylisting. A part la big deconnexion de McColo il y a X dizaines de mois j'ai rien vu de grosses attaques frontales comunes de prestataires internet à ce sujet (ISP, webhoster, TierX...) Les opt-in aussi sont une vraie poisse... rien n'empeche des zigotos de revendre des bases d'adreses e-mails fraichement unsubscribed donc valides ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 29/07/10 17:01, Benjamin Billon a écrit : De fiable, je n'ai en tête que Spamhaus (zen), spamcop et cbl. C'est déjà bigrement efficace avec un taux de faux positif minime (dans mon cas jamais). Et comme c'est géré dans la transaction SMTP, une petite réponse synchrone bien sentie et le postmaster doit être capable de retrouver l'info (avec le nom de la BL, et tout) Et la réponse synchrone, tu la tarpit ? -- Jérôme Nicolle signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le Thursday 29 July 2010 à 16:58, Jérôme Nicolle écrivait: J'aimerais juste que les gros acteurs du mail se mettent à causer de l'avenir du service plutôt que de camper sur des acquis problématiques... T'en fais pas, ils causent: http://www.maawg.org/ -- Auré --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Ou pas. Par exemple, pour les serveurs derrière des lignes xDSL, si on est en ip « non fixe » et qu'on récupère une adresse qui a servi dans le passé de relai ouvert. Un serveur de mail derrière une IP dynamique, c'est une bonne idée si on ne veut pas que Hotmail, Yahoo et leurs potes les messages. Entre la belle utopie de tout le monde est libre de pouvoir envoyer des mails et les extrémistes qui ne jurent que par le deny all accept WL, il y a un certain fossé. Dans les faits, les gros webmails globaux (hotmail et yahoo) et quelques ISP américains imposent aux senders de suivre des pratiques bien plus contraignantes que les lois. Quand un autre ISP se dit qu'il va faire autrement pour des raisons de principe, il se heurte à des règles déjà bien établies ; le bilan de l'action en est d'autant plus mitigé. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
On 29 Jul 2010, at 15:37, Aurélien Beaujean wrote: Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans parce qu'il y a bien une raison... Salut, Si tu appliques les techniques de filtrage de mail en SORTIE de ton réseau/serveurs, tu peux découvrir les problèmes avant les receveurs et anticiper/éviter de te faire blacklister, mais ces outils ne se trouvent pas en OSS (faites moi signe autrement) et demandent de faire de l'intégration logicielle. Pour le grey listing, quand c'est fait par IP - ça ralenti normalement un mail et même pas toujours, car les systèmes laissent souvent passer le premier mail, pour les mails de confirmation venant de serveurs web, etc. Mes serveurs ont été blacklistes (et bien plus qu'une fois) et il y avait _toujours_ une raison, mes clients, un mot de passe SMTP AUTH compromis, etc. Si quelqu'un ne voit pas sa raison d'entrée sur une blackliste, c'est qu' il a besoin de surveiller plus ses équipements. Si tu ajoutes le problème des botnets qui n'est pas prêt de disparaitre; si quelqu'un pense que c'est dur maintenant, attendez encore 5 ans et on parlera des beaux jours de 2010. Je me souviens des discours au début du siècle ou on disait déjà que le mail était passé du service le plus simple a gérer au plus compliqué ! Mais le débat est stérile, SMTP est un protocole avec un gros problème mais personne ne veut le changer et ce n'est pas possible de le fixer. Les solutions simples sont impossibles : augmenter le prix du mail, ou passer comme pour l'IM en whiteliste mais personne ne le veut - c'est un problème social pas technique. Mes £0.02 ... Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
maawg ca n'a rien d'une causerie fraternelle entre acteurs de la messagerie, faut arreter de se mentir...maawg c'est fait pour faire du business, et accessoirement faire passer des vacances gratuites aux decisionaires de l'IT au frais de leur boite, sous couvert de working group. C. Le Thursday 29 July 2010 à 16:58, Jérôme Nicolle écrivait: J'aimerais juste que les gros acteurs du mail se mettent à causer de l'avenir du service plutôt que de camper sur des acquis problématiques... T'en fais pas, ils causent: http://www.maawg.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Parle pour toi ! Tu bosses pour un revendeur de solutions d'envoi de mails, de mémoire je n'ai pas souvent vu d'intervention de ce genre de membres dans les différents comités. Ce n'est pas le cas de la plupart des participants ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 29 juil. 2010 à 16:37, Aurélien Beaujean a écrit : Le Thursday 29 July 2010 à 16:31, Benjamin Billon écrivait: Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins 90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans iptables ou pourquoi pas sur les routeurs. Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans parce qu'il y a bien une raison... +1 Les RBL je les utilisent now qu'en poids pour SpamAssassin ou policyd-weight... Trop de faux positifs... Le gros pb c'est que les seuls qui étaient valable il y pas loin de 10 ans c'étais MAPS... Mais comme c'est devenu payant c'est devenu la foire... Résultat : c'est devenu inutilisable. /Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 29/07/2010 16:39, Jiw a écrit : Pourquoi un boulanger devrait avoir les mêmes outils qu'un pépinieriste ? troll Parce qu'en mode SaaS, c'est tout le monde avec le même environnement et ils font pas chier. /troll Et pourtant, j'ai toujours un C.A. de boulangerie ... Quoi, chuis en avance ? Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 29/07/2010 16:37, Aurélien Beaujean a écrit : Le Thursday 29 July 2010 à 16:31, Benjamin Billon écrivait: Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins 90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans iptables ou pourquoi pas sur les routeurs. Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans parce qu'il y a bien une raison... Ah, oui, un peu comme quand on se fait blacklisté par mx?.free.fr quand on a un SMTP sortant qui est coupé deux heures et qui repart un peu trop vite. Ou comme quand on fait de la vérification d'expéditeur ... Toussa toussa quoi. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Salut, Le 29 juil. 2010 à 18:26, Julien Escario a écrit : Le 29/07/2010 16:37, Aurélien Beaujean a écrit : Le Thursday 29 July 2010 à 16:31, Benjamin Billon écrivait: Les RBL sont là pour ça, et celles de spamhaus épurent déjà d'au moins 90% le trafic, à rejeter dès la connexion, ou parfois mieux, dans iptables ou pourquoi pas sur les routeurs. Vous tiendrez ce discours jusqu'au jour où vous aurez été listé dedans parce qu'il y a bien une raison... Ah, oui, un peu comme quand on se fait blacklisté par mx?.free.fr quand on a un SMTP sortant qui est coupé deux heures et qui repart un peu trop vite. J'ai mis une limitiation du nombre de mails/s a destination de mx?.free.fr (mais aussi online.net en passant)... Ou comme quand on fait de la vérification d'expéditeur ... Je fais plus... C'est trop lent, et les serpents qui se mordent la queue m'ont calmé. Sans compter les MTA qui n'acceptent plus comme sender valable... Trop d'abus... comme d'hab... J'ai même mis pas mal de temps avant de coller un antivirus sur mes MTA... je parles pas d'antispam... Ca fait que depuis 2003 que j'ai foutu ca... quand le rapport signal sur bruit augmente... :) Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Si tu appliques les techniques de filtrage de mail en SORTIE de ton réseau/serveurs, tu peux découvrir les problèmes avant les receveurs et anticiper/éviter de te faire blacklister, mais ces outils ne se trouvent pas en OSS (faites moi signe autrement) et demandent de faire de l'intégration logicielle. On peut retourner un outil comme MailCleaner (voir mon mail précédent). Et il peut alors effectuer le même boulot qu'en entrant (filtrage, drop, quarantaine, etc). Mais, face aux faux positifs and co, ça ne t'empêchera pas de faire du traitement manuel. Je suis d'accord ceci dit détecter du spam en sortie c'est plus facile que de le détecter en entrée. Et si tu bloques un client, au moins tu as une relation contractuelle avec l'émetteur et tu peux le contacter bien plus facilement - au pire tu cause un délai a l'émission ce qui est mieux de des bounces. Pour reparler réseau et offrir un nouvel usage a netflow : prêcher destination=mon église Dans mon gros monde utopique, il faut chercher a connaitre le profil des addresses IP émettrices de son réseau, par exemple : - client 1 envoie normalement deux mails par jour via le serveur SMP de son FAI, si il commence a faire de la résolution MX, il y a un problème : le cas classique des botnets - client 2 envoie des mails tous les jours via MX entre 08:00 et 18:00 et se met a en envoyer a 12:00 : encore un botnet :p - client 3 a son serveur de mail envoyant 50 mails par jours, et commence a envoyer 50 mails/minutes a Yahoo, MSN, etc. : le cas d'un mot de passe SMTPAUTH compromis, d'une machine derrière le même firewall NAT sous contrôle d'un botnet, etc. - client 4 envoie régulièrement des mails a un serveur et tout un coup commence a en envoyer des centaines, mais nul part ailleurs : surement une liste de diffusion legitime - client 5 envoie a vos serveurs SMTP des bounces : cela ne devrait pas arriver, encore un serveur exchange qui collecte les mails en POP et bounce les emails :) - client 6 envoie beaucoup de mails tout le temps mais aujourd'hui son rapport 5xx vs 2xx est vraiment mauvais, quelque chose cloche encore un fois Avec ces règles - et surement d'autres et du fine tuning, un FAI peut surement détecter la plupart des problèmes de spam. Dites moi si vous avez d'autres idées de règles. C'est ce que je dois finir avec mon projet anti-spam qui a été dormant durant plus d'un ans (cela va faire un an que je dis ça) ... Ceci dit ça marchait bien pour moi quand c'était en test sur mon reseau :) Cela me détectait des spams pour lesquels je ne recevait aucun rapport :) http://scavenger.exa.org.uk/ /prêcher Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
J'ai mis une limitiation du nombre de mails/s a destination de mx?.free.fr (mais aussi online.net en passant)... J'ai sans doute l'air super chiant avec mes bonnes pratiques à la con, mais oui, tous les FAI ont des règles différentes, et il faut toutes les respecter. Et quand celles-ci ne sont pas publiques, il faut les trouver par soi-même. Ou comme quand on fait de la vérification d'expéditeur ... Je fais plus... C'est trop lent, et les serpents qui se mordent la queue m'ont calmé. Sans compter les MTA qui n'acceptent plus comme sender valable... Le VRFY il faut oublier, c'est à ne _jamais_ faire. Par contre s'il est nécessaire de continuer la discussion, merci de le faire sur une autre liste (au hasard FRsaG). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
On Thu, 29 Jul 2010 16:41:05 +0200, Jérôme Nicolle jer...@ceriz.fr said: C'est précisément parce que la charge de stockage n'est pas naturellement à l'émetteur que le spam est aussi répandu. Donc oui, c'est l'expéditeur qui stocke. ce qui est greylisté. C'est normal, et ça devrait même être systématique. on s'en fout du flux, ça ne consomme qu'une BP ridicule par rapport à la vidéo. Ce qui compte c'est le coût de traitement et de stockage à la réception. Et GOTO t'aura updaté les signatures entre les deux vagues de réémission, donc le travail est fait. Quand tu envoies de l'email, tu vois pas les choses de meme facon. Et pour envoyer des e-mails en quantite il n'y a pas que les spammeurs (= gerants de botnet + clients) et les marketeurs (ESP+clients). Il y a aussi les FAI qui offrent une boite mail a leur abonnes, les FAI pro ou hebergeurs qui peuvent gerer des serveurs mail pour ZZZ entreprises a YYY salaries ou tout betement les hebergeurs d'emails (HotMail, Yahoo, Runbox, FastMail, .). Quand on est dans le milieu on se rend immediatement compte qu'envoyer plusieurs millions d'emails par jour c'est pas si deconnant que ca (nous/mon employeur avons depasse les 100 millions/jour *) et qu'en effet il y a des solutions les unes plus deconnantes et debiles que les autres, de deux cote (envoi et reception). 100M/jour en sortie, dont plus de 95% consideres comme envoyes (transaction SMTP finie avec succes, pas de bounce dans la semaine). -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
On Thu, 29 Jul 2010 16:54:00 +0200, Benjamin Billon bbil...@splio.fr said: On ne peut pas tout deviner et c'est bien malheureux, mais si un serveur mail est blacklisté est que le responsable (postmaster) ne voit pas pourquoi, il est sans doute temps d'externaliser le service (ou de changer de presta). Parfois on voit pourquoi, on ne peut rien faire (apart eventuellement payer pour etre de-blackliste), et externaliser le service apres un passage en inde (voir l'autre thread) ca marche pas trop. Changer de presta, pareil, tu ne peux pas le faire tous les quelques mois. Certains doivent se rappeler l'affaire SORBS + Wanadoo d'il y a quelques annees. Ou il y a quelques mois l'afaire Nerim + UCEProtect (la j'ai bien rigole). -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
On Thu, 29 Jul 2010 17:03:05 +0200, Aurélien Beaujean abeauj...@proxad.net said: Le Thursday 29 July 2010 à 16:58, Jérôme Nicolle écrivait: J'aimerais juste que les gros acteurs du mail se mettent à causer de l'avenir du service plutôt que de camper sur des acquis problématiques... T'en fais pas, ils causent: http://www.maawg.org/ Vaut mieux pas. L'idee institutionalise la-bas c'est que les envois doivent se faire uniquement entre les grands (cercle quasiment ferme), ce qui arrange certainement certains (dont ton employeur et le mien), mais c'est globalement mauvais. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
On Thu, 29 Jul 2010 19:39:28 +0200, Benjamin Billon bbil...@splio.fr said: Par contre s'il est nécessaire de continuer la discussion, merci de le faire sur une autre liste (au hasard FRsaG). Ceci etant dit, il y a une autre question qu'il faudra se poser : C'est quoi le SPAM ? Parce qu'on est arrive au point ou le spam c'est un e-mail qu'on a recu et qu'on aime pas = un spammeur = quelqu'un qui envoie beaucoup d'emails que beaucoup de gens aiment pas(*). Le bon-sens, l'opt-in (meme confirme), le concept de relation contractuelle ou les diverses definitions (UBE, UCE, ) ne veulent quasiment plus rien dire. (*) le troll pour demain -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
On Thu, 29 Jul 2010 20:41:44 +0200 Radu-Adrian Feurdean r...@ftml.net wrote: | On Thu, 29 Jul 2010 19:39:28 +0200, Benjamin Billon bbil...@splio.fr | said: | | Par contre s'il est nécessaire de continuer la discussion, merci de le | faire sur une autre liste (au hasard FRsaG). | | Ceci etant dit, il y a une autre question qu'il faudra se poser : C'est | quoi le SPAM ? J'suis sans doute un peu simple d'esprit mais: - si l'émetteur a acheté son fichier chez biduleProspect = spam - les mails medoc/montres/logiciels à prix cassé et autres = spam - les mails qui viennent d'une boite avec qui tu n'as pas de relation, que ce n'est pas quelqu'un que tu connais qui l'envoi et qui veut en plus te vendre des volets roulants = spam - les mails envoyés à des messages-id = spam - et j'en oublie... Dans 97% (à la louche) des cas, pas besoin de réfléchir plus d'1 seconde. Et par inférence les boites spécialisées (dont c'est le business) dans le routage de ces saloperies ou autres groupements du même acabit ben on les appelle des spammeurs. Et hop EOT. | (*) le troll pour demain Et m* j'ai marché dedans... Manuel -- __ Manuel Guesdon - OXYMIUM --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Marc Plunian wrote: Le 22/07/2010 22:19, Jeremie Le Hen a écrit : Salut, On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote: Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) +1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / de ressources etc ... On le couple avec des filtres additionnels ( RBL ) et un antispam ( SpamAssassin / amavis / dspam ) et on a une très bonne solution. Les produits open-source sont effectivement de bonne qualité, mais le problème est que la plupart du temps ils sont configurés avec leur règles par défaut. Personne n'ignore la professionnalisation du spam et il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel passera aux travers des mailles du filet. Je vous invite à lire ce billet de Chris Siebenmann [1]. Ca fait plusieurs années que je lis son blog et avant il parlait régulièrement de la façon dont il combattait le spam au sein de l'université dans laquelle il travaille. Et puis il a fini par arrêter. Je suis très motivés par l'open-source à tous les niveaux, mais je trouve que la lutte anti-spam est un domaine où le modèle commercial possède un avantage indéniable car il faut être capable d'investir beaucoup de temps sur le sujet mais également avoir accès à un retour d'expérience très large. Les constructeurs d'appliance et les services de messagerie comme Gmail ou Hotmail en sont de bons exemples. [1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame Tu le dis toi même les spammeurs se sont professionnalisés, donc en face il faut également des pros. Si tu ne maîtrises pas à fond les serveurs de messageries, les protocoles, les techniques de lutte antispam, ... et que tu penses arrêter les spam en tarouillant son spamassasin dans ton coin, c'est sur que comme Chris Siebermann tu vas vite te fatiguer, d'autant plus que Spamassasin n'est pas l'arme absolue. Cela ne remet pas en cause les produits antispam Open Source et les concepts de la lutte antispam, simplement il faut des gens compétents pour le mettre en œuvre. Les concepts de listes grises, d'utilisation de RBL, de réputation SPF, DKIM, sont accessibles à tous mais il faut y investir du temps. Je suis tout à fait d'accord avec ce qui vient d'etre dit, et je rajouterais qu'il n'existe à l'heure actuelle aucune solution anti spam Opensource qui marche correctement avec des volumetries de l'ordre de 10M mails/jour ...Si d'aventure vous voulez quand meme essayer, vous vous retrouvez alors tt de suite avec de gros bottlenecks et augmenter drastiquement le nombre de serveurs deviendra vite necessaire. Orange, par le biais d'Atos en a fait les frais...à trafic égal il leur fallait 6 fois plus de serveurs Postfix/SA qu'une archi full ironport par exemple. C'est un fait, les solutions de type SA ou dspam fonctionnent mais leur latence moyenne elevée (voir tres elevée ) par rapport à la concurence pro ( cloudmark , vaderetro, whatever...) les empeche de s'imposer en environement Opérateur. C. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Sauf qu'utiliser uniquement Dspam ou Spamassassin pour filter le SPAM c'est se tirer une balle dans le pied ... Il faut des filtres en amont car Dspam et Spamassassin sont très très gourmands et en effet ils demandent d'augmenter le nombre de serveurs de façon conséquente. On a, en place, un système basé sur des statistiques de pollution, si une IP pose problème à un moment donné, elle est remontée avec un warning et si celle-ci se manifeste de plus en plus tjs en erreur elle est bannie pendant un temps donné sur toute l'infra de mails, les whitelist sont aussi là pour laisser passer tout ce qui est bon et éviter de traiter ce qui n'est pas nécessaire de traiter ... Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer. C'est encore une fois une question d'architecture et de réflexion sur le système en place. Lilian. Le 23 juil. 2010 à 10:49, Clément Game a écrit : Marc Plunian wrote: Le 22/07/2010 22:19, Jeremie Le Hen a écrit : Salut, On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote: Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) +1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / de ressources etc ... On le couple avec des filtres additionnels ( RBL ) et un antispam ( SpamAssassin / amavis / dspam ) et on a une très bonne solution. Les produits open-source sont effectivement de bonne qualité, mais le problème est que la plupart du temps ils sont configurés avec leur règles par défaut. Personne n'ignore la professionnalisation du spam et il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel passera aux travers des mailles du filet. Je vous invite à lire ce billet de Chris Siebenmann [1]. Ca fait plusieurs années que je lis son blog et avant il parlait régulièrement de la façon dont il combattait le spam au sein de l'université dans laquelle il travaille. Et puis il a fini par arrêter. Je suis très motivés par l'open-source à tous les niveaux, mais je trouve que la lutte anti-spam est un domaine où le modèle commercial possède un avantage indéniable car il faut être capable d'investir beaucoup de temps sur le sujet mais également avoir accès à un retour d'expérience très large. Les constructeurs d'appliance et les services de messagerie comme Gmail ou Hotmail en sont de bons exemples. [1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame Tu le dis toi même les spammeurs se sont professionnalisés, donc en face il faut également des pros. Si tu ne maîtrises pas à fond les serveurs de messageries, les protocoles, les techniques de lutte antispam, ... et que tu penses arrêter les spam en tarouillant son spamassasin dans ton coin, c'est sur que comme Chris Siebermann tu vas vite te fatiguer, d'autant plus que Spamassasin n'est pas l'arme absolue. Cela ne remet pas en cause les produits antispam Open Source et les concepts de la lutte antispam, simplement il faut des gens compétents pour le mettre en œuvre. Les concepts de listes grises, d'utilisation de RBL, de réputation SPF, DKIM, sont accessibles à tous mais il faut y investir du temps. Je suis tout à fait d'accord avec ce qui vient d'etre dit, et je rajouterais qu'il n'existe à l'heure actuelle aucune solution anti spam Opensource qui marche correctement avec des volumetries de l'ordre de 10M mails/jour ...Si d'aventure vous voulez quand meme essayer, vous vous retrouvez alors tt de suite avec de gros bottlenecks et augmenter drastiquement le nombre de serveurs deviendra vite necessaire. Orange, par le biais d'Atos en a fait les frais...à trafic égal il leur fallait 6 fois plus de serveurs Postfix/SA qu'une archi full ironport par exemple. C'est un fait, les solutions de type SA ou dspam fonctionnent mais leur latence moyenne elevée (voir tres elevée ) par rapport à la concurence pro ( cloudmark , vaderetro, whatever...) les empeche de s'imposer en environement Opérateur. C. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le fait de faire du filtrage avant analyse de contenu releve d'une evidence. maintenant en benchmarking, sur des corpus identiques...les solution Antispam libres se font litteralement violer par les meilleures solutions pros, c'est tout. C. Lilian RIGARD - Devclic wrote: Sauf qu'utiliser uniquement Dspam ou Spamassassin pour filter le SPAM c'est se tirer une balle dans le pied ... Il faut des filtres en amont car Dspam et Spamassassin sont très très gourmands et en effet ils demandent d'augmenter le nombre de serveurs de façon conséquente On a, en place, un système basé sur des statistiques de pollution, si une IP pose problème à un moment donné, elle est remontée avec un warning et si celle-ci se manifeste de plus en plus tjs en erreur elle est bannie pendant un temps donné sur toute l'infra de mails, les whitelist sont aussi là pour laisser passer tout ce qui est bon et éviter de traiter ce qui n'est pas nécessaire de traiter ... Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer. C'est encore une fois une question d'architecture et de réflexion sur le système en place. Lilian. Le 23 juil. 2010 à 10:49, Clément Game a écrit : Marc Plunian wrote: Le 22/07/2010 22:19, Jeremie Le Hen a écrit : Salut, On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote: Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) +1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / de ressources etc ... On le couple avec des filtres additionnels ( RBL ) et un antispam ( SpamAssassin / amavis / dspam ) et on a une très bonne solution. Les produits open-source sont effectivement de bonne qualité, mais le problème est que la plupart du temps ils sont configurés avec leur règles par défaut. Personne n'ignore la professionnalisation du spam et il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel passera aux travers des mailles du filet. Je vous invite à lire ce billet de Chris Siebenmann [1]. Ca fait plusieurs années que je lis son blog et avant il parlait régulièrement de la façon dont il combattait le spam au sein de l'université dans laquelle il travaille. Et puis il a fini par arrêter. Je suis très motivés par l'open-source à tous les niveaux, mais je trouve que la lutte anti-spam est un domaine où le modèle commercial possède un avantage indéniable car il faut être capable d'investir beaucoup de temps sur le sujet mais également avoir accès à un retour d'expérience très large. Les constructeurs d'appliance et les services de messagerie comme Gmail ou Hotmail en sont de bons exemples. [1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame Tu le dis toi même les spammeurs se sont professionnalisés, donc en face il faut également des pros. Si tu ne maîtrises pas à fond les serveurs de messageries, les protocoles, les techniques de lutte antispam, ... et que tu penses arrêter les spam en tarouillant son spamassasin dans ton coin, c'est sur que comme Chris Siebermann tu vas vite te fatiguer, d'autant plus que Spamassasin n'est pas l'arme absolue. Cela ne remet pas en cause les produits antispam Open Source et les concepts de la lutte antispam, simplement il faut des gens compétents pour le mettre en œuvre. Les concepts de listes grises, d'utilisation de RBL, de réputation SPF, DKIM, sont accessibles à tous mais il faut y investir du temps. Je suis tout à fait d'accord avec ce qui vient d'etre dit, et je rajouterais qu'il n'existe à l'heure actuelle aucune solution anti spam Opensource qui marche correctement avec des volumetries de l'ordre de 10M mails/jour ...Si d'aventure vous voulez quand meme essayer, vous vous retrouvez alors tt de suite avec de gros bottlenecks et augmenter drastiquement le nombre de serveurs deviendra vite necessaire. Orange, par le biais d'Atos en a fait les frais...à trafic égal il leur fallait 6 fois plus de serveurs Postfix/SA qu'une archi full ironport par exemple. C'est un fait, les solutions de type SA ou dspam fonctionnent mais leur latence moyenne elevée (voir tres elevée ) par rapport à la concurence pro ( cloudmark , vaderetro, whatever...) les empeche de s'imposer en environement Opérateur. C. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit : Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer. C'est encore une fois une question d'architecture et de réflexion sur le système en place. Oui, il n'est pas envisageable de pouvoir absorber une charge importante si chaque message doit passer par des analyses de contenu (filtres bayésiens, OCR sur les images, etc.). Pour les grosses volumétries, deux aspects essentiels : 1) Il faut détecter les courriers indésirables pendant la session SMTP pour refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le problème de la patate chaude. Cf. http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais toujours d'actualité). J'aime bien embarrasser les files d'attente des hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang (déjà cité dans ce fil) est l'idéal. 2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un message. En fait, la plus grosse partie des messages indésirables doivent être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les anti-virus de nos relais de messagerie détectent très peu de virus car ils sont interceptés avant d'arriver à l'anti-virus. En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de gamme d'il y a 3 ans. Bon WE à tous, -- Sébastien Namèche Société Netensia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Pareil ici, Postfix est très bon comme mx et scanner pour ça (mais les fan de Exim diront la même chose) entre les fonctions en dur et l'utilisation d'un daemon externe, c' est très flexible. http://www.postfix.org/SMTPD_POLICY_README.html http://www.policyd.org/ MX - postfix + policy daemon SCANNER - postfix + Amavis + Clamav + SpamAssasin + FuzzyOCR + ... Thomas On 23 Jul 2010, at 13:35, Sébastien Namèche wrote: Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit : Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer. C'est encore une fois une question d'architecture et de réflexion sur le système en place. Oui, il n'est pas envisageable de pouvoir absorber une charge importante si chaque message doit passer par des analyses de contenu (filtres bayésiens, OCR sur les images, etc.). Pour les grosses volumétries, deux aspects essentiels : 1) Il faut détecter les courriers indésirables pendant la session SMTP pour refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le problème de la patate chaude. Cf. http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais toujours d'actualité). J'aime bien embarrasser les files d'attente des hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang (déjà cité dans ce fil) est l'idéal. 2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un message. En fait, la plus grosse partie des messages indésirables doivent être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les anti-virus de nos relais de messagerie détectent très peu de virus car ils sont interceptés avant d'arriver à l'anti-virus. En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de gamme d'il y a 3 ans. Bon WE à tous, -- Sébastien Namèche Société Netensia --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Bonjour, Je gère plusieurs relais de messagerie sous Postfix/Amavis/ClamAV/SA. Les deux plus gros ont un trafic journalier de 5,2 millions de connexions SMTP Le serveur ne peut pas traiter tous ces messages!!! Il en rejette à la connexion 5,1 millions, pour à peine 20 000 messages scannés par jours. Pour certains domaines, la liste des BAL est nécessaire, sinon le serveur ne tient pas. J'utilise les restrictions intégrés à Postfix, la liste des BAL de certains domaines, les Greylists puis Amavis combiné à ClamAV et SA (en fonction des domaines à filtrés ou non). Ça fonctionne pas mal, mais si les Greylists sont trop utilisées, le serveur peut être DOWN chaque nuit pendant le traitement de la BDD de postgrey (je suis monté à 3millions d'entrées dans la BDD et avec la liste des BAL d'un seul domaine, je suis retombé à 300 000). Bon weekend, Maxime Teissèdre. Le 23 juillet 2010 14:35, Sébastien Namèche sebastien.name...@netensia.fra écrit : Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit : Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer. C'est encore une fois une question d'architecture et de réflexion sur le système en place. Oui, il n'est pas envisageable de pouvoir absorber une charge importante si chaque message doit passer par des analyses de contenu (filtres bayésiens, OCR sur les images, etc.). Pour les grosses volumétries, deux aspects essentiels : 1) Il faut détecter les courriers indésirables pendant la session SMTP pour refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le problème de la patate chaude. Cf. http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais toujours d'actualité). J'aime bien embarrasser les files d'attente des hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang (déjà cité dans ce fil) est l'idéal. 2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un message. En fait, la plus grosse partie des messages indésirables doivent être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les anti-virus de nos relais de messagerie détectent très peu de virus car ils sont interceptés avant d'arriver à l'anti-virus. En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de gamme d'il y a 3 ans. Bon WE à tous, -- Sébastien Namèche Société Netensia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Ouep même config que toi Maxime en moins couillus certe sur le nombre de mail traite mais par contre plus d'une quarantaine de serveurs sur cette conf sans aucun soucis ! Juste Clamav qui se bloque de temps en temps un petit stop/start et ça repart, sur deux serveurs j'ai eu des soucis de maj de clamav ! Patrice Trognon http://www.boxadmin.com 09.50.15.77.80 06.21.09.36.94 Le 23 juil. 2010 à 15:59, Maxime Teissèdre maxime.teisse...@gmail.com a écrit : Bonjour, Je gère plusieurs relais de messagerie sous Postfix/Amavis/ClamAV/SA. Les deux plus gros ont un trafic journalier de 5,2 millions de connexions SMTP Le serveur ne peut pas traiter tous ces messages!!! Il en rejette à la connexion 5,1 millions, pour à peine 20 000 messages scannés par jours. Pour certains domaines, la liste des BAL est nécessaire, sinon le serveur ne tient pas. J'utilise les restrictions intégrés à Postfix, la liste des BAL de certains domaines, les Greylists puis Amavis combiné à ClamAV et SA (en fonction des domaines à filtrés ou non). Ça fonctionne pas mal, mais si les Greylists sont trop utilisées, le serveur peut être DOWN chaque nuit pendant le traitement de la BDD de postgrey (je suis monté à 3millions d'entrées dans la BDD et avec la liste des BAL d'un seul domaine, je suis retombé à 300 000). Bon weekend, Maxime Teissèdre. Le 23 juillet 2010 14:35, Sébastien Namèche sebastien.name...@netensia.fr a écrit : Le 23 juil. 2010 à 13:16, Lilian RIGARD - Devclic a écrit : Plus le filtrage est fait en amont moins on a besoin de filtrer derrière : à mon sens Dspam et Spamassassin ne doivent analyser que les mails des utilisateurs utilisant des comptes Yahoo, Gmail etc ... pour spammer. C'est encore une fois une question d'architecture et de réflexion sur le système en place. Oui, il n'est pas envisageable de pouvoir absorber une charge importante si chaque message doit passer par des analyses de contenu (filtres bayésiens, OCR sur les images, etc.). Pour les grosses volumétries, deux aspects essentiels : 1) Il faut détecter les courriers indésirables pendant la session SMTP pour refuser de les prendre en charge à ce moment là. C'est ce que j'appelle le problème de la patate chaude. Cf. http://clx.anet.fr/spip/article.php3?id_article=238 (c'est un peu ancien mais toujours d'actualité). J'aime bien embarrasser les files d'attente des hébergeurs peu scrupuleux ou peu consciencieux. Un produit tel que MIMEDefang (déjà cité dans ce fil) est l'idéal. 2) Il faut épuiser tous les tests possibles (DNSBL, listes grises, SPF, DKIM, conformance, etc.) avant de se résoudre à regarder le contenu d'un message. En fait, la plus grosse partie des messages indésirables doivent être repérés avant la phase DATA de la sessions SMTP. Ainsi, par exemple, les anti-virus de nos relais de messagerie détectent très peu de virus car ils sont interceptés avant d'arriver à l'anti-virus. En se basant sur ces principes, nous avons des cas où nous arrivons à traiter 1 million de sessions SMTP entrantes par jour sur un simple Dell d'entrée de gamme d'il y a 3 ans. Bon WE à tous, -- Sébastien Namèche Société Netensia --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
'jour, On Fri, Jul 23, 2010 at 03:59:20PM +0200, Maxime Teissèdre wrote: […] J'utilise les restrictions intégrés à Postfix, la liste des BAL de certains domaines, les Greylists puis Amavis combiné à ClamAV et SA (en fonction des domaines à filtrés ou non). […] Idem. On (info)gère pas mal de serveurs de mail, et les solutions Open Source n'ont vraiment pas à rougir. Évidemment il faut filtrer un maximum en amont avec - ce que j'appelle - les filtres de 1er niveau qui tentent de zapper les mails selon plein de critères (récap' sur http://mx.evolix.net/ ). Pour le greylisting... c'est génial si l'on peut... mais quasiment aucun de nos clients ne le tolère ! Du coup, on fait du pseudo-greylisting (on greyliste si RBL, reverse DNS incohérent, etc.). Ensuite, pour les quelques % de mails qui sont passés au travers, on a les filtres de 2e niveau très coûteux en ressources : SpamAssassin, Bogofilter, Amavis, ClamAV, en personnalisant tout cela (règles sur mesure, auto-apprentissage via listes blanches, etc.). De plus, en permettant aux utilisateurs de choisir leurs paramètres (activation ou non de l'antispam, choix de la sévérité, etc.), on aboutit à quelques choses d'assez fiable. On a ça chez pas mal de clients, et pas besoin de matériel de fou pour le faire tourner. c...@+ -- Gregory Colpart r...@evolix.fr GnuPG:1024D/C1027A0E Evolix - Informatique et Logiciels Libres http://www.evolix.fr/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) a+
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
+1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / de ressources etc ... On le couple avec des filtres additionnels ( RBL ) et un antispam ( SpamAssassin / amavis / dspam ) et on a une très bonne solution. Le 22 juil. 2010 à 15:55, Bedis 9 a écrit : Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) a+
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 22/07/2010 15:30, Jérôme Quintard | ACTISENS a écrit : Salut à tous, A titre d'information, utilisez-vous des appliances du type antispam/antivirus et si oui quel retour avez-vous au niveau : - efficacité, - fiabilité au niveau soft/hardware des boîtiers, - facilité d'usage pour l'utilisateur final, - flexibilité d'administration, - etc. On n'utilise pas leur appliance (on installe sur nos propres serveurs), mais on est très contents de la solution CanitDB de roaring Penguin pour l'antispam. C'est basé sur des briques libres (ils sont notamment les auteurs de mimedefang pour ceux qui connaissent). Le seul défaut est un petit manque de flexibilité pour les virus, c'est un peu du tout ou rien à coup de clamav A+ -- Clément Hermann
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
j'utilise une applicance proofpoint , ça fonctionne plutôt pas mal et étant donnée le peu de temps que j'ai à accorder à la gestion du spam je dirais que ça réalise parfaitement la tache que je lui demande même si le gui est un peu bordélique à mon gout sinon il y a une boite qui à une distrib toute faite basé sur de l'open source , avec une web interface simple, c'est spamtitan ^^ -- Arnaud Landry On 22 Jul 2010, at 16:10, Lilian RIGARD - Devclic wrote: +1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / de ressources etc ... On le couple avec des filtres additionnels ( RBL ) et un antispam ( SpamAssassin / amavis / dspam ) et on a une très bonne solution. Le 22 juil. 2010 à 15:55, Bedis 9 a écrit : Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) a+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, La ou je travail nous installons des solutions MailInBlack et Astaro. Le MailInBlack : Il est basé sur un systéme de challenge/response, les emmeteurs reçoivent un mail leur demandant d'aller remplir un(e ?) CAPTCHA lors du premier envoi. Il n'y a donc pas de faux negatif par contre des faux positifs, les gens ne jouant pas forcément le jeu du(e la ?) captcha. Mais les utilisateurs ont chacun un accés à un espace web leur permettant en temps reel de gérer les mails bloqués. De plus ils peuvent recevoir de 1 à 3 rapports par jour. Niveau fiabilité, la version serveur hard tourne sur de l'ibm, sinon une version vmware existe. Une option HA est disponible. Niveau Administration, pas grand chose à faire, il se base sur un annuaire ldap, le petit défaut étant qu'il n'est pas trés simple de suivre un mail intégralement (plusieurs menu + besoin de lire les logs en ssh) L'Astaro Mail Gateway : Il est basé sur Commtouch, un hash des mail est comparé à une base de donnée chez Commtouch. Il y a donc parfois du faux négatif mais moins de faux positifs. Je dirai qu'il y a au moins 95% de bon traitements. Même principe , les utilisateurs ont accés à une interface web de gestion de leurs mails bloqués. De plus ils peuvent reçevoir un à deux rapports par jours. Une gestion des compte pop existe aussi. Niveau fiabilité, la version hardware tourne soit sur de l'assemblé pour/par Astaro, soit sur un serveur au choix (voir la harware compiliance liste) soit en vmware, une option HA existe aussi. Niveau Administration pas grand chose à faire non plus, gestion de base ldap aussi, le suivi des mails est quand même bien plus simple. Les deux produites disposent d'antivirus (Deux sur l'astaro) Cordialement Le 22/07/2010 15:30, Jérôme Quintard | ACTISENS a écrit : Salut à tous, A titre d’information, utilisez-vous des appliances du type antispam/antivirus et si oui quel retour avez-vous au niveau : - efficacité, - fiabilité au niveau soft/hardware des boîtiers, - facilité d’usage pour l’utilisateur final, - flexibilité d’administration, - etc. Jérôme Actisens http://www.actisens.com *Jérôme Quintard* Responsable Informatique Ligne directe: 05 49 49 49 52 http://www.actisens.com *8, rue Evariste Galois 86130 Jaunay-Clan • Tél. : 05 49 49 49 50 • Fax : 05 49 49 46 48*** -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEARECAAYFAkxIVhsACgkQX2fgdNmOrZCHSgCdGfGVpbHVW+DRzeOpZmTrkq3L xRMAn0by0NlgmnUcuHaU0Xv92pSFXNUX =gSuL -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 22/07/2010 16:30, BRET Wilfried a écrit : Le MailInBlack : Il est basé sur un systéme de challenge/response, les emmeteurs reçoivent un mail leur demandant d'aller remplir un(e ?) CAPTCHA lors du premier envoi. Il n'y a donc pas de faux negatif par contre des faux positifs, les gens ne jouant pas forcément le jeu du(e la ?) captcha. Intéressant mais je crains que le taux approche 90 % !!! Et plus cette solution se répandra, plus les gens en auront marre de remplir des captchas à chaque email envoyé, et le taux augmentera encore... Cordialement, -- Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 22 juil. 2010 à 10:30, BRET Wilfried a écrit : Le MailInBlack : Il est basé sur un systéme de challenge/response, les emmeteurs reçoivent un mail leur demandant d'aller remplir un(e ?) CAPTCHA lors du premier envoi. chez nous, mailinblack est blacklisté directement. dès qu'on vois que tu cherche le challenge/reponse, on te bl avec un beau ``554-go away'' pendant un moment, on avait mis en place un robot qui envoyait un fax avec un captcha pour valider le fait que tu ai envoyé un challenge/réponse. -- Yann-Guirec Manac'h y...@ibexdelta.net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 22/07/10, BRET Wilfriedkneis...@free.fr a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, La ou je travail nous installons des solutions MailInBlack et Astaro. Le MailInBlack : Il est basé sur un systéme de challenge/response, les emmeteurs reçoivent un mail leur demandant d'aller remplir un(e ?) CAPTCHA lors du premier envoi. Heu.. tu le détermines comment l'émetteur (le vrai) du courrier? Une des caractéristiques du spam c'est justement d'avoir très souvent des adresses d'émission usurpées, identiques à celle du destinataire, inexistantes.. -- Rémi --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
En fait si je pose la question c'est que l'on a pas mal de problèmes avec nos appliances Vadéretro Mailcube en terme de fiabilité (au niveau soft principalement) et une efficacité en deçà de nos précédences solutions (basées ne serait-ce que sur spam assassin, forefront security for exchange ou encore les différents modules du serveur altn mdaemon). En 4 mois, 4 coupures d'un total d'une dizaine d'heures contre 4 coupures d'un total de 1h pour les 8 années précédentes... Aujourd'hui on se pose vraiment la question de savoir si on est seul au monde dans cette problématique ou si tout au contraire d'autres ont le même soucis... sachant que des milliers d'euros plus tard on trouve que le seul intérêt c'est une gestion par utilisateur de la quarantaine Jerome Jérôme Quintard Responsable Informatique Ligne directe: 05 49 49 49 52 8, rue Evariste Galois 86130 Jaunay-Clan * Tél. : 05 49 49 49 50 * Fax : 05 49 49 46 48 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le 22/07/2010 17:08, Olivier Bonvalet a écrit : Le 22/07/2010 16:59, Yann-Guirec Manac'h a écrit : Le 22 juil. 2010 à 10:30, BRET Wilfried a écrit : Le MailInBlack : Il est basé sur un systéme de challenge/response, les emmeteurs reçoivent un mail leur demandant d'aller remplir un(e ?) CAPTCHA lors du premier envoi. chez nous, mailinblack est blacklisté directement. dès qu'on vois que tu cherche le challenge/reponse, on te bl avec un beau ``554-go away'' pendant un moment, on avait mis en place un robot qui envoyait un fax avec un captcha pour valider le fait que tu ai envoyé un challenge/réponse. Je n'en suis pas encore au point de les blacklister, mais je déteste ce système. A mon avis les clients de ce genre de truc perdent énormément d'emails légitimes. Les trois rapports par jour envoyé aux destinataires sont justement la pour ne pas perdre d'emails légitimes. En tous cas il n'y a vraiment aucune chance que j'aille confirmer mon envoi sur leur outil. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEARECAAYFAkxIajcACgkQX2fgdNmOrZC51gCeOgODGmcthizOVwbUkfnO18qj CQgAnj8CB6z7HEWG/DSkhvOWMI8Lm1Wg =htI+ -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le 22/07/2010 17:20, Rémi Bouhl a écrit : Le 22/07/10, BRET Wilfriedkneis...@free.fr a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, La ou je travail nous installons des solutions MailInBlack et Astaro. Le MailInBlack : Il est basé sur un systéme de challenge/response, les emmeteurs reçoivent un mail leur demandant d'aller remplir un(e ?) CAPTCHA lors du premier envoi. Heu.. tu le détermines comment l'émetteur (le vrai) du courrier? Une des caractéristiques du spam c'est justement d'avoir très souvent des adresses d'émission usurpées, identiques à celle du destinataire, inexistantes.. Il y a aussi des vérifications du from (spf/dkim/rbl/...) Tout comme il y a une limite d'envoi de challenge (configurable) Le to est plus simple si on utilise du ldap, en effet si l'adresse n'est pas dans le ldap elle est refusée. -- Rémi -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEARECAAYFAkxIa9QACgkQX2fgdNmOrZBDiwCgoWTK7cbHmg2dtegYM5tksM+0 wo4An2zXGqrAX1AXCK0hJE+ERb4jqZXp =Tx0c -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Je n'en suis pas encore au point de les blacklister, mais je déteste ce système. A mon avis les clients de ce genre de truc perdent énormément d'emails légitimes. En tous cas il n'y a vraiment aucune chance que j'aille confirmer mon envoi sur leur outil. Un énorme reproche que l'on puisse faire à MIB est qu'au lieu de luter contre l'envoi d'emails indésirables, ce système en génère un supplémentaire pour tout mail envoyé par un expéditeur inconnu, ajoutant encore du trafic mail là où il y en a déjà trop, alors qu'on se fatigue déjà à éduquer les postmasters pour qu'ils corrigent leurs backscatters et autres bounces asynchrones ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Pour compléter le poste d'Arnaud, à l'époque quand on avait choisi la solution, on avait écarté les solutions de Barracuda dont le taux de détection de spam était ridicule (et ce malgré le fait que l'interface web était vraiment très intuitive). Sinon les appliances de Symantec fonctionnaient bien, mais à l'inverse leur interface d'admin était très compliquée. Enfin le gros avantage de proofpoint c'est le système d'envoi de mail quotidien de quarantaine aux utilisateurs, qui dégage un temps non négligeable à l'IT :) Regards, Nicolas. On 22 juil. 2010, at 16:27, Arnaud Landry arnaud.lan...@me.com wrote: j'utilise une applicance proofpoint , ça fonctionne plutôt pas mal et étant donnée le peu de temps que j'ai à accorder à la gestion du spam je dirais que ça réalise parfaitement la tache que je lui demande même si le gui est un peu bordélique à mon gout sinon il y a une boite qui à une distrib toute faite basé sur de l'open source , avec une web interface simple, c'est spamtitan ^^ -- Arnaud Landry On 22 Jul 2010, at 16:10, Lilian RIGARD - Devclic wrote: +1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / de ressources etc ... On le couple avec des filtres additionnels ( RBL ) et un antispam ( SpamAssassin / amavis / dspam ) et on a une très bonne solution. Le 22 juil. 2010 à 15:55, Bedis 9 a écrit : Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Salut, On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote: Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) +1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / de ressources etc ... On le couple avec des filtres additionnels ( RBL ) et un antispam ( SpamAssassin / amavis / dspam ) et on a une très bonne solution. Les produits open-source sont effectivement de bonne qualité, mais le problème est que la plupart du temps ils sont configurés avec leur règles par défaut. Personne n'ignore la professionnalisation du spam et il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel passera aux travers des mailles du filet. Je vous invite à lire ce billet de Chris Siebenmann [1]. Ca fait plusieurs années que je lis son blog et avant il parlait régulièrement de la façon dont il combattait le spam au sein de l'université dans laquelle il travaille. Et puis il a fini par arrêter. Je suis très motivés par l'open-source à tous les niveaux, mais je trouve que la lutte anti-spam est un domaine où le modèle commercial possède un avantage indéniable car il faut être capable d'investir beaucoup de temps sur le sujet mais également avoir accès à un retour d'expérience très large. Les constructeurs d'appliance et les services de messagerie comme Gmail ou Hotmail en sont de bons exemples. [1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame -- Jeremie Le Hen Humans are born free and equal. But some are more equal than others. Coluche --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Antispam : vaderetro, ironport, proofpoint... vos avis.
Le 22/07/2010 22:19, Jeremie Le Hen a écrit : Salut, On Thu, Jul 22, 2010 at 04:10:29PM +0200, Lilian RIGARD - Devclic wrote: Reste que pour ce genre de tache l'open source a tout ce qu'il faut. Une petit OpenBSD avec un spamd out of the box, c'est pas cher et ça marche bien :) +1 avec cette solution : le tarpitting permet d'économiser pas mal d'argent / de ressources etc ... On le couple avec des filtres additionnels ( RBL ) et un antispam ( SpamAssassin / amavis / dspam ) et on a une très bonne solution. Les produits open-source sont effectivement de bonne qualité, mais le problème est que la plupart du temps ils sont configurés avec leur règles par défaut. Personne n'ignore la professionnalisation du spam et il suffit aux rédacteurs d'en installer sur pour tester si leur pourriel passera aux travers des mailles du filet. Je vous invite à lire ce billet de Chris Siebenmann [1]. Ca fait plusieurs années que je lis son blog et avant il parlait régulièrement de la façon dont il combattait le spam au sein de l'université dans laquelle il travaille. Et puis il a fini par arrêter. Je suis très motivés par l'open-source à tous les niveaux, mais je trouve que la lutte anti-spam est un domaine où le modèle commercial possède un avantage indéniable car il faut être capable d'investir beaucoup de temps sur le sujet mais également avoir accès à un retour d'expérience très large. Les constructeurs d'appliance et les services de messagerie comme Gmail ou Hotmail en sont de bons exemples. [1] http://utcc.utoronto.ca/~cks/space/blog/spam/OutOfTheSpamGame Tu le dis toi même les spammeurs se sont professionnalisés, donc en face il faut également des pros. Si tu ne maîtrises pas à fond les serveurs de messageries, les protocoles, les techniques de lutte antispam, ... et que tu penses arrêter les spam en tarouillant son spamassasin dans ton coin, c'est sur que comme Chris Siebermann tu vas vite te fatiguer, d'autant plus que Spamassasin n'est pas l'arme absolue. Cela ne remet pas en cause les produits antispam Open Source et les concepts de la lutte antispam, simplement il faut des gens compétents pour le mettre en œuvre. Les concepts de listes grises, d'utilisation de RBL, de réputation SPF, DKIM, sont accessibles à tous mais il faut y investir du temps. -- Marc Plunian Responsable clientèle Mob : 06.50.18.65.41 Bur : 02.97.68.92.03 marc.plun...@netensia.fr Solution anti-spam et anti-virus : antispam.netensia.fr Site dédié à l'hébergement : hebergement.netensia.fr Site web de Netensia : www.netensia.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
