SMPFR

Depuis quelques jours, mon serveur de messagerie reçoit des SPAM sous la forme de comptemailexistantoupas@undemesdomaines
Il me semblait que le SPF devait éviter se genre de problème, j'ai dû mal le configurer...

Code : Tout sélectionner

@ 10800 IN TXT "v=spf1 ip4:82.xxx.xxx.X ip4:88.xxx.xxx.xxx ip4:95.xxx.xxx.x ip4:37.xxx.xxx.xxx include:spf.mailjet.com mx:mx00.unnati.fr ~all"

IP 82 => Bureau
IP 88 => Domicile
IP 95 => Antispam (Hébergé chez GANDI) Installé sur le serveur que la messagerie, juste l'ip qui diffère.
IP 37 => Antispam en phase de test (hébergé chez SoYouStart)

Où me suis je trompé ?

nulle part.
c'est le SMTP envoyeur qui est sensé checker le SPF, pas le receveur.

mais comme le mail est envoyé a partir de PC zombies transformés en open relay, c'est pas verifié (volontairement)

du coup, tu t'en prend plein la gue*le

logiquement ils sont pas acceptés tes mails vu qu'ils sont de ton domaine mais pas émis du serveur ?

suivant ce que tu utilise comme serveur mail, tu peux configurer des listes noires d'IP (spamhaus, SORBS etc....)
ça limitera pas mal le SPAM (c'est comme ça que j'en arrête le plus), par contre, ça augmente nettement les faux positifs (en particulier avec SORBS qui déclare comme spammeur les tranches d'IP des FAI grand publique, même si IP fixe)

logiquement ils sont pas acceptés tes mails vu qu'ils sont de ton domaine mais pas émis du serveur ?

si

tout simplement sinon il pourrait pas émettre à partir d'autres serveurs et donc son SPF ne ressemblerait pas du tout a ça !

Oki, si tu le dis je te crois ^^

Pour l'anti-spam j'utilise un système de grey-listing, ça ralenti l'arrivée des mails mais ça filtre bien le spam !

D'accord, merci pour votre réactivité.

J'utilise XEAMS comme solution, plutôt satisfait dans l'ensemble.

Je viens d'activer SPAMHAUS et SORBS.

Wait & See.

méfie toi de SORBS.....
garde un œil sur les mails rejetés

SPAMHAUS utilise différentes listes, ce matin j'ai activé la SBL (ip). Après vérification, cela ne donnait rien. Par défaut, le filtre Domain Inspector est activé avec un score de 200 (trop faible, explication ci-dessous). Cette règle check la liste DBL (Domain Block List) dans laquelle mon SPAM est trouvé!

Code : Tout sélectionner

This is a Good message
Reason:

Score	Description
60	Bulk message.
200	A black-listed domain, michelle-cash-money.com, was found. [dbl.spamhaus.org]
-1000	Sender Contains word unnati.fr
60	Email body Regular expression (\w\W){4,}
40	Email body Contains casino
Total Score: -640

Après avoir modifié le score => 1500

Code : Tout sélectionner


This is a Spam message
Reason:

Score	Description
60	Bulk message.
1500	A black-listed domain, michelle-cash-money.com, was found. [dbl.spamhaus.org]
-1000	Sender Contains word unnati.fr
60	Email body Regular expression (\w\W){4,}
40	Email body Contains casino
64	Baysian analysis suggests there is a 92% chance this message is junk.
0	------- Break down of Baysian analysis starts --------
0	http = 0.875016382835079
0	Casino = 0.8573522562373721
0	com = 0.8463525145892159
0	michelle-cash-money = 0.4
0	------- Break down of Baysian analysis ends --------
Total Score: 724

Etant en congés, je préfère désactiver SORBS.

je viens de relire ton SPF, a la fin tu as ~all et non -all
ça veut dire que ce qui n'est pas envoyé par les serveurs déclarés dans le spf est du spam, mais que tu l'autorise quand même.
le -all, c'est la même chose sauf que tu bloque !

a toi de voir

Je suis largué, par contre sur posix/smtpd tu pouvais filtrer par domaines entrants pour les accepter ou pas.

c'est le principe du relai ouvert ou pas (pour info, si ton smtp est configuré pour accepter n'importe quoi (relai ouvert) tu vas te faire blacklister en quelques secondes

)

mais si il accepte pas son propre domaine, il va avoir du mal a s'envoyer des mails

Et flûte! Nouvelle version !!!

Le mail vient maintenant du domaine @20team.com

Code : Tout sélectionner


This is a Good message
Reason:

Score	Description
60	Bulk message.
-1000	Sender Contains word unnati.fr
60	Email body Regular expression (\w\W){4,}
40	Email body Contains casino
Total Score: -840

Edit : après relecture du spam, l'objet ne change jamais! J'ai dû ajouter une expression dans le filtrage de contenu.

Code : Tout sélectionner

This is a Spam message
Reason:

Score	Description
60	Bulk message.
2500	Sender Contains word serveit21.com
-1000	Sender Contains word unnati.fr
2500	Subject Contains International Casino
60	Email body Regular expression (\w\W){4,}
40	Email body Contains casino
65	Baysian analysis suggests there is a 94% chance this message is junk.
0	------- Break down of Baysian analysis starts --------
0	http = 0.875016382835079
0	Casino = 0.8573522562373721
0	com = 0.8463525145892159
0	------- Break down of Baysian analysis ends --------
Total Score: 4225

normal....
tu vas en prendre des dizaines comme ça par jour, ça change tous les jours &a peu près

Pourquoi moi ?

C'est dingue, le serveur tourne depuis un moment et il faut que cela tombe maintenant!!!

ça fait plusieurs mois que je subis ça aussi

on est a peu près a 100-150 par jour
ils font au hasard.
au début c'était au travers d'une de nos connexion seulement, puis 2 puis les 3....

spamd ça marche bien ^^ J'en avais 5 ou 6 par jour avec mes 3 adresses mails, j'en ai 1 tous les 2 jours maintenant.

je parle pas des mails qui arrivent dans les boites, je parle de ce que je bloque sur le serveur

Ahh d'accord

petit exemple:
le 5 aout (une des pires journées depuis que j'administre le serveur mail, donc juillet 2010)
2427 mail reçus sur la plateforme.
"seulement" 397 vrais mails de l'extérieur
1992 messages détectés comme SPAM
les 38 qui restent sont des mails internes.

le 01/08:
2786 spams sur 3226 mails en transit

le 31/07
2405 spams sur 2927 mails en transit

donc
le 05/08: 82% de spams
le 01/08: 86.4% de spams
le 31/07: 82% de spams

une journée "soft" c'est 22 spams sur 340 mails en transit (6.5%), comme hier
la moyenne c'est 800-900 spams sur 1500 mails, donc 50-60% de déchets

Pour ce mois, la pire journée est le 6.
581 mail reçu
438 SPAM
3 Possible SPAM
140 Good

et tant qu'on y est, mes fournisseurs de liste rouge (gratuits):
spamcop (bl.spamcop.net)
spamhaus (zen.spamhaus.org)
spamikaze (psbl.surriel.com)
spamhaus XBL (xbl.spamhaus.org)
spamhaus SBL (sbl.spamhaus.org)
spamhaus PBL (pbl.spamhaus.org)
abuseat (cbl.abuseat.org)
Sorbs (dnsbl.sorbs.net) mais désactivé, trop de faux positifs.

ah oui, ça c'est juste mes logs de transport (donc filtrage IP/domaine), la ya pas le filtrage de contenu, qui en arrête encore 20-30 par jour

quand on pense a la BP bouffée sur les connexions WAN vers le FAI et tout le traffic routé pour rien sur internet

edit antiflood:
allez, la suite des stats, ça servira pt'etre a qqn:
sur le 1er aout (la ou yavait le plus de spams bloqués)
sur les 2786 spams:
2291 bloqués par spamcop
5 par spamhaus
108 par spamikaze
3 par spamhaus XBL
0 par spamhaus SBL
1 par spamhaus PBL
378 bloqués par abuseat

les requêtes sont envoyés simultanément aux IPBL, c'est le premier qui répond "KO" qui apparait dans les logs donc ne pas trop tenir compte des chiffres absolus, ça peut etre du au temps de réponse.
pour qu'un mail ne soit pas déclaré comme SPAM, il faut que tout les IPBL répondent OK ou tombent en timeout

évidement, interroger les IPBL coute aussi en BP, faire attention a ça aussi