PhenIXUS

[Franck78]

[Edition par jibe]Les 5 posts qui suivent (jusqu'à mention de fin) ont été déplacés depuis le sujet "Spamassassin : local.cf". Explications plus détaillées dans ce post

Dans ces posts, les allusions au hors sujet s'appliquaient à l'autre fil, pas à celui-ci bien sûr .
jibe.

Et bien si google n'amène pas un public élargi avec une telle liste de mots clés, je démissionne

Toujours est-il que j'utilise 'dspam' et que je n'en reçois plus depuis longtemps. J'avais pas accroché avec SA et ses règles à priori pas maintenues....

[jibe]

C'est vrai que dspam me plait bien, déjà parce qu'écrit en C. Je suppose qu'il n'est pas aussi gourmand en ressources que Spamassassin ! (je hais le perl )

Pas tout à fait la même approche, mais tu confirmes ce que j'avais lu et entendu : efficace !

Mais bon, sur SME, SA est installé d'origine, je crains que ce ne soit pas très simple d'installer DSpam à la place (bien que, il suffit probablement de le mettre en plus et de désactiver SA). J'ai depuis longtemps l'envie de regarder ça de plus près, mais avec ces pu*** de journées montagnardes qui n'ont que 24h...

[Cool34000]

Salut,

Je n'utilise pas d'antispam car je recois très peu de spam sur ma boite perso (1 à 2 par semaine...)
Il fut une époque ou j'utilisais PopFile qui n'est pas un antispam mais plutot un classificateur de mails.
Il est disponible pour toutes les plateformes, j'avais même fait un RPM pour SME il y a loooongtemps dans une galaxie far far away
Je ne sais pas si ce paquet fonctionne toujours sur SME vu que je ne l'utilise plus !

[jibe]

Salut,

Je ferais bien de prendre le temps de suivre un peu mieux l'actualité... Je viens de découvrir que Jesper Knudsen a fait une contrib pour installer Dspam sur SME ! Bon, c'est un autre sujet, je ne vais pas m'étendre ici. Juste pour info okazou d'autres ne seraient pas au courant. J'essaierai très probablement et tiendrai au courant dans un autre fil.

[jibe]

Il fut une époque ou j'utilisais PopFile qui n'est pas un antispam mais plutot un classificateur de mails.

Intéressant... Il faudra que je regarde de plus près. Ça classe dans des répertoires pour chaque destinataire ?

Si ton RPM n'est plus utilisable, il doit être facile de l'adapter... Bon, là aussi, hors sujet et à traiter dans un autre fil, mais info intéressante quand même ici pour rappeler que spamassassin n'est pas le seul truc qui existe ! Merci pour l'info

Bon, puisque ce post semble susciter pas mal de suggestions et infos intéressantes, j'ouvre un autre fil à cet effet, afin de recentrer celui-ci sur la personnalisation de local.cf.

[jibe]

===================== Fin des posts déplacés ======================
Salut,

Mon sujet surspamassassin/local.cf semble vouloir susciter des suggestions pour d'autres anti-spam, alors pour que le fil reste bien dans son sujet, j'en ouvre ici un autre pour discuter des différents anti-spam.

Ce qui serait pas mal, c'est que chaque intervenant indique :
- L'antispam qu'il utilise
- Sur quel(s) système(s)
- Le lien vers le site de l'antispam (s'il y a, in French, it's better )
- Son appréciation et/ou les raisons de son choix
- S'il a des statistiques (nombre de spams total, filtrés, faux positifs...)

[Cool34000]

Salut,

Ça classe dans des répertoires pour chaque destinataire ?

PopFile est un Proxy mail qui classe les mails entrants en fonction des catégories que tu créés (ex : spam, perso, boulot, etc.)
Son avantage est donc de pouvoir traiter plusieurs catégories à la différence d'un antispam qui ne classe que 2 choses : spam et non spam !
PopFile ne connait aucune catégorie au départ, ce qui veut dire qu'il a une période d'apprentissage puisqu'il faut reclassifier les mails et les attribuer à une catégorie...

3 possibilités s'offrent à l'utilisateur :
- ajouter un tag au sujet des mails traités (ex : [SPAM] need viagra?)
- ajouter une classification "cachée" dans l'entête du mail (ex : X-Text-Classification: PERSO)
- ajouter les 2 !
Dans tous les cas, si tu veux déplacer les mails d'une catégorie dans un dossier spécifique dans ton client mail, il te faudra créer une règle et utiliser selon ton choix le sujet ou le X-Text-Classification !


Plus d'infos ici.

[ccnet]

Dans ce domaine j'ai recours à un ensemble de mesures pour éviter le spam, et non à un seul et unique outils.

L'architecture.
Le serveur de mail n'est jamais exposé directement sur internet. J'utilise toujours un relai placé entre internet et le (ou les) serveurs de mails. Le relai est dans une zone (dmz) différente de celle où se trouve les serveurs de messagerie. Dans les grosses infrastructures le relai entrant est différent du relai sortant.
Le trafic smtp possible est strictement contrôlé. Il est bien sûr interdit vers internet à toutes la machines autres que celle impliquées dans le routage du courrier.

La plateforme du relai.
J'utilise la distribution Clear OS (ex ClarkConnect) pour son Postfix avec effectivement spamassassin. Je n'utilise pas Qmail parce que je connais Postfix et je n'utilise pas Sendmail à cause de son architecture monolithique peu sûre.

La lutte contre le spam
Je modifie manuellement les fichiers fichiers utilisée par Posfix et en particulier main.cf. Avant même que spamassassin soit utilisé j'applique de nombreuses règles de filtrage depuis Postfix.
Seul les utilisateurs enregistrés dans l'annuaire de la messagerie sont autorisé à recevoir des mails, tout le reste est rejeté (postfix/recipients).
Le reverse dns est vérifié systématiquement, comme la présence d'un mx correct pour le domaine expéditeur.
La commande Helo est obligatoire, les serveurs qui l'ignorent sont rejetés.
Les nom d'hôtes inexistant dans dns (pour le domaine) ou non qualifiés sont rejetés ceci pour les commandes Connect, Helo et From.
Une liste de serveurs blacklistés sur la commande connect est maintenue dans le fichier access_client. On peut indiquer le domaine source, le nom de la machine ou encore son ip. Ne pas confondre cette information avec le contenu du champ "From". Toujours sur ce critère, une seconde liste mais basée sur des expressions régulières fait le même travail. Nous avons de nombreux spammeurs professionnels (ils appellent cela du marketing) qui font tourner les domaines en espérant tromper les filtres trop simples. Voici cette liste.

Code : Tout sélectionner

/sbc[0-9][0-9]\.com/         REJECT Client-sbc
/sbc[0-9][0-9]\.net/         REJECT Client-sbc
/sbr[0-9][0-9]\.com/         REJECT Client-sbr
/sbr[0-9][0-9]\.net/         REJECT Client-sbr
/sbn[0-9][0-9]\.com/         REJECT Client-sbn
/ymlp[0-9][0-9]\.com/      REJECT Client-ymplp
/ymlp[0-9]\.com/         REJECT Client-ymplp
/onm[0-9][0-9]\.com/      REJECT Client-onm
/oanm[0-9][0-9]\.com/      REJECT client-oanm
/oxi[0-9][0-9]\.com/         REJECT Client-oxi
/routage-[0-9][0-9]\.com/      REJECT Client-routage
/emstechnology[0-9]\.net/      REJECT Client-emstechnology
/ems[0-9]\.net/         REJECT Client-ems
/gce-mailer-[0-9][0-9]\.com/   REJECT Client-gce
/smailer-475-[0-9]\.com/      REJECT Client-esmailer
/smailer-475-[0-9][0-9]\.com>/   REJECT Client-esmailer
/url.emm[0-9][0-9]\.net/      REJECT Client-enm
/aart[0-9][0-9]\.net/      REJECT Client-aart
/node-host[0-9][0-9]\.smtp\.com/   REJECT Client-node-host
/mail20[0-9][0-9]\.net/      REJECT Client-mail20
/edt[0-9][0-9]\.net/         REJECT Client-edt
/market[0-9][0-9]\.info/      REJECT Client-marketxx

Une fois que l'on filtre ce petit monde on dégage une grosse partie des spammeurs pro.

J'effectue ensuite un filtrage sur le contenu des entêtes (fichier header_check). Je regarde les champs From, Subject, To, CopyTo. J'y utilise des expressions régulières comme par exemple :

Code : Tout sélectionner

/^Subject: .*Viagra|viagra|Cialis|cialis|pills|Cialix|Xanax|via en ligne|Pfizer/   REJECT HeaderRule89

Après le reject je place une référence pour traiter facilement les faux positif et déterminer la règle qui bloque à tort.

Je réalise aussi des tests (body_check) sur le corps du mail en y recherchant notamment les signatures des outils du type Sarbacane et autres ou encore des phrases assez classiques :

Code : Tout sélectionner

/.*Your e-mail will be blocked.*/ REJECT body content66
/.*Your order: Sony VAIO.*/ REJECT body content67
/.*booksalon.kr.*/ REJECT body content68
/.*Wholesale on erection.*/ REJECT body content69

Ensuite seulement Spamassassin traite le message. le but est de le solliciter au minimum. Selon la cotation (X_Spam_Score) le mail est rejeté, placé en quarantaine ou tagué spam. Si il est tagué, il est distribué mais dans le courrier indésirable de l'utilisateur.

Il m'arrive aussi de bloquer une tempête de spam, notamment les tentatives de relayage intensif, au niveau du firewall.

[jibe]

Supers explications ! Merci ccnet

[sibsib]

Hello ccnet (et les autres ),

Sur SME, le genre de règles que tu crées à la main existe aussi. En fait, qmail n'est utilisé que pour la gestion interne et l'expédition des mails. La réceptions des mails est faite par qpsmtp, qui applique peu ou prou des règles comme les tiennes. Et, lui aussi ne sollicite spamassassin que si les autres règles n'ont rien détecté.

A titre d"'exemple, pour la journée d'hier, sur mon serveur, 703 connexions smtp. Sur ces 703 connexions, 453 ont étés bloquées par les filtres de qpsmtpd, alors que 17 ont étés bloquées et 44 marquées suspicieuses par spamassassin

Pour la petite histoire, qpsmtpd s'appelle ainsi parce qu'il a été créé à l'origine comme préprocesseur de mail pour qmail. Mais il est aujourd'hui utilisé devant du postfix et du sendmail, entre autre.

A+,
Pascal