Gestion de pop3 et smtp avec BOT et Copfilter

[sycas]

Bonjour,

Je test actuellement IPCop chez moi avant de le déployer dans mon entreprise.

Config:

IPCop:
P3 512mo de ram
Red+Green+Bleu+Orange
Add on: Copfilter, Zerina, BOT, ADV PROXY

1 PC fixs sous vista pro en ethernet sur la Green
1 PC portable sous vista en wifi sur un Wirless linksys sur la Green

J'ai suivi scrupuleusement la config de BOT: http://blockouttraffic.de/gettingstarted.php

Les règles sont identiques.

Mais la gestion des mails reste bloquée.

Copfilter est lancé pour le filtrage Pop3 et Smtp

Quand je désactive BOT mais mails passent sur les 2 poste quand j'active BOT je n'ai plus de mail.

Une idée?

Merci de votre aide

pcdd

[ccnet]

Voyons les logs si vous voulez bien en activant la journalisation sur toutes les règles bot le temps des tests.

PS : copfilter sur ipcop pour filtrer le trafic mail, je ne suis vraiment pas pour. Je suis même tout à fait contre.

[jdh]

Quand je désactive BOT mais mails passent sur les 2 poste quand j'active BOT je n'ai plus de mail

Cela parait clair !

Même si je ne connais pas BOT (en dehors de l'esprit), CopFilter étant sur IPCOP, des règles BOT doivent être créés pour cet addon : IPCOP (en fait Copfilter) doit pouvoir faire lui-même du pop3 et du smtp.


NB : je pense qu'un petit serveur de mail interne peut être plus efficace (et simple) qu'un Copfilter qui "alourdit" IPCOP.

[sycas]

Voyons les logs si vous voulez bien en activant la journalisation sur toutes les règles bot le temps des tests.

Le plus étrange c'est justement que je ne vois aucun log 110 ou 25 passé. Ce qui signifie d'après ce que je comprend que ce n'est pas bloqué.

Dés que je coupe BOT ou avant de le mettre en fonction, ca marchait bien.

PS : copfilter sur ipcop pour filtrer le trafic mail, je ne suis vraiment pas pour. Je suis même tout à fait contre.

Puis je avoir plus d'éléments sur ça.

Merci de ta rapide réponse;)

pcdd

[sycas]

Même si je ne connais pas BOT (en dehors de l'esprit), CopFilter étant sur IPCOP, des règles BOT doivent être créés pour cet addon : IPCOP (en fait Copfilter) doit pouvoir faire lui-même du pop3 et du smtp.

Ok je peut comprendre. Mais quelleègle faut il créer?

[ccnet]

Sur le premier point bien que n'ayant plus regardé copfilter depuis un moment je pense qu'il utilise d'autres ports que ceux auxquels vous vous attendez :
http://forums.ixus.fr/viewtopic.php?t=32724&highlight=copfilter+bot

Sur le deuxième point je ne suis pas favorable parce que l'on va "mélanger" un problème réseau avec un problème applicatif et exécuter d'autres process sur ipcop. Moins il y a de process sur un firewall mieux c'est. Il me semble assez facile de provoquer un déni de service de vos accès web en utilisant smtp. A l'inverse on peut protéger un relais smtp as-av efficacement avec un mta Postfix bien configuré. Le firewall peut vous y aider. Pas l'inverse. Et comme vous allez déjà faire tourner Zerina, un proxy, les ressources du firewall doivent être ménagées pour continuer à assurer ces services avec le niveau de performance souhaité. Vous pouvez vous trouvez confronté à une machine zombie qui va vous envoyer des dizaines de demandes d'ouvertures de sessions SMTP par seconde.

[sycas]

Ce IPCop va servir à un réseau de 5 postes avec NAS.

Les besoins en ressources seront donc limités.

J'ai trouvé le service à ouvrir. c'est le port 8110 pour les services IPCop.

Merci pour l'aide.

[ccnet]

Le problème n'est pas la charge dans le lan, mais ce qui va se passer de l'extérieur vers le lan ....

[sycas]

c'est a dire?

Peux tu être plus précis je suis très intéressé

[ccnet]

Le problème va être de faire face aux milliers, voire dizaines de milliers, de connexions quotidiennes qui vont se présenter sur le relais smtp et qui proviennent le plus souvent de spammeurs ou de pc zombis.
Pour chacune de ses connexions il va falloir faire les vérifications (reverse dns, helo, conformité syntaxe smtp, analyse de contenu, vérification de l'existence du destinataire, et j'en passe...) afin de déterminer si le mail est un spam ou pas. La véritable charge est là, pas avec vos cinq utilisateurs.
L'antispam va trier les mails destinés à vos utilisateurs. Ce n'est pas pour autant qu'il va supprimer les connexions entrantes en smtp sur votre système. J'ai déjà vu des dizaines de connexions par seconde se présenter sur une passerelle de messagerie.

[dsbsystem]

Le problème va être de faire face aux milliers, voire dizaines de milliers, de connexions quotidiennes qui vont se présenter sur le relais smtp et qui proviennent le plus souvent de spammeurs ou de pc zombis.
Pour chacune de ses connexions il va falloir faire les vérifications (reverse dns, helo, conformité syntaxe smtp, analyse de contenu, vérification de l'existence du destinataire, et j'en passe...) afin de déterminer si le mail est un spam ou pas. La véritable charge est là, pas avec vos cinq utilisateurs.
L'antispam va trier les mails destinés à vos utilisateurs. Ce n'est pas pour autant qu'il va supprimer les connexions entrantes en smtp sur votre système. J'ai déjà vu des dizaines de connexions par seconde se présenter sur une passerelle de messagerie.

Excellente analyse : certains serveur Smtp sont inondés de connexions "sauvages", d'autres plus important sont moins touchés par cette plaie.

Pour SYCAS:

J'ai pratiqué Ipcop+Bot+Copfilter mais je dois admettre qu'en plus de nécessiter des ressources assez conséquentes, Ipcop ne me semble pas avoir été conçu pour être détourné en United Thread Managemenbt Appliance...

Si je peux me permettre, OK pour Ipcop + Bot ( indispensable) et pourquoi pas Copfilter pour le filtrage antivirus Http et Ftp uniquement.

Pour le filtrage Smtp, a vous de voir si votre choix se porte sur du libre séparé d'Ipcop ( SME ou autre) ou sur une solution commerciale.

J'ai eu loisir de mettre en place en entreprise à plusieurs reprises NoSpamToday associé à Clamav.

Cette solution commerciale fonctionne sur XP pro ou Win 2000, pas d'OS Serveur obligatoire.
AVec un Dual Core et 1GB de Ram sous 2003 Srv, pas de problème pour ... 40.000 connexions jour dont ... 98 % de Spams.

A 149 € pour 10 boîtes Mail puis des renouvellements à 50 €, c'est un produit remarquable même si je n'apprécie pas de devoir l'utiliser sous Windows.

Il existe une version Linux que je n'ai pas testé, faute de temps.

Enfin, pour 5 utilisateurs, pourquoi ne pas faire simplement transiter vos mails par un provider qui s'occupera du filtrage de base spam et antivirus : Dans ce cas, Copfilter pourra être utilisé en Pop3 proxy et vous serez presque certain que la charge système ne sera pas écrasante.

Vous restez ainsi sous Ipcop avec un double filtrage antispam ( votre provider + Copfilter) et un triple filtrage anti Malware ( votre provider + Copfilter+ votre antivirus réseau) voir même un quadruple filtrage si votre serveur mail est équipé d'un antivirus spécifique.

Que demander de plus ?

Bien à vous,

[ccnet]

Enfin, pour 5 utilisateurs, pourquoi ne pas faire simplement transiter vos mails par un provider qui s'occupera du filtrage de base spam et antivirus : Dans ce cas, Copfilter pourra être utilisé en Pop3 proxy et vous serez presque certain que la charge système ne sera pas écrasante.

Ce qui me semble être le bon sens même.

Pour SYCAS:
Vous connaissez maintenant les risques. Si vous devez maintenant mettre en place une solution de passerelle de messagerie, en plus des solutions qui viennent d'être proposées, j'en ajouterai une autre.

Basiquement un système Postfix+Clamav+Spamassassin peut s'avérer hautement efficace. Avant d'en arriver là j'ai utilisé a plusieurs reprises avec une certaine réussite SME en mode automone à qui je faisait faire exclusivement du relayage de messagerie. SME en dmz, serveur de mail en lan ou dmz interne selon les cas. J'ai progressivement trouvé cette solution insuffisante à cause de l'inconfort de l'administration et la présence de Qmail au lieu de Postfix. L'intégration manuelle d'une config Postfix+Clamav+Spamassassin avec des outils d'administration adaptés n'est pas si simple, c'est même assez lourd. Mais j'ai trouvé Clarkconnect Community Edition 4.1. Beaucoup mieux pour l'administration courante (possibilité de donner des droits d'accès à un opérationnel pour gérer les listes noires et blanches) et Postfix. Si l'on s'attarde un peu sérieusement sur les restrictions Postfix possibles pour lutter contre le spam, on rejette en 3 ou 4 échanges TCP (dès le helo) une bonne quantité de spammeurs. On peut affiner et ce n'est pas superflu. Ensuite seulement sur les "survivants", on passe aux moyens plus lourds, c'est à dire spamassassin qui consomme des ressources importantes d'où l'utilité de ne le faire travailler qu'après avoir éliminé les "rigolos du spam" qui sont le gros du trafic. A ce stade on commence l'analyse de contenu. Les mails sont ensuite transmis au serveur de mails de l'entreprise après avoir été coté au moyen du champ "Xspam_score". Plus la note est forte plus la probabilité de spam est forte. A vous de décider comment les traiter. Pour mes clients, et à l'expérience, tous les mails avec Xspam_Score <3,5 sont distribués normalement. Entre 3,5 et 12 ils sont placés directement dans le courrier indésirable de l'utilisateur. Celui ci fait son ménage et surtout remonte les faux positifs qui sont placés en liste blanche. Si Xspam_score > 12 distribution et conservation pour 5 jours, puis destruction, dans une boîte commune.

Mais la solution ClarckConnect demande que l'on modifie main.cf à la main et parfois aussi la configuration des logs. Une rotation hebdomadaire conduit souvent à des fichiers de logs très volumineux (>350Mo) peu commode à manipuler et a analyser. Aussi j'ai recherché des solutions encore plus abouties, se rapprochant le plus possible de l'appliance prêtre à l'emploi. Je teste actuellement Artica. Très prometteur. Trop tôt pour que je puisse me prononcer, mais encore une fois très prometteur. Une image ISO, OS compris, est disponible. Le rythme de parution des images iso est encore élevée, je teste sous hyperviseur ESXi 3.5 ce qui simplifie bien les choses. Pour en savoir plus : http://www.artica.fr/

Pour le moment et en production je m'en tiens à la solution ClarckConnect qui assure sans faiblesse le traitement de 50 000 mails quotidiens sur un PIII-500 avec 512Mo de ram. 90% sont des spams. Sans modifier le hardware je pourrai en supporter jusqu'à 200 000.

[dbv92]

Bonjour je suis aussi confronté au pb des spams et j'ai une question à vous poser. Clark connect peut-il servir de relais smtp ? je m'explique : dans mon entreprise nous avons un serveur Exchange et je recherche une solution Anti spam qui filtre et qui envoie les bons messages à exchange;
Vous avez mis en place cette solution en place dans votre entreprise et comment avez vous configuré Clark Connect.

[ccnet]

Oui ClarkConnect peut être utilisé en passerelle smtp AS-AV. C'est pour cette tâche que j'utilise CC Community Edition 4.3 chez plusieurs clients.

L'installation : serveur autonome.
Les fonctionnalités à choisir lors de l'installation : SMTP relay. (ou quelque chose d'approchant) je n'ai plus le terme exacte en tête.
Je place la machine en dmz.

Après installation et configuration de base pour ce rôle, je fais quelques modifications sur Postfix. Dans /etc/postfix/main.cf :

Code: Tout sélectionner

smtpd_client_restrictions = permit_mynetworks
            permit_sasl_authenticated
            check_recipient_access hash:/etc/postfix/access_recipient
                           reject_rbl_client sbl.spamhaus.org


smtpd_helo_required = [b]yes[/b]
smtpd_helo_restrictions = permit_mynetworks
                          permit_sasl_authenticated
                          check_recipient_access hash:/etc/postfix/helo_access
                          check_recipient_access hash:/etc/postfix/access_recipient
                          reject_invalid_hostname
                          reject_non_fqdn_hostname
                          warn_if_reject reject_unknown_hostname

smtpd_sender_restrictions =  permit_mynetworks
            permit_sasl_authenticated
            reject_unknown_sender_domain
            check_recipient_access hash:/etc/postfix/access_recipient
            reject_non_fqdn_sender
            check_sender_access hash:/etc/postfix/filters/sa-blacklist

smtpd_recipient_restrictions = permit_sasl_authenticated
      permit_mynetworks
      reject_unauth_destination
      check_recipient_access hash:/etc/postfix/access_recipient
      reject_invalid_hostname
      reject_unknown_sender_domain

Vous pouvez utiliser ou non les tables acess_recipient et helo_access.
J'ajoute aussi :

Code: Tout sélectionner

header_checks = regexp:/etc/postfix/header_checks

etc/postfix/header_checks contient quelques grand classique pour rejeter directement certains mails en fonction du contenu de l'objet :

Code: Tout sélectionner

/^Subject: .*Solution for your sexual life/ REJECT
/^Subject: .*Casino|casino/   REJECT
/^Subject: .*Rolex|rolex/   REJECT
/^Subject: .*Pharmacie|pharmacie/   REJECT
/^Subject: .*Watches|watches/   REJECT
/^Subject: .*Bonus|bonus/   REJECT
/^Subject: .*Pillules|pillules/   REJECT
/^Subject: .*CNN/   REJECT
/^Subject: .*BREAKING NEWS/   REJECT
/^Subject: .*BBC NEWS/   REJECT
/^Subject: .*V en ligne/   REJECT
/^Subject: .*Viagra|viagra|Cialis|cialis|pills|Cialix|Xanax/   REJECT
/^Subject: .*Prada/   REJECT
/^Subject: .*Boss/   REJECT
/^Subject: .*Adidas/ REJECT
/^Subject: .*Chanel/ REJECT
/^Subject: .*Dior/   REJECT
/^Subject: .*OGG/   REJECT
/^Subject: .*Versace/ REJECT
/^Subject: .*Hermes/ REJECT
/^Subject: .*Chloe/   REJECT
/^Subject: .*Ph.d/ REJECT
/^Subject: .*DG/ REJECT
/^Subject: .*Dolce Gabana/   REJECT
/^Subject: .*Paris Hilton/   REJECT
/^Subject: .*loterie bill gates/   REJECT
/^Subject: .*Puissance|puissance/   REJECT
/^Subject: .*Britney Spears/   REJECT

Fichier d'expression régulières que vous pouvez compléter ou perfectionner en fonction de ce que vous observez et de votre maitrise des expressions régulières. La mienne est limitée mais j'y travaille.

Fin des modifications pour Postix, je complète ensuite /etc/amavisd.conf. Amavis se charge d'interfacer Postfix avec les filtres de contenu. Lorsque vous avez configuré CC par l'interface, vous avez indiqué pour le spam un seuil pour le marquage des sujets. Je règle ce premier seuil à 3.5 pour le marquage avec la chaine [SPAM]. C'est ce que l'on voit dans cette partie de /etc/amavisd.conf.

Code: Tout sélectionner

## ANTI-SPAM CONTROLS

$sa_spam_modifies_subj = 1;
$sa_spam_subject_tag = "[SPAM] ";
$sa_spam_level_char = '*';
$sa_tag_level_deflt  = -99;  # add spam info headers if at, or above that level
$sa_tag2_level_deflt = 3.5;

Je ne connais pas Exchange. La majorité de mes clients utilise Notes. Je suppose que vous avez la possibilité de créer des règles de mesagerie au niveau de chaque utilisateur et au niveau du domaine de messagerie. Pour les utilisateurs j'ajoute une règle qui dit si Subject contient [SPAM] alors placer le mail dans courrier indésirable.

Spamasassin en lui même ne fait rien si ce n'est évaluer la probabilité de spam d'un mail en lui affectant une note (dans un champ X_Spam_score). Plus elle est forte plus la probabilité de spam est grande. Mon expérience me montre qu'au delà de 12 nous sommes proche de 100% de probabilité.

Pour soulager les utilisateurs de la gestion des spams, j'ajoute une autre règle, cette fois ci au niveau du domaine. Cette règle dit : si la note est supérieur ou égale à 12 placer dans une boite mail de quarantaine. Pour cela j'ai besoin d'un marquage spécifique au niveau de l'objet du mail. J'obtient ce marquage en fonction de la note en ajoutant à /etc/amavisd.conf ces deux lignes :

Code: Tout sélectionner

$sa_tag3_level_deflt = 12.0;
@spam_subject_tag3_maps = '!!! SPAM !!! ';

La règle de messagerie sera donc : si Objet contient !!! SPAM !!! alors envoyer à spambox@domaine.tld. Au bout de 5 jours les mails en quarantaine sont détruits. Cela est facile à automatiser avec un serveur Domino. J'ignore si c'est possible avec Exchange. Les utilisateurs sont débarassé des messages 100% spam, mais tout est logé, trçable pour parer aux réclamations.

J'ai aussi modifié dans CC les fichiers /etc/logrotate.d/syslog et d'autres pour un reporting quotidien qui m'est envoyé par mail.

[dbv92]

Bonjour CCNET,

Merci pour votre réponse claire et rapide. Je vous tiendrai au courant de mon installation.

Cordialement.