[Toulibre] Info

Jérôme jerome at jolimont.fr
Lun 26 Oct 09:45:27 CET 2015 

Le 2015-10-25 10:40, Aymeric a écrit :

> Effectivement, il s’agit d’un spam et il ne s’agit pas non plus d’une
> erreur de la part des modérateurs de cette liste (il y a depuis
> plusieurs semaines une bonne vingtaines de spam à modérer par jour).
> Les mails passent par la modération lorsqu’ils sont envoyés par une
> personne non inscrite, ici "clbouju" est inscrit sur cette liste et à
> donc la possibilité d’envoyer des mails directement.

Je pense que ça doit déjà éliminer pas mal de spams : tous ceux envoyés
au nom d'une adresse non inscrite.

> Étant donnée que Wanadoo/Orange, tout comme Free, sont encore aux années
> 1990 pour la partie mail, on ne peut pas détecter automatiquement si le
> mail vient, ou pas, d’un serveur légitime et faire le ménage dès le début…

Tu fais référence à SPF/DKIM, ce genre de choses ?

> Bref, ce spam a été envoyé par un serveur mail bidon qui c’est fait
> passé pour clbouju at wanadoo.fr et il a terminé ici.
> Une solution possible, mais qui ne ferait pas non plus tout, serait
> d’ajouter un antispam "actif" (type spamassassin) sur le serveur et en
> fonction faire le trie (avec le risque que du mail légitime se retrouve
> taggué comme spam − et rajoute du taf aux modérateurs)

Je l'utilise depuis longtemps sur mon serveur. Je pense que ça ne craint
vraiment pas grand chose en matière de faux positifs, surtout si tu
places le seuil d'éjection assez haut. Mais ça ne fera pas non plus des
miracles.

Tu peux demander à Postfix de virer les messages qui ont un très gros
score (8 me semble très sûr, 5 un peu trop juste, 7 je serais
tranquille) et de marquer à partir de 5 (valeur par défaut).

Même si le spam passe sur la liste, c'est bien qu'il soit marqué parce
que ça permet aux inscrits de le filtrer automatiquement. Si ce n'est
pas fait, une fois que le message a passé la liste, il est beaucoup plus
dur à détecter. En effet, une bonne partie des règles de détection ne
s'intéressent pas au contenu mais au protocole et au serveur d'origine,
donc des éléments qui sont perdus lorsque mailman fait suivre le message
sur la liste.

Par exemple pour le message incriminé, j'ai le score suivant :

X-Spam-Status: No, score=0.0 required=5.0
tests=FREEMAIL_FROM,HTML_MESSAGE,
    URIBL_BLOCKED autolearn=ham autolearn_force=no version=3.4.0

Ça veut dire en gros que spamassassin n'a rien détecté de spécial. Il a
même auto-appris ce message comme non-spam tellement il est "propre".
Les traces de spam (mauvaise utilisation du protocole, serveur d'origine
blacklisté) sont perdues au passage.

Si spamassassin ajoutait côté serveur des en-têtes "X-Spam-Level:*****",
et un marquage dans le sujet, on pourrait filtrer le message chacun de
notre côté. C'est évidemment pas l'idéal, et tout le monde ne saurait
pas faire (ou ne pourrait pas, selon son hébergeur et son courrielleur)
mais comme tu dis, c'est difficile d'être radical sans faire de
faux-positifs.

Si vous avez la curiosité, vous pouvez installer spamassassin sans virer
les messages, juste les marquer, et voir au bout de quelques temps la
répartition des scores spams/hams pour juger a posteriori de ce que ça
aurait fait si c'était activé.

Indépendamment, j'ai aussi activé dernièrement de faux enregistrements
MX (http://wiki.apache.org/spamassassin/OtherTricks). Difficile de juger
de l'efficacité mais ça coûte pas grand chose non plus.

Voilà mes deux sous.

-- 
Jérôme

Plus d'informations sur la liste de diffusion Toulouse-ll