Bonjour a tous.
 
JE SUIS ENERVE !!!
 
Je possede un serveur linux qui heberge notre serveur web, notre serveur de messagerie, et d'autres services, et je commencais a en avoir marre de recevoir des tonnes de spam.
Du coup je me suis penché plus en detail sur la configuration de Postfix et j'ai mis en place 2 ou 3 parametres afin de filtrer au maximum les mail entrant.
 
Voila ce que j'avais rajouté dans le /etc/postfix/main.cf :
 
# On rejette le client le plus tot possible
 
smtpd_delay_reject = no
 
# Restrictions sur les clients
# reject_unknown_client permet de jeter le client dès la connexion si son adresse IP ne pointe pas vers un nom de domaine (reverse DNS)
 
smtpd_client_restrictions = permit_mynetworks, reject_unknown_client
 
# On oblige le client a dire HELO et on rejette le client dans certain cas
# reject_invalid_hostname permet de jeter le client si son nom d'hote passé en parametre est invalide
# reject_unknown_hostname permet de jeter le client si le nom d'hote passé en parametre ne possede pas un champ DNS A ou MX
 
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, reject_unknown_hostname
 
 
# Restrictions sur l'expediteur (commande MAIL FROM)
# reject_unknown_sender_domain permet de jeter le client si le nom de domaine de l'expediteur n'existe pas
# reject_non_fqdn_sender permet de jeter le client si le nom de domaine de l'expediteur n'est pas valide
 
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender
 
Donc tout cela marche tres tres bien, ca elimine pas mal de spam.
Le gros souci, c'est que beaucoup de serveur mail averés et leurs DNS associés sont mal configurés, et du coup, on perd des mails      
 
Exemple 1 :
Le serveur de mail d'un de nos client se connecte, et postfix fait donc un reverse DNS pour voir si son adresse IP pointe vers un nom d'hote. Et bien ca passe pas, car justement le reverse DNS ne renvoie pas de nom d'hote.    
 
Dans ce cas, l'admin du serveur n'a pas demandé a son provider qui lui fournit l'adresse IP de configurer un champ PTR dans les DNS pour faire pointer l'adresse IP vers le nom d'hote.
 
Exemple 2 :
Une TRES grosse boite nous envoie des mails, et quand leur serveur se connecte, il envoie la commande HELO avec un nom d'hote qui n'existe pas !! Du coup, Postfix fait une requete DNS pour voir si le nom d'hote pointe vers une IP, mais comme y a rien, ca passe pas    
 
Dans ce cas, l'admin a mal configuré son serveur de mail, il n'envoie pas le vrai nom d'hote du serveur
 
Du coup, comme le probleme risque de se reproduire avec d'autres serveurs, et qu'on ne peut pas se permettre de perdre des mails, je suis obligé de virer mes configurations        
 
Et moi qui me suis justement fait chier avec mes petites connaissances pour bien tout configurer afin que notre serveur puisse traverser les barrieres de securité des autres serveurs
 
Si vous etes admin d'un serveur mail, comment faites vous pour palier a ces problemes ??
 
Cyril

Ouais je sais bien, mais avant d'installer quoi que ce soit ca aurait été pas mal de filtrer deja peut etre 50% des spams !!
 
Meme plus que 50% a mon avis, vu le nombre de spams recu hier comparé a d'habitude.

Tiens, pourquoi la personne qui parlait de spamassassin a t'elle effacé son message ?
 
En tout cas, ca ne colle qu'a moitié, car spamassassin semble juste changer le titre du message. Du coup, on peut avec les filtres du logiciel de messagerie le mettre a la poubelle. Mais a la limite spamassassin ne sert pas a grand chose, vu qu'avec mozilla ou thunderbird, les spams sont assez bien reconnu et mis a la poubelle.
 
Le but serait de squeezer les messages directement sur le serveur pour ne pas polluer le client de messagerie. Et on gagne du temps quand on charge ses mails en 56k et qu'on a pas 200 spams a telecharger

ya pas mal d'idée pour paramétrer un serveur mail là :
http://acme.com/mail_filtering/

 
 
Le probleme c'est que d'un point de vue conceptuel, on peut pas accepter de supprimer des mails sans que l'utilisateur donne son accord. Le filtrage sert quand meme, parce qu'il est plus facile de reperer un faux positif ( un mail marque comme spam a tort) parmis et un rate parmis les courries legitimes que d'avoir une boite en desordre.

Mjules : merci, je vais jeter un oeil
 
farib : Les messages ne sont pas supprimés a proprement parler. Par exemple avec les configs postfix que j'avais mis en place, l'expediteur est prevenu de l'erreur.
 
J'imagine qu'on doit pouvoir faire la meme chose avec les outils de filtrage.

en ce qui me concerne , je reste strict au niveau des mails reçus , si le smtp en face est configuré comme pied je me passerais de recevoir ses mails

Ben oui, je suis bien d'accord...
D'ailleurs quand au tout depart mes mails ne passaient pas partout je ne leur ai pas demandé de modifier leur config, j'ai cherché les erreurs et j'ai tout configuré comme il faut de mon coté (postfix et dns) pour que ca marche !
 
Ceci dit j'ai envoyé des messages a mes correspondants pour qu'ils remontent l'info comme quoi leur serveur/dns sont mal configurés...

chez nous c'est auth par clé uniquement

 
C'est a dire ? Pourrais tu nous apporter quelques precisions ?
 
A+

merde je me suis planté de topic je me croyais sur celui du SSH
 
toutes mes confuses

Pas de mal

 
Effectivement, c'est pas mal, dommage que ca s'applique seulement a sendmail.
Mais l'idée de la greylist me plait bien, je vais essayer de mettre un place ce systeme

Au boulot j'ai ete oblige de virer les deux meme checks (qu'un reverse existe, et que le nom envoye au helo existe) car trop de serveurs mal configures.
 
Pas beaucoup de seveurs mal configures parmi les serveurs "normaux", et en general pas trop dur de faire faire les modifs par les admins.
Mais enormement de serveurs mal configures parmi les serveurs de mailing lists bidons auquels sont inscrit mes utilisateurs, et comme ils veulent les recevoir  
 
Mais meme sans ces deux checks je refuse entre 50 et 60% des mails.

Mais du coup sans ces 2 verifs que t'as viré il reste quoi ?
 
Moi il ne me reste plus que la verification de l'existence et de la validité du domaine de l'expediteur :
 
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender  
 
Mais d'apres les logs ca filtre un peu, mais pas des masses

je viens de trouver ça si ça peut servir :
http://www.howtoforge.com/virtual_postfix_antispam

+1

 
Moi j'administre (comme je peux!) un serveur mail, et je suis justement confronté à ce problème : j'ai loué un serveur dédié chez un hébergeur, en faisant pointer mon nom de domaine dessus, mais quand je fait un reverse IP, je tombe sur le nom de domaine attribué par l'hébergeur pour chacune de ses machines : pour moi c'est SIVIT, donc sd****.sivit.org et pas mon nom de domaine. Que puis-je y faire?  

tu leur envois un mail avec ton reverse et ils vont l'associer à ton ip

 
Je suppose que c'est une dédibox ?
Dans ce cas, tu peux changer le reverse de ta dedibox à partir de http://console.dedibox.fr

non ce n'est pas une Dedibox chez sivit Il leur envoi un mail et ils changeront son reverse, ça a fonctionné comme ça pour moi

J'ai lu le sd-xxx, je me suis arreté là .
J'avoue que si j'avais lu le sivit.org , j'aurais pas répondu ça

Bon y'a pas de mal non plus...
 
J'ai envoyé un mail à SIVIT, et ça a été fait dans l'heure. Merci du renseignement!
 
D'ailleurs, coup de chapeau au service d'assistance de SIVIT, j'en suis très content, ils m'ont toujours répondu dans l'heure. Pour une fois que je suis satisfait d'un service, je me permet d'en faire un peu la pub (Bon OK je ferme la balise </pub> )

 
 
C'est pas toujours possible (certains FAI fournissent l'ip fixe mais pas le reverse )
 
 
Je suis aussi partisant de configurer comme il faut les serveurs mails et de dire merde à ceux qui ne le font pas, mais quand y'a la direction de la boite qui gueule parce que tel mail est jamais arrivé, pas simple de leur expliquer que ca vient des autres, alors qu'avant ca marchait