Re: [Postfix] Rejet de nom de domaine "usurpé"

To: debian-user-french@lists.debian.org
Subject: Re: [Postfix] Rejet de nom de domaine "usurpé"
From: Joël BERTRAND <joel.bertrand@systella.fr>
Date: Tue, 08 Apr 2014 12:20:32 +0200
Message-id: <[🔎] 5343CD70.8010906@systella.fr>
In-reply-to: <[🔎] 5343C95C.4070504@gmail.com>
References: <[🔎] 5342B7B7.5030304@nativobject.net> <[🔎] 201404071948.40291.andre_debian@numericable.fr> <[🔎] 5342F342.6090908@gmail.com> <[🔎] 53430D25.9080607@systella.fr> <[🔎] 53431027.6040104@gmail.com> <[🔎] 53438F77.8000606@systella.fr> <[🔎] 5343C95C.4070504@gmail.com>

Le 08/04/2014 12:03, Johnny B a écrit :

Le 04/08/2014 07:56 AM, BERTRAND Joël a écrit :

Johnny B a écrit :

Le 04/07/2014 10:40 PM, BERTRAND Joël a écrit :

Johnny B a écrit :

RE Hello, (désolé pour le bug  de police thunderbird ;)

Pour le forging il est inutile de passer par SPF ou Policyd2 par
exemple. (ces tools sont très utiles mais pour d'autres choses)

Il faut donc utiliser les options de restrictions Postfix comme :


smtpd_sender_restrictions =

   reject_authenticated_sender_login_mismatch
   reject_invalid_helo_hostname


La méthode de Joel BERTRAND pour aussi fonctionner mais ce n'est pas
viable. Imagine toi blacklister 50 000 serveurs de spams ;)


    Sauf que je ne blackliste rien. C'est au smtp distant d'avoir un
champ SPF valide. Je ne fais que vérifier lors du FROM (donc bien
avant la transaction concernant les données) que l'émetteur utilise
bien le bon SMTP.

    Mon domaine, c'est systella.fr avec un champ SPF "v=spf1
+a:rayleigh.systella.fr -all". Si une adresse forgée vient chez moi
avec comme expéditeur un sous-domaine de systella.fr et que ce mail
n'est pas venu de rayleigh.systella.fr, mon sendmail le jette (même
sans bounce). Et ce mécanisme est automatique. Il n'y a pas 50000
serveurs de spam à blacklister.


Merci pour les infos du SPF je connais ;)

Pourquoi utiliser du SPF pour éviter le forging alors que Postfix le
fait très bien et de façon native ? Je répondrai à ma propre question en
disant que c'est un choix perso.

SPF est très puissant mais n'est utile que si la grande majorité des
domaines ont un enregistrement SPF, or ce n'est pas vraiment le cas.
Meme si les majors des webmails ont encouragé l'utilisation du SPF ca ne
deviendra sans doute jamais un standard. ( et je le déplore)


    Raffinement : j'utilise aussi les soft-failed pour greylister,
comme les blacklists traditionnelles. C'est très efficace.

Il est essentiel d'utiliser les restrictions Postfix avant les tools
DKIM,SPF,Spamassassin,Amavis etc... Ces restrictions sont natives a
Postfix et fonctionnent divinement bien, cela évite aussi de
bouffer les
ressources car ces forging ou spams sont rejetés avant d'être traités.
Attention la gestion Postfix peu devenir un enfer ;)


    Je pense surtout que tu n'as pas bien compris l'intérêt du SPF. Ce
n'est pas d'éviter les spams en provenance de domaines de spam, mais
justement d'éviter que des spammeurs forgent des adresses.



J'ai largement utilisé ces tools y compris le greylisting ;) (je ne vois
pas l'intérêt du greylisting mais c'est un avis perso)


    Pourtant, entre le GREETINGS_DELAY, le greylisting, le scoring de
SA sur la longueur de la greylist, SA et clamav, je vire plus de 95%
des spams.



On va pas troller mais de mon coté j'utilise les restrictions postfix +
clamav + amavisd-new + spamassassin + dspam + policyd2

Et je drop environ 99,9 % des spams, sachant que la plupart se font
rejectés par Postfix en amont. On parle de forging de mail et plus en
général de checks des en-têtes.

Justement. Et la réponse est plus SPF que ce que tu indiquais plus hautqui ne résout absolument pas le problème de l'OP qui reçoit des mails despam avec une adresse forgée à partir de son propre domaine et enprovenance d'un SMTP tiers.

Je préfère utiliser Postfix a "100%" plutot que de rajouter des couches
de checks alors qu'il remplit très bien ce rôle   (c'est aussi un avis
perso ;) )


    Je ne vois pas en quoi la réponse au HELO serait invalide. Je ne
vois pas non plus en quoi l'émetteur devrait s'authentifier sur le
serveur local alors qu'il utilise un SMTP distant.


Excuse moi mais j'ai pas tout saisi la , j'ai cité des exemples de
checks c'est tout.


	Tu prétends pourtant que ce que j'avais indiqué ne fonctionnait pas.


    Il est vrai que je ne connais pas postfix, utilisant sendmail
depuis plus de vingt ans, mais ta technique me semble louche pour
résoudre le problème de l'OP.


Ce n'est pas vraiment "ma technique" mais des recommandations connues.
Je connais peu Sendmail, je suis passé très vite sur Postfix et Qmail,
surement une question de génération ;)


	On est toujours le vieux khon de quelqu'un d'autre.

	Fin de la discussion pour ma part,

	JKB

Reply to:

Follow-Ups:
- Re: [Postfix] Rejet de nom de domaine "usurpé"
  - From: Johnny B <frozzenshell@gmail.com>

References:
- [Postfix] Rejet de nom de domaine "usurpé"
  - From: "C. Mourad Jaber" <ml@nativobject.net>
- Re: [Postfix] Rejet de nom de domaine "usurpé"
  - From: andre_debian@numericable.fr
- Re: [Postfix] Rejet de nom de domaine "usurpé"
  - From: Johnny B <frozzenshell@gmail.com>
- Re: [Postfix] Rejet de nom de domaine "usurpé"
  - From: BERTRAND Joël <joel.bertrand@systella.fr>
- Re: [Postfix] Rejet de nom de domaine "usurpé"
  - From: Johnny B <frozzenshell@gmail.com>
- Re: [Postfix] Rejet de nom de domaine "usurpé"
  - From: BERTRAND Joël <joel.bertrand@systella.fr>
- Re: [Postfix] Rejet de nom de domaine "usurpé"
  - From: Johnny B <frozzenshell@gmail.com>

Prev by Date: Re: [Postfix] Rejet de nom de domaine "usurpé"
Next by Date: Re: UUID et label
Previous by thread: Re: [Postfix] Rejet de nom de domaine "usurpé"
Next by thread: Re: [Postfix] Rejet de nom de domaine "usurpé"
Index(es):
- Date
- Thread