Bonjour à tous,
Je possède un serveur SME 7.3 serveur de messagerie uniquement.
Je suis victime de spoofing sur 2 adresses qui reçoivent environs 12000 mail pas jour du style: Delivery Status Notification (Failure) d'adresse du monde entier.
Je suis certain que ces messages ne partent pas d'une machine de mon réseau. (la preuve en est que ces messages arrivent même quand toutes mes machines sont arrêtées comme le week end par exemple)
L'antispam de SME met ces messages de cotés automatiquement. Mais du coup mon serveur est occupé à faire cela et devient de plus en plus lent.
J'ai fait une Blacklist pour contrer le problème mais celui ci s'amplifie de jour en jour.
Quelles solutions pour contrer ce problème ?
1) Supprimer les adresses en question (si je peux éviter c'est mieux) ?
2) Mettre en amont un antispam sur mon Routeur Firewall ?
3) ......
Merci à tous pour vos conseils éclairés
Spoofing -> quelles solutions ?
Modérateur: modos Ixus
2 messages
• Page 1 sur 1
Spoofing -> quelles solutions ?
par cible98 » 02 Nov 2008 21:56
- cible98
- Quartier Maître
- Messages: 13
- Inscrit le: 09 Oct 2008 11:11
par ccnet » 03 Nov 2008 00:28
Je ne sais pas combien de boites mail vous gérez avec SME. 12 000 mails cela ne fait qu'un toutes les 7 secondes environ. Ce qui n'est pas énorme. Lorsque l'on a son propre serveur de mails en première ligne sur internet, c'est le genre de chose à laquelle il faut s'attendre. Et s'équiper en conséquence en terme d'architecture. A partir de là, deux possibilités à mon avis.
Premier cas, vous avez moins de 20 ou 30 boites mail, alors l'hébergement de ces boites chez le FAI est une bonne solution et SME (ou un autre) fait de la récupération pop3. Le FAI lui est équipé pour faire face et il sait très probablement éviter ce qui vous arrive.
Deuxième cas, vous devez pour une raison quelconque, avoir un serveur de mail chez vous. Alors il faut une architecture adaptée et des moyens de défense en conséquence.
La solution 1 n'en est pas une et je vous comprend.
La solution 2 non plus et votre message comporte la réponse à la question pourquoi ?
Un firewall n'est pas le lieu où réaliser ce travail. Je m'en suis déjà expliqué sur les différents forums plus d'une fois. Bref je vos le déconseille formellement.
Reste la solution 3. Elle passe par une évolution éventuelle de l'architecture, c'est à dire la présence d'un relais smtp en DMZ pour faire ce travail et ne transmettre à SME que du courrier propre. Si à certain moment le relais est un peu chargé vos utilisateur n'en souffrirons pas et il y faudrat quelques secondes ou minutes (je n'y crois pas) de plus pour délivrer les mails. Personne ne s'en apercevra. Un PIII 800 avec 512 Mo ou 1 Go de ram avalera au moins 50 000 mails/jours sans broncher.
Le problème de SME pour la messagerie c'est l'utilisation de Qmail et l'absence de moyen ergonomique pour gérer les contrôles d'accès. Et pour être tout à fait honnête je préfère Postfix à Qmail dans ce type de situation. Avec Postfix on peut être très efficace. Voilà comment on lutte contre le backscatter avec Postfix : http://www.postfix.org/BACKSCATTER_README.html
En utilisant par exemple ClackConnect vous aurez un Postfix avec tout ce qu'il faut d'intégré pour décharger d'autant votre SME et vous pourrez configurer votre Postfix pour qu'il lutte efficacement contre le spam.
Avec une configuration de ce type bien configurée, je rejette 30% des connexions entrantes avant même que les spammeurs arrivent jusqu'à la commande DATA de la transaction SMTP. Et surtout avant que spamassassin ne commence à traiter les mails car c'est lui qui consomme le maximum de ressources mémoire et cpu.
Premier cas, vous avez moins de 20 ou 30 boites mail, alors l'hébergement de ces boites chez le FAI est une bonne solution et SME (ou un autre) fait de la récupération pop3. Le FAI lui est équipé pour faire face et il sait très probablement éviter ce qui vous arrive.
Deuxième cas, vous devez pour une raison quelconque, avoir un serveur de mail chez vous. Alors il faut une architecture adaptée et des moyens de défense en conséquence.
1) Supprimer les adresses en question (si je peux éviter c'est mieux) ?
2) Mettre en amont un antispam sur mon Routeur Firewall ?
3) ......
La solution 1 n'en est pas une et je vous comprend.
La solution 2 non plus et votre message comporte la réponse à la question pourquoi ?
Mais du coup mon serveur est occupé à faire cela et devient de plus en plus lent.
Un firewall n'est pas le lieu où réaliser ce travail. Je m'en suis déjà expliqué sur les différents forums plus d'une fois. Bref je vos le déconseille formellement.
Reste la solution 3. Elle passe par une évolution éventuelle de l'architecture, c'est à dire la présence d'un relais smtp en DMZ pour faire ce travail et ne transmettre à SME que du courrier propre. Si à certain moment le relais est un peu chargé vos utilisateur n'en souffrirons pas et il y faudrat quelques secondes ou minutes (je n'y crois pas) de plus pour délivrer les mails. Personne ne s'en apercevra. Un PIII 800 avec 512 Mo ou 1 Go de ram avalera au moins 50 000 mails/jours sans broncher.
Le problème de SME pour la messagerie c'est l'utilisation de Qmail et l'absence de moyen ergonomique pour gérer les contrôles d'accès. Et pour être tout à fait honnête je préfère Postfix à Qmail dans ce type de situation. Avec Postfix on peut être très efficace. Voilà comment on lutte contre le backscatter avec Postfix : http://www.postfix.org/BACKSCATTER_README.html
En utilisant par exemple ClackConnect vous aurez un Postfix avec tout ce qu'il faut d'intégré pour décharger d'autant votre SME et vous pourrez configurer votre Postfix pour qu'il lutte efficacement contre le spam.
Avec une configuration de ce type bien configurée, je rejette 30% des connexions entrantes avant même que les spammeurs arrivent jusqu'à la commande DATA de la transaction SMTP. Et surtout avant que spamassassin ne commence à traiter les mails car c'est lui qui consomme le maximum de ressources mémoire et cpu.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
2 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité