SPAM

kalistyan
Messages : 11578
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

SPAM

Message par kalistyan »

:hello:

Depuis quelques jours, mon serveur de messagerie reçoit des SPAM sous la forme de comptemailexistantoupas@undemesdomaines
Il me semblait que le SPF devait éviter se genre de problème, j'ai dû mal le configurer...

Code : Tout sélectionner

@ 10800 IN TXT "v=spf1 ip4:82.xxx.xxx.X ip4:88.xxx.xxx.xxx ip4:95.xxx.xxx.x ip4:37.xxx.xxx.xxx include:spf.mailjet.com mx:mx00.unnati.fr ~all"
IP 82 => Bureau
IP 88 => Domicile
IP 95 => Antispam (Hébergé chez GANDI) Installé sur le serveur que la messagerie, juste l'ip qui diffère.
IP 37 => Antispam en phase de test (hébergé chez SoYouStart)

Où me suis je trompé ?

:jap:
dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

nulle part.
c'est le SMTP envoyeur qui est sensé checker le SPF, pas le receveur.

mais comme le mail est envoyé a partir de PC zombies transformés en open relay, c'est pas verifié (volontairement)

du coup, tu t'en prend plein la gue*le :(
Avatar de l’utilisateur
Zedoune
Messages : 14974
Inscription : ven. 12 janv. 2018 17:44

SPAM

Message par Zedoune »

logiquement ils sont pas acceptés tes mails vu qu'ils sont de ton domaine mais pas émis du serveur ?
dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

suivant ce que tu utilise comme serveur mail, tu peux configurer des listes noires d'IP (spamhaus, SORBS etc....)
ça limitera pas mal le SPAM (c'est comme ça que j'en arrête le plus), par contre, ça augmente nettement les faux positifs (en particulier avec SORBS qui déclare comme spammeur les tranches d'IP des FAI grand publique, même si IP fixe)
dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

logiquement ils sont pas acceptés tes mails vu qu'ils sont de ton domaine mais pas émis du serveur ?
si ;)
tout simplement sinon il pourrait pas émettre à partir d'autres serveurs et donc son SPF ne ressemblerait pas du tout a ça !
Avatar de l’utilisateur
Zedoune
Messages : 14974
Inscription : ven. 12 janv. 2018 17:44

SPAM

Message par Zedoune »

Oki, si tu le dis je te crois ^^

Pour l'anti-spam j'utilise un système de grey-listing, ça ralenti l'arrivée des mails mais ça filtre bien le spam !
kalistyan
Messages : 11578
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

SPAM

Message par kalistyan »

D'accord, merci pour votre réactivité. :jap: J'utilise XEAMS comme solution, plutôt satisfait dans l'ensemble.

Je viens d'activer SPAMHAUS et SORBS.

Wait & See. ;)
dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

méfie toi de SORBS.....
garde un œil sur les mails rejetés ;)
kalistyan
Messages : 11578
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

SPAM

Message par kalistyan »

SPAMHAUS utilise différentes listes, ce matin j'ai activé la SBL (ip). Après vérification, cela ne donnait rien. Par défaut, le filtre Domain Inspector est activé avec un score de 200 (trop faible, explication ci-dessous). Cette règle check la liste DBL (Domain Block List) dans laquelle mon SPAM est trouvé!

Code : Tout sélectionner

This is a Good message
Reason:

Score	Description
60	Bulk message.
200	A black-listed domain, michelle-cash-money.com, was found. [dbl.spamhaus.org]
-1000	Sender Contains word unnati.fr
60	Email body Regular expression (\w\W){4,}
40	Email body Contains casino
Total Score: -640
Après avoir modifié le score => 1500

Code : Tout sélectionner


This is a Spam message
Reason:

Score	Description
60	Bulk message.
1500	A black-listed domain, michelle-cash-money.com, was found. [dbl.spamhaus.org]
-1000	Sender Contains word unnati.fr
60	Email body Regular expression (\w\W){4,}
40	Email body Contains casino
64	Baysian analysis suggests there is a 92% chance this message is junk.
0	------- Break down of Baysian analysis starts --------
0	http = 0.875016382835079
0	Casino = 0.8573522562373721
0	com = 0.8463525145892159
0	michelle-cash-money = 0.4
0	------- Break down of Baysian analysis ends --------
Total Score: 724

Etant en congés, je préfère désactiver SORBS. ;)
dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

je viens de relire ton SPF, a la fin tu as ~all et non -all
ça veut dire que ce qui n'est pas envoyé par les serveurs déclarés dans le spf est du spam, mais que tu l'autorise quand même.
le -all, c'est la même chose sauf que tu bloque !

a toi de voir ;)
Avatar de l’utilisateur
Ryu_wm
Messages : 5854
Inscription : ven. 12 janv. 2018 17:44
Localisation : Pont l'Abbé d'Arnoult (17)

SPAM

Message par Ryu_wm »

Je suis largué, par contre sur posix/smtpd tu pouvais filtrer par domaines entrants pour les accepter ou pas.
-------------------------
Image
Digital n'est pas Numérique bordel :o
dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

c'est le principe du relai ouvert ou pas (pour info, si ton smtp est configuré pour accepter n'importe quoi (relai ouvert) tu vas te faire blacklister en quelques secondes ;) )

mais si il accepte pas son propre domaine, il va avoir du mal a s'envoyer des mails :D
kalistyan
Messages : 11578
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

SPAM

Message par kalistyan »

Et flûte! Nouvelle version !!!

Le mail vient maintenant du domaine @20team.com

Code : Tout sélectionner


This is a Good message
Reason:

Score	Description
60	Bulk message.
-1000	Sender Contains word unnati.fr
60	Email body Regular expression (\w\W){4,}
40	Email body Contains casino
Total Score: -840
Edit : après relecture du spam, l'objet ne change jamais! J'ai dû ajouter une expression dans le filtrage de contenu.

Code : Tout sélectionner

This is a Spam message
Reason:

Score	Description
60	Bulk message.
2500	Sender Contains word serveit21.com
-1000	Sender Contains word unnati.fr
2500	Subject Contains International Casino
60	Email body Regular expression (\w\W){4,}
40	Email body Contains casino
65	Baysian analysis suggests there is a 94% chance this message is junk.
0	------- Break down of Baysian analysis starts --------
0	http = 0.875016382835079
0	Casino = 0.8573522562373721
0	com = 0.8463525145892159
0	------- Break down of Baysian analysis ends --------
Total Score: 4225
dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

normal....
tu vas en prendre des dizaines comme ça par jour, ça change tous les jours &a peu près
kalistyan
Messages : 11578
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

SPAM

Message par kalistyan »

Pourquoi moi ? :ange:
C'est dingue, le serveur tourne depuis un moment et il faut que cela tombe maintenant!!! :o
dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

ça fait plusieurs mois que je subis ça aussi ;)
on est a peu près a 100-150 par jour
ils font au hasard.
au début c'était au travers d'une de nos connexion seulement, puis 2 puis les 3....
Avatar de l’utilisateur
Zedoune
Messages : 14974
Inscription : ven. 12 janv. 2018 17:44

SPAM

Message par Zedoune »

spamd ça marche bien ^^ J'en avais 5 ou 6 par jour avec mes 3 adresses mails, j'en ai 1 tous les 2 jours maintenant.
dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

je parle pas des mails qui arrivent dans les boites, je parle de ce que je bloque sur le serveur ;)
Avatar de l’utilisateur
Zedoune
Messages : 14974
Inscription : ven. 12 janv. 2018 17:44

SPAM

Message par Zedoune »

Ahh d'accord :)
dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

petit exemple:
le 5 aout (une des pires journées depuis que j'administre le serveur mail, donc juillet 2010)
2427 mail reçus sur la plateforme.
"seulement" 397 vrais mails de l'extérieur
1992 messages détectés comme SPAM
les 38 qui restent sont des mails internes.




dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

le 01/08:
2786 spams sur 3226 mails en transit

le 31/07
2405 spams sur 2927 mails en transit

donc
le 05/08: 82% de spams
le 01/08: 86.4% de spams
le 31/07: 82% de spams

une journée "soft" c'est 22 spams sur 340 mails en transit (6.5%), comme hier
la moyenne c'est 800-900 spams sur 1500 mails, donc 50-60% de déchets ;)
kalistyan
Messages : 11578
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

SPAM

Message par kalistyan »

Pour ce mois, la pire journée est le 6.
581 mail reçu
438 SPAM
3 Possible SPAM
140 Good
dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

et tant qu'on y est, mes fournisseurs de liste rouge (gratuits):
spamcop (bl.spamcop.net)
spamhaus (zen.spamhaus.org)
spamikaze (psbl.surriel.com)
spamhaus XBL (xbl.spamhaus.org)
spamhaus SBL (sbl.spamhaus.org)
spamhaus PBL (pbl.spamhaus.org)
abuseat (cbl.abuseat.org)
Sorbs (dnsbl.sorbs.net) mais désactivé, trop de faux positifs.
dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

ah oui, ça c'est juste mes logs de transport (donc filtrage IP/domaine), la ya pas le filtrage de contenu, qui en arrête encore 20-30 par jour :D
dsebire
Messages : 10588
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - au milieu des champs

SPAM

Message par dsebire »

quand on pense a la BP bouffée sur les connexions WAN vers le FAI et tout le traffic routé pour rien sur internet :pfff:

edit antiflood:
allez, la suite des stats, ça servira pt'etre a qqn:
sur le 1er aout (la ou yavait le plus de spams bloqués)
sur les 2786 spams:
2291 bloqués par spamcop
5 par spamhaus
108 par spamikaze
3 par spamhaus XBL
0 par spamhaus SBL
1 par spamhaus PBL
378 bloqués par abuseat

les requêtes sont envoyés simultanément aux IPBL, c'est le premier qui répond "KO" qui apparait dans les logs donc ne pas trop tenir compte des chiffres absolus, ça peut etre du au temps de réponse.
pour qu'un mail ne soit pas déclaré comme SPAM, il faut que tout les IPBL répondent OK ou tombent en timeout

évidement, interroger les IPBL coute aussi en BP, faire attention a ça aussi ;)
Répondre