DNS et Black Lists

Le
fra-duf-no-spam
Salut.

Depuis hier vers 18h, et jusqu'à ce que je m'en rende compte vers 1h00
ce matin, mon serveur Exim4 sur ma Debian stable a rejeté la
quasi-totalité des mails.

La raison en est que chacune des IP voulant me transmettre un mail
était marquée dans un quelconque RBL, XBL ou autre BL que
j'utilise(j'utilisais).

La log de exim est du genre:

2008-08-13 01:02:55 H=(smtp3-g19.free.fr) [212.27.42.29] F=<root@tourde=
.org> rejected RCPT <francois@tourde.org>: 212.27.42.29 is listed at sbl-xb=
l.spamhaus.org (213.228.63.58: )
2008-08-13 01:03:05 H=(sita.openmoko.org) [88.198.124.203] F=<community=
-bounces@lists.openmoko.org> rejected RCPT <fr-om@tourde.org>: 88.198.124.2=
03 is listed at sbl-xbl.spamhaus.org (213.228.63.58: )
2008-08-13 01:03:06 H=(sita.openmoko.org) [88.198.124.203] F=<devel-bou=
nces@lists.openmoko.org> rejected RCPT <fr-om@tourde.org>: 88.198.124.203 i=
s listed at list.dsbl.org (213.228.63.58: )
2008-08-13 01:03:09 H=(smtp3-g19.free.fr) [212.27.42.29] F=<> rejected =
RCPT <root@tourde.org>: 212.27.42.29 is listed at list.dsbl.org (213.228.63=
.58: )
2008-08-13 01:08:03 H=(smtp7-g19.free.fr) [212.27.42.64] F=<root@tourde=
.org> rejected RCPT <francois@tourde.org>: 212.27.42.64 is listed at dnsbl.=
njabl.org (213.228.63.58: )
2008-08-13 01:08:04 H=(smtp7-g19.free.fr) [212.27.42.64] F=<> rejected =
RCPT <root@tourde.org>: 212.27.42.64 is listed at bl.spamcop.net (213.228.6=
3.58: )

et ma config de blacklist contient:

- bl.spamcop.net
- dnsbl.njabl.org
- sbl-xbl.spamhaus.org
- list.dsbl.org

Quand je fais le test à la main pour une IP donnée (celle d'un des
SMTP de free par exemple), cette adresse n'est pas vu listée par
l'interface de spamcop.net par exemple, mais Exim me reporte quand
même l'erreur.

J'ai, dans le désordre:

- Tenté de relancer Exim
- Tenté de relancer mon DNS (il est en tête de mon /etc/resolv.co=
nf)
- Tenté de dormir

Avant de réactiver le traitement du Blacklist sans passer par mon
DNS pour voir si c'est le mien qui est empoisonné, je voulais savoir
si certains d'entre vous avaient eu le même souci, ou une idée de
pourquoi

Merci pour toute aide ou toute remarque.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
François Boisson
Le #16536781
Le Wed, 13 Aug 2008 11:51:50 +0200
(François TOURDE) a écrit:

2008-08-13 01:08:03 H=(smtp7-g19.free.fr) [212.27.42.64] F rejected RCPT dnsbl.njabl.org (213.228.63.58: ) 2008-08-13 01:08:04 H=(smtp7-g19.free.fr)
[212.27.42.64] F at bl.spamcop.net (213.228.63.58: )



J'ai remarqué que l'adresse de tes listes noires (que je refuse d'utiliser)
est toujours la même 213.228.63.58, cette IP donne avec un

lynx 213.228.63.58

Attention !!!

Si vous arrivez sur cette page c'est que votre configuration DNS est
incorrecte. Merci de modifier les paramètres IP de votre ordinateur si
possible en DHCP pour obtenir automatiquement la bonne configuration. Pour
info les DNS de Free sont : 212.27.40.240 et 212.27.40.241

Donc à mon avis, tu as un gros souci de DNS. Vérifie encore de ce coté.

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le #16543581
Le Thu, 14 Aug 2008 00:59:37 +0200
(François TOURDE) a écrit:

Le 14104ième jour après Epoch,
François Boisson écrivait:

> J'ai remarqué que l'adresse de tes listes noires (que je refuse d'utiliser)
> est toujours la même 213.228.63.58, cette IP donne avec un

Bien vu, j'avais pas remarqué :)

Tu peux développer pourquoi tu refuses d'utiliser les black lists?



Dialogue sur cette liste avec Stephane Bortzmeyer au démarrage qui m'avait
renvoyé sur ces docs:

http://boisson.homeip.net/Blacklists_Resultats.pdf
et
http://boisson.homeip.net/Blacklists_FAQ.pdf

ces dialogues avec Free:
http://boisson.homeip.net/FreeSMTP.pdf
et avec DUL
http://boisson.homeip.net/DulSMTP.pdf

m'ont convaincu de la nocivité de cette pratique dont les conséquences sont la
fragilisation du traffic par la concentration sur des serveurs SMTP dits
institutionnels et l'énorme pouvoir acquis par des boites autoproclamées
référentes: la Dul est capable de bloquer le traffic de toutes les universités
et grandes écoles Françaises alors que c'est une obscure boite aux USA.
Enfin ne pas utiliser de listes noires n'a pas augmenté le nombre de spams de
manière réellement sensible et permet à mon spamassassin de s'éduquer.


> lynx 213.228.63.58
>
> Attention !!!
>
> Si vous arrivez sur cette page c'est que votre configuration DNS est
> incorrecte. Merci de modifier les paramètres IP de votre ordinateur si
> possible en DHCP pour obtenir automatiquement la bonne configuration. Pour
> info les DNS de Free sont : 212.27.40.240 et 212.27.40.241
>
> Donc à mon avis, tu as un gros souci de DNS. Vérifie encore de ce
> coté.

C'est ça... Dans mon DNS, j'ai mis comme forwarder les DNS de free que
j'ai récupéré il y a un moment sur mon DHCP, mais ça a dû changer, et
comme je suis en IP fixe, j'ai pas fait attention...

Soit je vire les forwarders, soit je trouve un moyen de les récupérer
de façon un peu plus dynamique.

Merci pour ton coup de main, et ton coup d'oeil ;)



Si tu utilises la Freebox, tu peux récupérer les DNS sur
/var/lib/dhcp3/dhclient.eth0.leases
(si eth0 est l'interface connectée)
$ grep domain-name-servers /var/lib/dhcp3/dhclient.eth0.leases | tail -n 1 |
sed -e 's/.* ([^ ]*);/1/' | sed -e 's/,/n/'
te donne les deux IP des DNS

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le #16543691
Le Thu, 14 Aug 2008 09:14:49 +0200
François Boisson
Enfin ne pas utiliser de listes noires n'a pas augmenté le nombre de spams de
manière réellement sensible et permet à mon spamassassin de s'éduquer.



Par contre j'utilise une liste grise perso assez efficace

F.B

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le #16543941
Le Thu, 14 Aug 2008 09:14:49 +0200
François Boisson
Si tu utilises la Freebox, tu peux récupérer les DNS sur
/var/lib/dhcp3/dhclient.eth0.leases
(si eth0 est l'interface connectée)
$ grep domain-name-servers /var/lib/dhcp3/dhclient.eth0.leases | tail -n 1 |
sed -e 's/.* ([^ ]*);/1/' | sed -e 's/,/n/'
te donne les deux IP des DNS



Je viens de lire que tu es en statique, reste plus qu'à faire un cron qui
vérifiés les DNS régulièrement ou à utiliser un DNS tiers


François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jacques L'helgoualc'h
Le #16545001
Bonjour,

François Boisson a écrit, jeudi 14 août 2008, à 09:14 :
[...]
Si tu utilises la Freebox, tu peux récupérer les DNS sur
/var/lib/dhcp3/dhclient.eth0.leases
(si eth0 est l'interface connectée)
$ grep domain-name-servers /var/lib/dhcp3/dhclient.eth0.leases | tail -n 1 |
sed -e 's/.* ([^ ]*);/1/' | sed -e 's/,/n/'
te donne les deux IP des DNS



On peut remplacer ton tube grep-tail-sed^2 par :

sed -rne '/domain-name-servers/h;${g;s/^.* ([^ ]*);/1/;s/,/n/g;p}'

--
Jacques L'helgoualc'h

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Vincent Lefevre
Le #16545381
On 2008-08-14 09:14:49 +0200, François Boisson wrote:
Dialogue sur cette liste avec Stephane Bortzmeyer au démarrage qui m'avait
renvoyé sur ces docs:

http://boisson.homeip.net/Blacklists_Resultats.pdf
et
http://boisson.homeip.net/Blacklists_FAQ.pdf

ces dialogues avec Free:
http://boisson.homeip.net/FreeSMTP.pdf
et avec DUL
http://boisson.homeip.net/DulSMTP.pdf



Nerim indique dans les informations whois les plages qui ne sont
pas dynamiques. Ainsi l'utilisateur peut contacter directement
les services de blacklists, qui peuvent vérifier les infos.

m'ont convaincu de la nocivité de cette pratique dont les
conséquences sont la fragilisation du traffic par la concentration
sur des serveurs SMTP dits institutionnels et l'énorme pouvoir
acquis par des boites autoproclamées référentes: la Dul est capable
de bloquer le traffic de toutes les universités et grandes écoles
Françaises alors que c'est une obscure boite aux USA.



J'utilise les blacklists avec du scoring. Sans les blacklists, je
devrais me baser encore plus sur le filtrage bayésien (vu que les
spammeurs envoient maintenant du spam "propre"), ce qui n'est pas
une bonne solution non plus.

Enfin ne pas utiliser de listes noires n'a pas augmenté le nombre de
spams de manière réellement sensible et permet à mon spamassassin de
s'éduquer.



Chez moi, cela a fait une grosse différence. Mais je les utilise
principalement via SpamAssassin.

On 2008-08-14 09:21:08 +0200, François Boisson wrote:
Par contre j'utilise une liste grise perso assez efficace



Les listes grises ont aussi leurs problèmes, notamment pour ceux
qui veulent envoyer du mail depuis une connexion non permanente
(e.g. via un portable), sans utiliser les smarthosts du FAI
(ceux-ci pouvant se faire blacklister).

--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le #16546001
L> >
> http://boisson.homeip.net/Blacklists_Resultats.pdf
> et
> http://boisson.homeip.net/Blacklists_FAQ.pdf
>
> ces dialogues avec Free:
> http://boisson.homeip.net/FreeSMTP.pdf
> et avec DUL
> http://boisson.homeip.net/DulSMTP.pdf

Nerim indique dans les informations whois les plages qui ne sont
pas dynamiques. Ainsi l'utilisateur peut contacter directement
les services de blacklists, qui peuvent vérifier les infos.



Free aussi, lis bien le dialogue avec la DUF, ça fait 3 ans que je les relance
sans arrêt...


> m'ont convaincu de la nocivité de cette pratique dont les
> conséquences sont la fragilisation du traffic par la concentration
> sur des serveurs SMTP dits institutionnels et l'énorme pouvoir
> acquis par des boites autoproclamées référentes: la Dul est capable
> de bloquer le traffic de toutes les universités et grandes écoles
> Françaises alors que c'est une obscure boite aux USA.
[...]
> Enfin ne pas utiliser de listes noires n'a pas augmenté le nombre de
> spams de manière réellement sensible et permet à mon spamassassin de
> s'éduquer.

Chez moi, cela a fait une grosse différence. Mais je les utilise
principalement via SpamAssassin.

On 2008-08-14 09:21:08 +0200, François Boisson wrote:
> Par contre j'utilise une liste grise perso assez efficace

Les listes grises ont aussi leurs problèmes, notamment pour ceux
qui veulent envoyer du mail depuis une connexion non permanente
(e.g. via un portable), sans utiliser les smarthosts du FAI
(ceux-ci pouvant se faire blacklister).



Quel rapport? Justement, il n'y a pas de liste noire, ce que j'appelle
listegrise est une liste où si un serveur demandant une connexion ne figure
pas, on demande au serveur de réessayer plus tard (6 minutes chez moi). Si le
serveur est bien fait, il réessaye un quart d'heure plus tard et ça passe
bien. Parce que je ne me sers pas du SMTP de Free, je suis assez sensible à
ce point de vue. Par contre il est impératif d'avoir une IP stable pendant au
moins une heure, ça me parait raisonnable pour un SMTP.



François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Vincent Lefevre
Le #16547041
On 2008-08-14 15:41:56 +0200, François Boisson wrote:
Free aussi, lis bien le dialogue avec la DUF, ça fait 3 ans que je
les relance sans arrêt...



Effectivement. Et je me rappelle maintenant qu'on avait justement
discuté de Free vs mail-abuse.org lorsque j'étais au Loria.

Maintenant, sur mon serveur, j'avais à un moment donné moi-même
blacklisté toutes les Freebox parce que Free ne prenait pas en
compte mes plaintes à abuse: la même machine renvoyait du spam
quelques jours plus tard.

> Les listes grises ont aussi leurs problèmes, notamment pour ceux
> qui veulent envoyer du mail depuis une connexion non permanente
> (e.g. via un portable), sans utiliser les smarthosts du FAI
> (ceux-ci pouvant se faire blacklister).

Quel rapport? Justement, il n'y a pas de liste noire, ce que
j'appelle listegrise est une liste où si un serveur demandant une
connexion ne figure pas, on demande au serveur de réessayer plus
tard (6 minutes chez moi).



Le problème, c'est que "plus tard" (30 minutes par défaut avec exim),
la machine n'est plus forcément connectée. Donc le mail n'est jamais
parti. Depuis, j'ai redescendu le délai à 5 minutes.

Quand j'étais au Loria, des utilisateurs s'étaient plaints aussi des
listes grises, les délais allant jusqu'à plus de 10 heures.

--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le #16548131
Le Thu, 14 Aug 2008 17:53:15 +0200
Vincent Lefevre
Maintenant, sur mon serveur, j'avais à un moment donné moi-même
blacklisté toutes les Freebox parce que Free ne prenait pas en
compte mes plaintes à abuse: la même machine renvoyait du spam
quelques jours plus tard.



Oui mais maintenant, Free bloque le port 25, il y a beaucoup moins de freeboxs
relayant des spams.

> Quel rapport? Justement, il n'y a pas de liste noire, ce que
> j'appelle listegrise est une liste où si un serveur demandant une
> connexion ne figure pas, on demande au serveur de réessayer plus
> tard (6 minutes chez moi).

Le problème, c'est que "plus tard" (30 minutes par défaut avec exim),
la machine n'est plus forcément connectée. Donc le mail n'est jamais
parti. Depuis, j'ai redescendu le délai à 5 minutes.

Quand j'étais au Loria, des utilisateurs s'étaient plaints aussi des
listes grises, les délais allant jusqu'à plus de 10 heures.



Ça c'est excessif, j'ai mis 6 minutes de délai et ça reste pendant 15 jours
(initialement 35) (paquet compatible exim3 + inetd smtpwrap
http://boisson.homeip.net/debian/pool/etch/all/smtpwrap_1.0_all.deb )
Mais je pense que ça n'est pas raisonnable de faire un SMTP avec une machine
ne tenant pas l'IP plus de 10 minutes tout de même...
Cela m'a permis de gicler 191 serveurs dans la journée d'hier.
En fait avant, sur 20 mails ,j'avais
16 requêtes sur des distnataires n'existant pas
3 spams
1 message utile.

Le 16 premiers ont quasiment disparus, et 1 spam sur 3 subsiste (ce qui en
fait quand même près de 300 par jour que filtre spamassassin).

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Vincent Lefevre
Le #16550961
On 2008-08-14 21:27:58 +0200, François Boisson wrote:
Oui mais maintenant, Free bloque le port 25, il y a beaucoup moins
de freeboxs relayant des spams.



C'est pour ça que j'ai enlevé ma blacklist.

Mais je pense que ça n'est pas raisonnable de faire un SMTP avec une
machine ne tenant pas l'IP plus de 10 minutes tout de même...



Parfois on n'a pas vraiment le choix. Avec des smarthosts qui ont des
problèmes récurrents...

--
Vincent Lefèvre 100% accessible validated (X)HTML - Blog: Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme