Re: Bloquer un TLD sous Postfix

[Daniel Caillibaud <ml@lairdutemps.org>]

Le 04/04/18 à 23:07, "Ph. Gras" <ph.gras@worldonline.fr> a écrit :
PG> ayant été emmerdé aussi par ce voyou, j'ai constitué un système pour
PG> récupérer toutes ses plages IP à bloquer (avec bash et ipcalc), et que
PG> je vous livre dans un fichier à télécharger ici :
PG> https://fichiers.enpret.com/top.txt

Je déconseille fortement ce genre de filtrage sauvage ;-)

Vu ta liste et les plages utilisées, tu interdis un paquet de serveurs ovh
(16 par /28, 32 par /27, etc), et je parie que dans ta liste y'a déjà 90%
des ips que ce "voyou" n'utilise plus et qui ont été relouées à d'autres
(voire 100%), pour la plupart parfaitement innocents.

Et la généralisation de ces comportements amène à la conclusion que seuls
gmail, hotmail & co peuvent envoyer des mails ayant de bonnes chances
d'arriver. Donc tous ceux qui maintenaient leur petit serveur de mail perso
abandonnent parce qu'ils sont régulièrement blacklistés ici ou là, de
manière totalement arbitraire et obscure, évidemment sans être prévenus,
et que ça devient trop pénible à maintenir.

Ça me paraît à l'encontre de ce qu'on doit être nombreux à soutenir ici
(code libre et données privées protégées), en sapant le travail de
https://degooglisons-internet.org/

Attention, j'ai pas dit que tu étais vendu à google, et le spam est
pénible pour tout le monde, mais bloquer sauvagement des plages d'ip
entières revient à favoriser les gros acteurs du mail (car eux ne seront
jamais bloqués vu le nb d'individus honnêtes à qui ils offrent leurs
services).

Si tu as un script qui détecte que c'est du spam, il vaudrait mieux
l'envoyer à un rbl sérieux [1], mais le faire automatiquement est risqué
[2], et le faire après vérification par un humain chronophage :-/

Sinon, pour le blindage de ton smtp, vaut mieux se fier au domaine de
l'ip qui t'appelle, avec comme base
- obliger le smtp qui t'appelle à avoir une ip avec un reverse
- que le reverse soit dans les dns et qu'il pointe bien vers cette ip (même
  si le reverse n'est pas le même que le domaine du helo)
- que le domaine annoncé dans le helo pointe bien vers l'ip qu'il utilise
Je crois que c'est la conf par défaut de postfix dans debian, à vérifier.

Et ensuite tu peux tagguer / rejeter d'après ce domaine, mais si tu
rejettes, fais le avec un message donnant une idée du motif (genre "too
much spam")

[1] par sérieux j'entends
- qui bloque pas automatiquement au 1er signalement
- qui ne rançonne pas pour le débloquage
- qui débloque automatiquement au bout d'un moment
(je crois que spamcop satisfaisait ces critères, à vérifier, mais il n'est
pas le seul)

[2] Une détection automatique et fiable du spam me paraît pas vraiment
possible, et même des systèmes très élaborés ont des faux positifs, même si
effectivement, on peut considérer qu'un score de 6 ou 7 à spamassassin est
du spam à 99,9% (p'tet plus de 9 après la virgule). En tout cas je met dans
un dossier spam_certain à partir de 6 et j'ai encore jamais vu de mail
légitime dedans (et j'avoue le vider après l'avoir regardé très
superficiellement).


Amicalement,

-- 
Daniel

On ne dit pas « je vais au coiffeur » mais « je vais au
capilliculteur »
Pierre Desproges