Re: /etc/postfix/access

To: debian-user-french@lists.debian.org
Subject: Re: /etc/postfix/access
From: Vincent Danjean <Vincent.Danjean@ens-lyon.org>
Date: Mon, 27 Mar 2006 12:10:15 +0200
Message-id: <[🔎] 4427BA07.2020704@ens-lyon.org>
In-reply-to: <[🔎] 4427AA5B.40707@tootai.net>
References: <[🔎] 44265CE1.6080401@monaco.net> <[🔎] 4426DCCB.1080404@unix-scripts.info> <[🔎] 4426F3C8.3060307@monaco.net> <[🔎] 44279056.2020305@ens-lyon.org> <[🔎] 4427AA5B.40707@tootai.net>

Daniel Huhardeaux wrote:
> Vincent Danjean wrote:
>> [...]
>> La plupart des listes de spammeurs sont mal tenues à jour. Beaucoup de
>> manque, mais surtout beaucoup de faux positifs : c'est très facile d'y
>> rentrer, mais difficile d'en sortir. Par exemple, la liste rbl de
>> mail-abuse contient des entrées x.y.0.0/16 pour des plages d'IP
>> statiques de free ! C'est vraiment abuser, et on n'a aucun retour quand
>> on essaie de les contacter par mail. D'après leur FAQ, il faudrait que
>> ce soit free eux-même qui les contacte (rq les serveurs smtp de free se
>> sont aussi retrouvés dans cette liste récemment).
>>   
> Non, ce n'est pas de l'abus. A partir du moment ou on veut monter un
> serveur courriel il y a un minimum à faire. Combien de personnes ai je
> déjà vu voulant s'amuser à créer leur serveur mail et qui sont
> magistralement devenus des serveurs open relay!

En comment fait-on pour mettre en place des serveurs de mails pour des
associations ? Les relais des fournisseurs d'accès ne sont pas forcément
assez bon (trop lents, parfois blacklisté dans d'autres listes, ...) Et
parfois, c'est même impossible techniquement (comment mettre en place
une solution mail avec SRS+SPF pour des redirections si on doit utiliser
le serveur mail du fournisseur de l'IP ?)

> Et comment ces listes
> doivent elles savoir si l'opérateur alloue des IP fixes ou dynamiques?

vdanjean@cayuga:~$ whois 81.57.102.121
[...]
inetnum:      81.57.102.0 - 81.57.103.255
netname:      FR-PROXAD-ADSL
descr:        Proxad / Free Telecom
descr:        Static pool (Freebox)

Ce n'est donc vraiment pas dûr quand on reçoit une adresse de spammeur
potentiel de voir s'il faut blacklister l'IP où le block d'IPs !

> Donc par définition on bloque tout, comme un firewall.

Pour du mail, je trouve ça très dommageable pour les utilisateurs. Pour
ma part, j'ai arrêté d'utiliser le mail de mon travaille (labo publique)
depuis que j'ai vu l'action de leur règles de filtrage : je veux qu'un
correspondant envoyant un mail conforme aux standards puisse me joindre,
qu'il poste depuis chez lui ou pas.

> La solution est simple: sur vos pages de free vous demander à faire
> pointer le reverse DNS sur votre machine et le tour est joué.

Non, dans le cas que j'ai cité, le filtrage est fait sur l'IP, pas sur
le nom obtenu par reverse DNS.

vdanjean@cayuga:~$ host penpen.tenebreuse.org
penpen.tenebreuse.org has address 81.57.102.121
vdanjean@cayuga:~$ host 81.57.102.121
121.102.57.81.in-addr.arpa domain name pointer penpen.tenebreuse.org.

>>   Tous ça pour dire que les sites qui refusent des mails conformes aux
>> standards à cause de ces listes perdent pas mal de mails d'utilisateurs
>> sérieux. Après, suivant ta base d'utilisateurs, tu peux l'accepter ou
>> non.
>>   
> Mon avis, ils gagnent plus à bloquer qu'à perdre d'éventuels
> utilisateurs, ceux qui sont refoulés n'ont qu'à effectuer les démarches
> pour correspondre au profil.

Pour avoir vu certains de mes mails refusés pour des raisons de
politique abusive, je peux te dire que je n'ai fait l'effort de le
renvoyer que lorsqu'il était vraiment important.
Le mail est un moyen de communication. Il y a des boîtes où je peux me
permettre un filtrage serré. Mais pour mes adresses de contact, je VEUX
être joignable par toute personne utilisant un serveur raisonnablement
configuré.

> En dehors de free, les serveurs de FT sont
> regulièrement blacklistés, surtout aux US. Yahoo et d'autres refusent
> également les mails provenant de serveurs dont le reverse ne correspond
> pas.
> 
> http://help.yahoo.com/help/us/mail/defer/defer-02.html
>> [...] (et je hais les FAC et labo qui utilisent ces listes
>> actuellement pour rejeter les mails).
>>   
> Règler correctement les DNS et plus personne ne sera à plaindre ou à
> hair ;-)

Ce n'est pas un problème de DNS dans ce cas ! Si c'était aussi simple,
ça ferait longtemps que ça serait réglé.
Le problème vient des listes gérées manuellement (au moins pour la
sortie de ces listes) qui blacklistent beaucoup plus qu'elles ne
devraient. Soit ces listes doivent faire plus attention à ce qu'elles
contiennent, soit il ne faut pas les utiliser comme condition suffisante
pour refuser des mails.
Et dans ma situation, il est plus facile d'agir sur la deuxième
possibilité (ie faire prendre conscience que ces listes posent en fait
plus de problèmes qu'elles n'en résolvent si on s'en sert pour refuser
les mails).

Évidemment, si on reçoit juste des mails perso, alors on peut CHOISIR
d'utiliser ces listes pour essayer de limiter les SPAM. Mais ça ne
devrait pas être le cas quand on reçoit les mails d'un ensemble
d'utilisateurs.

  A+
    Vincent

Reply to:

Follow-Ups:
- Re: /etc/postfix/access
  - From: Daniel Huhardeaux <no-spam@tootai.net>

References:
- /etc/postfix/access
  - From: deny <deny@monaco.net>
- Re: /etc/postfix/access
  - From: Laurent CARON <lcaron@unix-scripts.info>
- Re: /etc/postfix/access
  - From: deny <deny@monaco.net>
- Re: /etc/postfix/access
  - From: Vincent Danjean <Vincent.Danjean@ens-lyon.org>
- Re: /etc/postfix/access
  - From: Daniel Huhardeaux <no-spam@tootai.net>

Prev by Date: Re: Horloge système qui avance
Next by Date: Re: /etc/postfix/access
Previous by thread: Re: /etc/postfix/access
Next by thread: Re: /etc/postfix/access
Index(es):
- Date
- Thread