Black et White listing

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Black et White listing

Messagepar jibe » 29 Fév 2008 12:55

Salut,

Je me pose des questions sur les wbl de SME : j'aimerais pouvoir éliminer totalement tout courrier qui n'est pas destiné à un utilisateur connu. Y a-t-il un moyen ?

Est-ce que les règles sont prises dans l'ordre (et si oui, comment éventuellement changer l'ordre ?) ? Un truc dans le genre pourrait fonctionner :
Code: Tout sélectionner
db spamassassin setprop wbl.global user1@mondomaine.tld White
db spamassassin setprop wbl.global user2@mondomaine.tld White
...
db spamassassin setprop wbl.global usern@mondomaine.tld White
db spamassassin setprop wbl.global *@mondomaine.tld Black

Et comment cela se comporterait-il avec le mail interne et les domaines virtuels ?

Autre question : est-il possible d'avoir une Black list en sortie (c'est à ça que sert wbl.global_to ?) ? Ce serait bien pour éviter les envois de spam par une machine W$ infectée si on pouvait limiter les mails émis par ceux dont l'adresse est celle d'un utilisateur du domaine...
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar ccnet » 29 Fév 2008 13:46

Je me pose des questions sur les wbl de SME : j'aimerais pouvoir éliminer totalement tout courrier qui n'est pas destiné à un utilisateur connu. Y a-t-il un moyen ?

SME utilise qmail que j'ai abandonné. Sur le principe et en relayage SMTP, mais avec Postfix (ClarkConnect 4.1), j'utilise LDAP pour vérifier sur le serveur de destination l'existence du destinataire final. Si il n'existe pas le mail est rejeté par la passerelle.

Il ne m'a pas semblé que les règles étaient prises dans un l'ordre, du moins je n'ai rien vu à ce propos dans la documentation. Ce qui, j'en conviens, ne va pas t'avancer beaucoup. SME ne fourni que très peu de choses en interface pour gérer tout cela.

Pour l'antispam sortant je suis en général dans un contexte qui me permet de gérer autrement le problème , le relais sortant n'accepte des mails que d'une seule machine SMTP. Celle ci n'envoyant de mail que de clients Lotus Notes, une machine infectée ne peux pas spammer ou même simplement sortir en SMTP.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Black et White listing

Messagepar sibsib » 29 Fév 2008 23:00

jibe a écrit:Salut,

Je me pose des questions sur les wbl de SME : j'aimerais pouvoir éliminer totalement tout courrier qui n'est pas destiné à un utilisateur connu. Y a-t-il un moyen ?


Hello JiBé,

ben en fait, SME fait çà d'office : Si l'adresse E-Mail n'est pas définie sur SME, elle droppe.

Et, de mémoire, elle droppe avant le traitement de white/Black list qui pour moi sont des listes qui concerne les expéditeurs, pas les destinataires.

Donc, l'un de nous est à l'ouest ? (OK, géographiquement, je suis plus à l'ouest que toi :-) )

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar jibe » 01 Mars 2008 00:17

Salut,

Merci pour vos réponses !

N'étant pas actuellement chez ma belle-famille, je reconnais volontiers être à l'ouest :lol:

J'ai omis une petite précision : dans le server-manager, la config par défaut fait effectivement renvoyer immédiatement les mails à leur expéditeur lorsque l'adresse n'est pas bonne. Mais perso, j'ai configuré de l'autre façon :
Code: Tout sélectionner
Courriels destinés à des utilisateurs inconnus : Envoyer à l'administrateur

Tout simplement parce que vu le paquet de spam que je reçois, il y a un paquet de tentatives à des adresses farfelues, mais avec le nom de domaine correct, et si - comme c'est souvent le cas - l'expéditeur était lui aussi une adresse farfelue, cela me faisait un paquet de "bouncing bounces"... J'ai donc supprimé un aller-retour, puisque d'une manière ou d'une autre ça finissait dans la bal de l'admin.

Donc, je confirme, j'ai un paquet de spam qui arrive avec des mauvaises adresses, et que je voudrais bien envoyer direct sur /dev/nul avant passage par spamassassin qui n'en peut plus, le pauvre...

sibsib a écrit:white/Black list qui pour moi sont des listes qui concerne les expéditeurs, pas les destinataires.

Certes. Mais comme elles traitent une partie de l'entête des courriers, je m'étais mis à rêver que ça m'arrangerais bien si je pouvais les détourner un peu pour leur faire traiter une autre partie !

Sinon, sur SME6, j'utilisais mailfront/mailrules qui était super pour faire ce que j'aimerais faire ici ! Mais je n'ai pas osé réinstaller cette contrib, n'ayant pas trouvé de mise à jour pour SME7... Quelqu'un sait si ça marche ?
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar fraedhrim » 01 Mars 2008 12:15

jibe a écrit:Tout simplement parce que vu le paquet de spam que je reçois, il y a un paquet de tentatives à des adresses farfelues, mais avec le nom de domaine correct, et si - comme c'est souvent le cas - l'expéditeur était lui aussi une adresse farfelue, cela me faisait un paquet de "bouncing bounces"... J'ai donc supprimé un aller-retour, puisque d'une manière ou d'une autre ça finissait dans la bal de l'admin.


Bon sang mais c'est vrai ça ! Je veux dropper aussi moi ! Pas spammer en retour !
Comment on fait ?

Avec Postfix je saurais mais avec qmail....
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar sibsib » 01 Mars 2008 23:22

Yop,

Si je vous suis :

Un mail arrivant chez vous pour un destinataire inexistant : direct à la poubelle.

Ce que propose aujourd'hui SME :
Un mail sans destinataire est soit renvoyé à l'expéditeur, soit transféré à l'admin.

En gros, un choix supplémentaire pour dropper tout mail inconnu (et le plus tôt possible dans la chaine, tant qu'à faire...)

Pas bête.

qpsmtpd doit permettre de faire çà, je vais tenter de jeter un coup d'oeil. Ceci dit, j'ai très peu de temps à moi en ce moment, n'hésitez pas à jeter un oeil aussi :-)

a+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar jibe » 02 Mars 2008 00:30

Salut,

sibsib a écrit:Si je vous suis :

Un mail arrivant chez vous pour un destinataire inexistant : direct à la poubelle.

Ce que propose aujourd'hui SME :
Un mail sans destinataire est soit renvoyé à l'expéditeur, soit transféré à l'admin.

En gros, un choix supplémentaire pour dropper tout mail inconnu

Tout à fait, sibsib !

sibsib a écrit: (et le plus tôt possible dans la chaine, tant qu'à faire...)

Je dirais : éventuellement après vérification des wbl. Mais je ne sais pas si elles se fait tôt dans la chaine...

Cela permettrait éventuellement de ne pas dropper le mail d'un correspondant white-listé qui aurait simplement fait une faute de frappe :wink:

Mais bon, le cas étant extrêmement rare, si pour n'importe quelle raison il semble qu'il faille faire autrement, laissons tomber !

Bon, j'avais déjà bien tenté de voir comment faire avec qpsmtpd, mais je n'avais rien trouvé. Il est vrai que je n'ai cherché que dans l'environnement SME...

Curieux quand même que je sois le premier à demander cela ! Je vais aller faire un tour sur le forum anglophone de contribs (je fuis, je déteste de plus en plus l'anglais :lol: )
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar unnilennium » 02 Mars 2008 04:47

il me semble que le comportement par defaut de SME n'ets pas retour a l'expediteur mais refu du message a la connection quand l'utilisateur n'existe pas. A charge au SMTP tiers qui a transmit le message de faire ce qu'il desire du message ... comme se le rouler et .... vous illustrez la suite à votre guise.

aurais je tort ?



JPP
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Messagepar fraedhrim » 02 Mars 2008 12:53

Je me suis posé cette question mais la GUI dit :

Sélectionnez "Refuser les courriels" (valeur recommandée) pour renvoyer un message d'erreur à l'expéditeur.


Ca laisse entendre que l'avertissement n'est pas seulement une erreur SMTP "550 : user unknown" mais carrément un email à l'émetteur. Après c'est une interprétation... Mais les différents messages de rebond qu'on peut trouver dans les logs sur des adresses emails toutes pourries laissent penser que ça pourrait bien être ça...

Je vais essayer...

Il nous faudrait une notion de filtre supplémentaire basé sur une liste d'emails valides qu'on obtiendrait sur un email-update (modif des templates pour générer un fichier avec les emails des différents users et aliases, ça doit pô être trop compliqué).

Je ne penses pas qu'on s'en sorte avec les WBL. Ca sert juste à dire que telle email source ne doit pas être du spam. Ca n'empêche pas une email non existante de recevoir du mail....

[EDIT]
Bon OK... Je comprends plus rien.
J'ai testé l'envoi d'un email vers une adresse bidon de mon domaine (roger@chezmoi) depuis deux domaines différents.
Le premier (La Poste) me fait "relay denied" (?) :
Code: Tout sélectionner
2008-03-02 12:12:15.378044500 15246 check_goodrcptto plugin: recipient roger@chezmoi denied
2008-03-02 12:12:15.379752500 15246 Plugin check_goodrcptto, hook rcpt returned DENY, relaying denied roger@chezmoi
2008-03-02 12:12:15.380957500 15246 running plugin (deny): logging::logterse
2008-03-02 12:12:15.382749500 15246 logging::logterse plugin: ` 193.251.214.123 out6.laposte.net        out5.laposte.net        <moi@laposte.net>check_goodrcptto        901     relaying denied roger@chezmoi     msg denied before queued
2008-03-02 12:12:15.384096500 15246 Plugin logging::logterse, hook deny returned DECLINED,
2008-03-02 12:12:15.385449500 15246 550 relaying denied roger@chezmoi


Le second (au boulot) semble accepter le mail et je ne reçois rien en retour (ptet dans la quarantaine cela dit...) mais bon le phénomène est différent c'est bizarre :
Code: Tout sélectionner
2008-03-02 12:13:13.849112500 15257 Plugin check_goodrcptto, hook rcpt returned DECLINED,
2008-03-02 12:13:13.850046500 15257 running plugin (rcpt): rcpt_ok
2008-03-02 12:13:13.851100500 15257 trying to get config for me
2008-03-02 12:13:13.852100500 15257 trying to get config for rcpthosts
2008-03-02 12:13:13.853993500 15257 Plugin rcpt_ok, hook rcpt returned OK,
2008-03-02 12:13:13.855334500 15257 250 <roger@chezmoi>, recipient ok
[...]
2008-03-02 12:13:14.235562500 15257 logging::logterse plugin: ` W.X.Y.Z    mx1.auboulot     mx1.auboulot     <moi@auboulot>       <roger@chezmoi>        queued          <94A6D31EECA390479E1753F30DF26A4901AE0A@mb-01.auboulot>  No, score=-2.8 required=4.0
2008-03-02 12:13:14.236769500 15257 Plugin logging::logterse, hook queue returned DECLINED,
2008-03-02 12:13:14.237721500 15257 running plugin (queue): queue::qmail_2dqueue
2008-03-02 12:13:14.247528500 15262 queue::qmail_2dqueue plugin: (for 15257 ) Queuing qp 15262 to /var/qmail/bin/qmail-queue
2008-03-02 12:13:14.280461500 15257 Plugin queue::qmail_2dqueue, hook queue returned OK, Queued! 1204456394 qp 15262 <94A6D31EECA390479E1753F30DF26A4901AE0A@mb-01.auboulot>
2008-03-02 12:13:14.281762500 15257 250 Queued! 1204456394 qp 15262 <94A6D31EECA390479E1753F30DF26A4901AE0A@mb-01.auboulot>


Si quelqu'un comprend.....

[/EDIT]
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar sibsib » 02 Mars 2008 21:50

Hello,

Oui, unnilmenum, tu as raison ! En fait, hier, j'ai répondu un peu trop vite :-|

Dans le cas ou SME reçoit un mail directement (s'il est MX du domaine), c'est lors de la session SMTP que le mail est refusé. Ce n'est donc pas SME qui renvoie un mail. C'est une des grandes innovations de SME 7 par rapport à SME 6 et antérieur, qui renvoyait systématiquement un mail de refus. Mais...

Il existe plusieurs cas où ce raisonnement est battu en brèche :
smeserver-fetchmail ( ! ) :
En principe, si fetchmail n'est pas trop mal configuré, on peut s'attendre à ce que l'adresse du destinatire existe sur le serveur local ;-) . Par contre, si le mail reçu est refusé pour une autre raison, (spam et/ou virus, par exemple), alors fetchmail génère un mail de refus. Ce mail est fortement susceptible de tourner en bounce, s'il s'agit de spam... Dans le cas de cette contrib, je pourrais peut-être faire quelque chose (mais soyez pas pressé)
un mx-backup :
Le serveur de mail qui sert de MX-Backup dispose de ces propres règles de gestion des messages qu'il n'a pas pu acheminer. Donc, si un message à destination d'une adresse inconnue du site principal est envoyée initialement au mx-backup, alors celui ci tentera de trnasmettre au serveur principal qui refusera le message. Là, c'est la règle de gestion des erreurs du MX-Backup qui va déterminer l'envoi ou non d'un message de refus -qui est probablement susceptible de 'bouncer'.
Dans ce cas, on pourrait imaginer d'adapter qpsmtpd : en cas d'adresse de destinataire non valide, le message provenant exclusivement de la liste des mx-backup, le message serait accepté localement et poussé à la poubelle : les serveurs de mail 'honnêtes ne s'adressent pas en priorité au mx-backup !

Attention : il s'agit là d'une réponse un peu sur le vif. La liste des cas gérés de manière 'non parfaite' est certainement incomplète.

JiBé, au vu de cet éclairage (assez incomplet) souhaites tu toujours une solution 'drastique' qui accepterait tous les mails pour ton domaine, et dropperait ce qui sont adressés à des comptes inexistants ? (A mon sens, ceci n'existe pas aujourd'hui pour SME, mais çà correspond peut-être à une vraie demande).

C'est un peu 'massif', mais probablement assez efficace !

A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
Avatar de l’utilisateur
sibsib
Amiral
Amiral
 
Messages: 2368
Inscrit le: 11 Mai 2002 00:00
Localisation: France - région parisienne

Messagepar fred-info » 03 Mars 2008 00:28

Salut,

C'est sur que ça répond à une vraie demande. (J'en ai un peu marre d'effacer 5 à 800 spam tt les jours)

Mais par contre je pense qu'il serait intéressant de ne pas droper sauvagement les mails si plus de X% (50/60/80 - à tester) des caractères devant l'arobase correspondent à ceux d'un user, ceci pour éviter de perdre un mail qui aurait une fote d'orthographe dans le user.
Et en plus ne pas traiter par spamassassin les pièces jointes en cas de user faux.

Là je pense qu'on aurait vraiment un tri valable.

C'était ma pensée du soir.

A+
fred-info
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Oct 2006 14:57

Messagepar jibe » 03 Mars 2008 01:46

Salut,

sibsib a écrit:JiBé, au vu de cet éclairage (assez incomplet) souhaites tu toujours une solution 'drastique' qui accepterait tous les mails pour ton domaine, et dropperait ce qui sont adressés à des comptes inexistants ? (A mon sens, ceci n'existe pas aujourd'hui pour SME, mais çà correspond peut-être à une vraie demande).

Bon, j'ignorais cette "amélioration" entre SME 6 et SME 7. Ils auraient pu être plus explicites dans les indications du server-manager !

Je vais donc tenter pendant quelques heures voire plus si affinités de "renvoyer à l'expéditeur"... On verra bien ! Mais bon : les bouncing bounces arrivaient à me planter ma SME (CPU à 200% d'utilisation et 857°C, plus de 2 mn pour se logger au point que souvent j'étais obligé d'arracher la prise de courant pour arrêter la SME !) j'espère que ce ne sera pas le cas... Réponse prochainement si ma SME n'a pas explosé !
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar fraedhrim » 03 Mars 2008 10:02

Salut,

Normalement ce système n'est pas un drop "sauvage". Dans la mesure où le serveur destinataire répond au serveur émetteur "550 user unknown" l'utilisateur reçoit un mail du mailer-daemon du serveur émetteur qui lui signale l'erreur. Donc soit c'est une vraie erreur et l'utilisateur est averti, soit c'est un spam et l'adresse émetteur est bidon alors le courrier émanant du serveur émetteur de l'adresse email du mailer-daemon il ne peut pas y avoir de bouncing bounce...

Mais il faut être en mesure de rejeter la connexion SMTP dès la fournutiure de l'adresse destinataire....

++
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar jibe » 03 Mars 2008 20:34

Salut,

Après une journée (et un test depuis l'extérieur), il semble bien que ce soit Ok. L'expéditeur reçoit bien un message de non délivrance de son propre SMTP, et bien entendu il n'y a pas de rebond.

Les rebonds se produisaient avec SME 6, qui effectivement devait renvoyer le mail au lieu de le refuser avec erreur 550. Et là, lorsque l'expéditeur était bidon, on avait effectivement des bouncing bounces...

Donc, première question de ce topic résolue :D

Merci aux participants à cette analyse du comportement de SME !

Avant de passer le topic en résolu, je repose la seconde question : Y a-t-il un moyen d'empêcher l'envoi de spams vers l'extérieur, lorsque par exemple on a en dépannage une bécane W$ infectée ? Il faudrait éviter l'envoi de mails là encore par ceux qui ne sont pas des utilisateurs connus de SME...

Une sorte de black-list en sortie, autrement dit. Est-ce à cela que sert wbl.global_to ?
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar tomtom » 03 Mars 2008 20:49

Authentification smtp ?
Sous-réseau différent pas la liste des relais autorisés ?

Par exemple...

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron