Sur mon installation Postfix sous Wheezy, je cherche à rejeter tous les
messages dont l'adresse email provient du tld .top (donc toutes les
adresse en xxxx@xxxx.top) car 100% des emails reçus depuis ce TLD sont
des publicités non sollicitées ... grrrr
Dans le main.cf, j'ai mis ceci :
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
check_client_access hash:/etc/postfix/blacklist_hosts,
check_sender_access hash:/etc/postfix/blacklist_email,
reject_non_fqdn_recipient,.....
Et dans le fichier blacklist_hosts
.top REJECT
Puis dans le fichier blacklist_email
.top REJECT
Bien sur j'ai effectué le postmap des fichiers blacklist_hosts et
blacklist_email, redemarré Postfix et les mails passent toujours :(
J'ai foiré quelle étape ?
Merci à vous pour votre aide.
Certains le déconseillent. Je crois, à cause des mailing-lists qui peuvent casser la signature. Du coup, ça ne sert plus à grand chose, car certains spams ont des signatures DKIM valides.
Ah ? DKIM, DMARC et SPF sont partout donnés gagnants pour la lutte contre le SPAM, j'ai du mal à suivre ton raisonnement. Dans tous les cas pour nos serveurs, depuis leur implantation en plus du grey listing et des points évoqués par Daniel Caillibaud, les choses se sont bien améliorées.
J'au un plugin de vérification DKIM sur mon thunderbird, plein de mail légitime avec DKIM cassé...
Le 04/07/18 à 13:33, daniel huhardeaux a écrit :
Le 06/04/2018 à 02:24, Vincent Lefevre a écrit :
[...]
- DKIM (opendkim)
Certains le déconseillent. Je crois, à cause des mailing-lists qui
peuvent casser la signature. Du coup, ça ne sert plus à grand chose,
car certains spams ont des signatures DKIM valides.
Ah ? DKIM, DMARC et SPF sont partout donnés gagnants pour la lutte
contre le SPAM, j'ai du mal à suivre ton raisonnement.
Dans tous les cas pour nos serveurs, depuis leur implantation en plus
du grey listing et des points évoqués par Daniel Caillibaud, les
choses se sont bien améliorées.
J'au un plugin de vérification DKIM sur mon thunderbird, plein de mail
légitime avec DKIM cassé...
Certains le déconseillent. Je crois, à cause des mailing-lists qui peuvent casser la signature. Du coup, ça ne sert plus à grand chose, car certains spams ont des signatures DKIM valides.
Ah ? DKIM, DMARC et SPF sont partout donnés gagnants pour la lutte contre le SPAM, j'ai du mal à suivre ton raisonnement. Dans tous les cas pour nos serveurs, depuis leur implantation en plus du grey listing et des points évoqués par Daniel Caillibaud, les choses se sont bien améliorées.
J'au un plugin de vérification DKIM sur mon thunderbird, plein de mail légitime avec DKIM cassé...
Vincent Lefevre
On 2018-04-07 11:13:19 +0200, BERTRAND Joël wrote:
Ne pas oublier le GREETING EHLO. Les spammeurs n'attendent généralement pas la bannière du SMTP avant de balancer le spam. Ils font un EHLO puis balancent directement le reste du message sans attendre la réponse. En mettant un GH à 1s, je vire une très grosse partie des importuns. Inconvénient : le SMTP n'écoute pas durant une seconde, donc une connexion est tenue jusqu'au timeout et s'achève par un "NO DATA AFTER EHLO" ou quelque chose du genre (donc ne pas oublier de gérer les timeouts finement pour les montées en charge).
À ce propos, j'ai ceci dans ma config de postfix: postscreen_greet_action = enforce et postscreen_greet_wait a sa valeur par défaut (de 2 à 6 secondes suivant la charge). -- Vincent Lefèvre - Web: <https://www.vinc17.net/> 100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/> Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
On 2018-04-07 11:13:19 +0200, BERTRAND Joël wrote:
Ne pas oublier le GREETING EHLO. Les spammeurs n'attendent
généralement pas la bannière du SMTP avant de balancer le spam. Ils
font un EHLO puis balancent directement le reste du message sans
attendre la réponse. En mettant un GH à 1s, je vire une très grosse
partie des importuns. Inconvénient : le SMTP n'écoute pas durant une
seconde, donc une connexion est tenue jusqu'au timeout et s'achève par
un "NO DATA AFTER EHLO" ou quelque chose du genre (donc ne pas oublier
de gérer les timeouts finement pour les montées en charge).
À ce propos, j'ai ceci dans ma config de postfix:
postscreen_greet_action = enforce
et postscreen_greet_wait a sa valeur par défaut (de 2 à 6 secondes
suivant la charge).
On 2018-04-07 11:13:19 +0200, BERTRAND Joël wrote:
Ne pas oublier le GREETING EHLO. Les spammeurs n'attendent généralement pas la bannière du SMTP avant de balancer le spam. Ils font un EHLO puis balancent directement le reste du message sans attendre la réponse. En mettant un GH à 1s, je vire une très grosse partie des importuns. Inconvénient : le SMTP n'écoute pas durant une seconde, donc une connexion est tenue jusqu'au timeout et s'achève par un "NO DATA AFTER EHLO" ou quelque chose du genre (donc ne pas oublier de gérer les timeouts finement pour les montées en charge).
À ce propos, j'ai ceci dans ma config de postfix: postscreen_greet_action = enforce et postscreen_greet_wait a sa valeur par défaut (de 2 à 6 secondes suivant la charge). -- Vincent Lefèvre - Web: <https://www.vinc17.net/> 100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/> Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
Vincent Lefevre
On 2018-04-07 13:33:15 +0200, daniel huhardeaux wrote:
Le 06/04/2018 à 02:24, Vincent Lefevre a écrit :
[...] > - DKIM (opendkim) Certains le déconseillent. Je crois, à cause des mailing-lists qui peuvent casser la signature. Du coup, ça ne sert plus à grand chose, car certains spams ont des signatures DKIM valides.
Ah ? DKIM, DMARC et SPF sont partout donnés gagnants pour la lutte contre le SPAM, j'ai du mal à suivre ton raisonnement.
Concernant DKIM, cf la discussion: https://bugs.debian.org/cgi-bin/bugreport.cgi?bugh9414 Et en pratique, je reçois plein de mail légitime avec signature DKIM cassée (T_DKIM_INVALID). La plupart, en provenance de mailing-lists. Mais aussi les mails de Samsung SHOP, donc des mails qui peuvent être importants. -- Vincent Lefèvre - Web: <https://www.vinc17.net/> 100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/> Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
On 2018-04-07 13:33:15 +0200, daniel huhardeaux wrote:
Le 06/04/2018 à 02:24, Vincent Lefevre a écrit :
> [...]
> > - DKIM (opendkim)
> Certains le déconseillent. Je crois, à cause des mailing-lists qui
> peuvent casser la signature. Du coup, ça ne sert plus à grand chose,
> car certains spams ont des signatures DKIM valides.
Ah ? DKIM, DMARC et SPF sont partout donnés gagnants pour la lutte contre le
SPAM, j'ai du mal à suivre ton raisonnement.
Et en pratique, je reçois plein de mail légitime avec signature DKIM
cassée (T_DKIM_INVALID). La plupart, en provenance de mailing-lists.
Mais aussi les mails de Samsung SHOP, donc des mails qui peuvent être
importants.
On 2018-04-07 13:33:15 +0200, daniel huhardeaux wrote:
Le 06/04/2018 à 02:24, Vincent Lefevre a écrit :
[...] > - DKIM (opendkim) Certains le déconseillent. Je crois, à cause des mailing-lists qui peuvent casser la signature. Du coup, ça ne sert plus à grand chose, car certains spams ont des signatures DKIM valides.
Ah ? DKIM, DMARC et SPF sont partout donnés gagnants pour la lutte contre le SPAM, j'ai du mal à suivre ton raisonnement.
Concernant DKIM, cf la discussion: https://bugs.debian.org/cgi-bin/bugreport.cgi?bugh9414 Et en pratique, je reçois plein de mail légitime avec signature DKIM cassée (T_DKIM_INVALID). La plupart, en provenance de mailing-lists. Mais aussi les mails de Samsung SHOP, donc des mails qui peuvent être importants. -- Vincent Lefèvre - Web: <https://www.vinc17.net/> 100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/> Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
Daniel Caillibaud
Le 07/04/18 à 02:46, "Ph. Gras" a écrit : PG> Bonjour, PG> PG> > Je déconseille fortement ce genre de filtrage sauvage ;-) PG> PG> les remontrances de Daniel me semblent infondées et parfaitement PG> déplacées. C'est pas des remontrances, juste qu'amha mettre du filtrage en dur n'est pas à conseiller, pour les raisons que je détaillais. Ensuite, ça reste un conseil, que personne n'est obligé de suivre , encore heureux que chacun puisse configurer son smtp comme il l'entend. Amicalement, -- Daniel On n'a rien à gagner à emmerder les gens qui n'ont rien à pe rdre. Frédéric Dard (Les pensées de San-Antonio)
Le 07/04/18 à 02:46, "Ph. Gras" <ph.gras@worldonline.fr> a écrit :
PG> Bonjour,
PG>
PG> > Je déconseille fortement ce genre de filtrage sauvage ;-)
PG>
PG> les remontrances de Daniel me semblent infondées et parfaitement
PG> déplacées.
C'est pas des remontrances, juste qu'amha mettre du filtrage en dur n'est
pas à conseiller, pour les raisons que je détaillais.
Ensuite, ça reste un conseil, que personne n'est obligé de suivre , encore
heureux que chacun puisse configurer son smtp comme il l'entend.
Amicalement,
--
Daniel
On n'a rien à gagner à emmerder les gens qui n'ont rien à pe rdre.
Frédéric Dard (Les pensées de San-Antonio)
Le 07/04/18 à 02:46, "Ph. Gras" a écrit : PG> Bonjour, PG> PG> > Je déconseille fortement ce genre de filtrage sauvage ;-) PG> PG> les remontrances de Daniel me semblent infondées et parfaitement PG> déplacées. C'est pas des remontrances, juste qu'amha mettre du filtrage en dur n'est pas à conseiller, pour les raisons que je détaillais. Ensuite, ça reste un conseil, que personne n'est obligé de suivre , encore heureux que chacun puisse configurer son smtp comme il l'entend. Amicalement, -- Daniel On n'a rien à gagner à emmerder les gens qui n'ont rien à pe rdre. Frédéric Dard (Les pensées de San-Antonio)
