Info sale temps pour les zombies

June 27th, 2005 par iMil

[message à l'attention des locataires du jardin magique]

Depuis samedi, sur l’excellent conseil de Mr flz, le serveur SMTP de GCU s’est muni de greylisting. Pour information, cette action a fait baisser le ratio de spam qui passait encore de près de 80%. Tout ceci pour vous dire que si d’aventure un ami-qui-vous-veut-du-bien s’étonne que vous n’ayez pas reçu son hilarant document powersale, il est possible que son serveur SMTP n’ait pas ré-essayé d’envoyer le mail 5mn plus tard comme le lui a indiqué notre greylist milter.

milter-greylist

Update: à lire, une excellente analyse argumentée et concrète sur l’utilisation du greylisting chez un opérateur respectable: et c’est signé SClo :)

Posté dans Info | 14 Comments »

14 Reponses pour “sale temps pour les zombies”

  1. alf Says:

    juste pour dire…
    …qu’on peut faire du greylisting de base avec OpenBSD et spamd.

  2. Anonyme Says:

    oui mais.
    … mais la granularite offerte n’est pas la meme, tu ne peux pas desactiver le greylisting pour une certaine classe d’adresses (email).

    Et apparemment iMil a dit qu’il n’utilisait pas pf sur cette machine.

  3. Anonyme Says:

    et la presenption d’innocence ?
    .. la technique du presume coupable je trouve ca bof … mnt si vous etes pas pressé de recevoir vos mails ! (voir d en perdre) :)

  4. Anonyme Says:

    pour le moment
    effectivement nous n’utilisons pas encore pf sur zone4. Nous attendons pour cela NetBSD 3.0 dans lequel pf devrait être présent dans le système de base et non plus sous forme de package.

    iMil’flem’o'log

  5. Anonyme Says:

    Re: et la presenption d’innocence ?
    tu as des arguments ? des exemples ? je suis interessé

  6. Anonyme Says:

    Re: et la presenption d’innocence ?
    en fait c’est presomption, mais si tu dis ca c’est que tu ne sais pas comment ca marche, suis donc le lapi^Wlien que le monsieur t’a donne.

  7. Anonyme Says:

    Re: et la presenption d’innocence ?
    j’ai lu, ma question est réelle, as-tu des fais concrets sur la possibilité de perte de mail ?

  8. Anonyme Says:

    Re: et la presenption d’innocence ?
    mis en prod il y a deux mois a ma boite, pas de problemes de perte de mails depuis, maintenant le risque 0 n’existe pas.

  9. Anonyme Says:

    on dit “présomption”
    c’est tout :)

  10. Anonyme Says:

    Re: et la presomption d’innocence ?
    Ca marchera jusqu’au moment où les spammeurs s’adapterons et réessayerons une deuxième fois.
    La solution ne me parait pas vraiment perene…
    Bogofilter est très efficace pour éliminer le spam, le principal inconvénient étant qu’on encaisse quand même les mails des spammeurs…

  11. Anonyme Says:

    Re: La solution ne me parait pas vraiment perene…
    pas plus que les filtres heuristiques voues a une mise a jour reguliere. Mon point de vue c’est que “pour l’instant, ca marche”. On pourrait tenir le meme discours pour SPF, les RBLs, le bayesien, l’heuristique…

  12. Anonyme Says:

    chui pas sur by (thenubiofinformatic)
    dans ma spams, plus de la moitié est récue 2 fois voire 3. perso, g spamassassin/dcc/baysian avec sa-learn cronté tous les jours…. le hit positif atteint les 95% à 98%, les faux positifs tres tres rares. c’est deja pas mal. mais bon, c’est vrai que je recoi que 200 spams et 20 virus par jour ce n’est pas beaucoup pour les 15 boites mails.

  13. Anonyme Says:

    présomption de perte de mails

    Tout d’abord, l’argument comme quoi les spammeurs s’adapteront, patati, patata ; ben ok, on avisera à ce moment là pour légèrement modifier les réglages. Aujourd’hui en tout cas, les greylists, en complément d’autres choses, c’est un système anti spam (envoyés par les zombies) qui fonctionnent, donc mangez en !
    (en prod sur nos serveurs depuis fin 2003)

    Ensuite, c’est vrai que le système des listes grises, n’est pas un système 100% je te maraboute ton spam ; il y a des réglages à faire, et des pièges à éviter.

    Le premier piège est la lenteur de réception des mails, car suite à un premier refus par le système des listes grises, même celui-ci réglé à 5m, c’est la configuration du MTA distant et de son délai de réémission des mails qui prime !!!
    En gros, si le MTA distant décide de ne réémettre les mails greylistés chez vous qu’au bout de 4j, ben vous n’avez rien à faire :(((((

    Le seul cas rencontré où il y avait perte réelle des mails, c’était de la faute de la mauvaise (très mauvaise) configuration des MTA d’en face. Pour l’anecdote, les MTA de télé2 ne réémettaient AUCUN mail qui avait reçu une erreur SMTP non permanente, et pas de warning non plus à l’émetteur.
    On leur a dit, 2 fois, ils ont corrigé depuis mais n’ont pas dit merci :/
    Dans ce cas là, la correction de leur côté a solutionné le problème.

    Ensuite il y a les cas où la configuration en face est assez curieuse et où le mail se balade d’un serveur à l’autre à chaque réémission ce qui fausse l’apprentissage du triplet IP_source/FROM/TO dans les listes grises.
    Exemple Google où le même mail est réémis à partir d’IPs différentes (j’ai une théorie sur leur architecture et plus particulièrement sur la config de leur load-balancer “sortant”)=+> Correction : white list des serveurs SMTP sortants de Google (facile, ils sont dans leur enregistrements SPF, mais ça fait un paquet d’IPs)

    Ensuite viennent les mailing-lists, et là, pour celles utilisant le VERP ou le ezmlm-like, point de salut, une seule solution c’est de white-lister les serveurs de ces listes car le système d’apprentissage des greylists n’apprendra jamais rien vu que le FROM (d’enveloppe) change à chaque mail.

    A noter aussi (et surtout) qu’on a un système de liste grise maison, où chaque triplet IP/FROM/TO est appris une seule fois ; le mail est ralenti (temporairement refusé) à la première présentation, et par la suite, la réception de mail en provenance de la même source ne sera pas du tout ralentie (ne passera pas dans le système de liste grise) !!!
    autre botte secrète, la base de données qui sert aux listes grises est répliquées sur tous les MX, l’apprentissage est global à toute la plateforme de mail.

    /SClo, prof

    (me suis pas relu, la text box est déjà trop petite pour un seul noeil, j’ai eu peur d’ouvrir l’autre)

  14. Anonyme Says:

    Ah tiens …..
    Là : http://cvs.puremagic.com/viewcvs/greylisting/schema/whitelist_ip.txt?rev=MAIN

    Il n’y a ni les listes NetBSD, ni celle de PostgreSQL, ni Google ….
    Pas tout complet quoi :(

    /SClo again

Répondre

Vous devez être identifié pour poster un commentaire.

Identification

Enregistrez-vous

SQUAD!

GCU live

[19:01:48] twisla tamponne Organix98
[19:02:13] twisla enfin, on voit pas le canal par contre
[19:02:33] twisla et merci pour ton pass nickserv :)
[19:03:18] petrus_lt haha
[19:06:59] Vigdis mouarf
[19:11:17] dermiste mmmh, en python, j'ai une string qui vaut '(\xa8\x8erappel-s\xa8\x a6rigraphie\xa8\x8d)', et c'est encodé en gb2312
[19:11:41] Organix98 bon sinon a part ce fail monumentale je suis content d'être sur #gcu :)
[19:12:09] dermiste et quand je fais '(\xa8\x8erappel-s\xa8\x a6rigraphie\xa8\x8d)'.de code('gb2312'), je me prend un UnicodeDecodeError: 'gb2312' codec can't decode bytes in position 1-2: illegal multibyte sequence
[19:12:51] dermiste Dans mutt (car c'est un sujet de mail) j'ai juste des ?? qui apparaissent
[19:13:06] dermiste une idée sur comment améliorer la robustesse du decode ?
[19:14:24] dermiste ah, une recherche sur SO et un test m'apprend que ce n'est pas du gb2313, mais du cp936

Miiissioudaaam'

Archives:

Meta:

Hosted by:

NBS-System