Journal Antispam, une solution

Posté par . Licence CC by-sa
15
18
déc.
2015

Bonjour,

Suite à mes précédents journaux sur le choix d'un antispam, je me suis rendu compte que si j'attends un peu, le gouvernement français va bientôt voter une loi qui imposera le filtrage des contenus « indésirables » aux FAI.

Bon.

Sinon, je remercie daprod qui avait mentionné rspamd.
En effet, j'ai réinstallé récemment mon serveur (changement de disque, changement d'architecture de i686 à x86_64), et donc je ne pouvais plus réinstaller dspam, absent de Debian, sans recompiler, ou installer des vieux paquets.
Après avoir vécu un mois sans antispam côté serveur (après tout, Thunderbird fait pas trop mal son boulot), je me suis lancé avec rspamd, qu'il est préférable de coupler à rmilter pour une utilisation avec Postfix.

Je le dis tout net : c'est architecturé comme SpamAssassin. Un tas de modules, plus ou moins perfectionnés, qui donnent des scores qui s'ajoutent (pas forcément linéairement d'ailleurs), pour aboutir à une note finale, qui donne lieu à des actions. Donc la configuration est longue, et dure. Malgré tout, celle de base ne marche pas trop mal, alors je la garde, et je vais l'adapter doucement. Surtout que je suis plutôt partisan du filtre bayésien, et beaucoup moins des listes noires d'IP, qui ne sont pas mauvaises en théorie, mais j'aime bien filtrer mes mails sans demander aux autres ;)

Bref, ça marche pas mal. C'est en développement intense, on peut rajouter des modules en lua, qui est beaucoup plus hype que perl ces derniers temps. Niveau performance, le développeur dit que c'est hyper optimisé, de par l'architecture, mais franchement, j'ai pas vérifié. J'ai un mail par heure, ce ne serait même pas significatif. En général, un mail est traité en moins de 3 secondes, mais j'imagine que le gros délai vient surtout des requêtes DNS à des listes noires.

L'interface Web est simple, et efficace. Il y a encore quelques bugs, mais le développeur principal est très réactif. Et j'avoue que c'est un point très positif pour moi que de savoir que même si un logiciel n'est développé que par une seule personne, il prend le temps de s'en occuper.

Et pour l'instant, les seuls faux négatifs que j'ai eus (rattrapés par Thunderbird d'ailleurs) étaient marqués comme BAYES_SPAM (c'est-à-dire que le module bayésien les a bien identifiés, mais les autres règles ont descendu sa note, qui a donc rendu le mail acceptable), et je n'ai pas eu de faux positifs, après 5 jours et 185 mails reçus. C'est pas beaucoup, hein ? ;) Pourtant, je suis sur debian-devel, mais c'est un peu calme en décembre…

Joyeux Noël à tous !

  • # indésirable ? gouvernement ?

    Posté par . Évalué à 10.

    Le gouvernement français va bientôt voter une loi qui imposera le filtrage des contenus « indésirables » aux FAI.

    J'imagine ce qu'est un contenu indésirable pour notre gouvernement :

    • Écologiste
    • Syndicaliste (hors MEDEF)
    • Communiste
    • Communautaire
    • D’extrême (gauche, droite, haut, bas)
    • Démocratique (la vraie)
    • Uber
    • Étienne Chouard

    Il ne va pas rester grand chose sur les internets Français :-D

    kentoc'h mervel eget bezan saotred

  • # spam et signature

    Posté par . Évalué à 0.

    Perso je me pose toujours une question bête: avec un système type GPG, il serait vraiment très simple de diminuer radicalement le spam.

    Par ex. un algo du genre :
    – si le message n'est pas signé --> poubelle
    – si la clé GPG qui signe n'est pas signée par les instances anti-spam que j'ai paramétré --> poubelle.
    – on peut imaginer un système d'instance anti-spam plus ou moins dure, certains acceptant la pub, d'autres non, etc.

    Ça éliminerait pas mal de risque de fishing, d'usurpation d'identité… et l'utilisateur (ou l'admin du serveur) pourrait choisir son degré de spamitude. bref, on pourrait assainir sacrément l'email.

    Après il y a quelques difficultés de mise en place, mais si c'est la loi qui l'impose, à mon avis la transition sera très rapide.

    • [^] # Re: spam et signature

      Posté par . Évalué à 10.

      – si la clé GPG qui signe n'est pas signée par les instances anti-spam que j'ai paramétré --> poubelle.

      Ça c’est la mort certaine de toute forme d’auto-hébergement des mails, ou même sans aller à l’autohébergement la mort des petites/moyennes structures (s’il faut whitelister manuellement les domaines d’envoi, personne va se faire chier à aller plus loin que gmail/yahoo/hotmail).

      • [^] # Re: spam et signature

        Posté par (page perso) . Évalué à 1.

        Sauf que de ce que j'ai compris, c'est pas la clef GPG du domaine, mais de l'expéditeur.

        On s'autohéberge comme on veut, il faut juste se faire signer par la toile de confiance pour que mon destinataire ait bien confiance que c'est moi, et que je ne lui envoie pas de spam.

        • [^] # Re: spam et signature

          Posté par . Évalué à 8. Dernière modification le 18/12/15 à 16:49.

          Je répète le point important

          par les instances anti-spam que j'ai paramétré

          donc si je veux envoyer un mail à quelqu’un à partir de mon propre serveur, je dois demander à son hébergeur de mail de me paramétrer comme « instance anti-spam à peu près de confiance ». Ça va vite fatiguer tout le monde, et concentrer encore plus le contrôle des emails sur quelques gros acteurs.

          il faut juste se faire signer par la toile de confiance

          C’est encore pire. Sans même parler de l’aspect pas pratique du tout (je dois manuellement whitelister chaque personne qui veut m’envoyer un mail ? C’est déjà possible aujourd’hui, mais personne n’est assez masochiste pour le faire), comment fonctionne le premier contact ?

          • [^] # Re: spam et signature

            Posté par . Évalué à 2.

            donc si je veux envoyer un mail à quelqu’un à partir de mon propre serveur, je dois demander à son hébergeur de mail de me paramétrer comme « instance anti-spam à peu près de confiance ».

            Euh … dans ce cas ce n'est pas l'hébergeur qui paramètre mais l'utilisateur.

    • [^] # Re: spam et signature

      Posté par . Évalué à 3.

      Ta solution élimine beaucoup de problèmes, mais apporte un inconvénient de taille : la simplicité. L'e-mail est devenu populaire, et le reste, parce que tout le monde peut en envoyer à n'importe qui.

      Le concept que tu cites est celui des cercles de confiance. Or, si j'ai bien suivi (merci de me corriger), GPG ne permet pas vraiment la transitivité (les amis de mes amis de mes amis, je ne les connais pas), et ça deviendrait très dure de joindre quelqu'un pour la première fois. Par exemple, je vais chez mon réparateur de vélo, qui peut m'envoyer la facture par e-mail directement. Mais c'est un petit commerçant, il n'a pas de clé GPG.
      Et comment quelqu'un qui est lointain pourrait m'envoyer sa clé GPG, sans que je l'ai rencontré par un autre moyen ?

      Je suis même suffisamment laxiste au point de ne pas refuser les mails. Je les marque juste comme spam. Pourtant rspamd permet de refuser la connexion. Peut-être que j'y viendrais, avec des scores très élevés…

      Ceci dit, je partage une partie de ton point de vue : GPG résoudrait un certain nombres de problème, mais plus pour l'intégrité et la confiance. Parfois, on a besoin de recevoir du courrier, électronique ou pas, et notre cerveau hautement malléable saura s'adapter.

      • [^] # Re: spam et signature

        Posté par . Évalué à 0.

        Pour répondre aux critiques sur les « instance anti-spam » :

        On pourrait tout à fait imaginer un service de l'état, dont le rôle est de signer les clef GPG de tout serveur non spammeur. Une procédure automatique ou semi-automatique pourrait même le faire.

        Ainsi, les serveurs de clef pourrait avoir confiance dans toutes les clef signée par cette entitée, et voila, un peu à la manière des certificats HTTPS, où il faut simplement prouver certain truc (qu'on est bien propriétaire du domaine, etc.).

        Effectivement, après il faut rendre facile la signature de sa clé, et la on rentre dans le politique : on pourrait avoir plusieurs entité qui signent les clés, plus ou moins stricte, avec des but différents, etc. bref, exactement comme pour les certificats SSL à l'heure actuelle.

        • [^] # Re: spam et signature

          Posté par . Évalué à 2.

          Je me répond : on peut aussi raisonner à l'envers, un peu à la manière des anti-spam actuel:

          On oblige à signer les emails. Par défaut on accepte tout, mais si une clé GPG apparaît dans des listes de spammeurs, alors on bloque ou filtre. C'est juste un critère de plus pour les filtres anti-spam au final.

        • [^] # Re: spam et signature

          Posté par (page perso) . Évalué à 4.

          On pourrait tout à fait imaginer un service de l'état, dont le rôle est de signer les clef GPG de tout serveur non spammeur

          Pêle-mêle :

          • Quel état ? La France ? Quid du reste du monde ? Soit on accepte que les mails venant de serveur avalisés par cet hypothétique service, et alors on se coupe du reste du monde (je ne doute pas que ça plairait à certains), soit on n’exige pas de signatures pour les mails venant de l’étranger, et le « service de l’état » n’est qu’une coquille vide totalement inutile. Ou alors tu envisageais que ce service pourrait aussi signer les clefs d’opérateurs non-français ? Mais pourquoi lesdits opérateurs se plieraient-ils à ça ?

          • Déjà que l’État n’a même d’autorité de certification qui lui soit propre (les certificats des sites gouvernementaux français sont signés par des CA privées, souvent américaines), je doute fort de la volonté de mettre en place un tel service.

          • Non seulement il n’y aurait qu’une seule entité qui déciderait de qui est ou non un spammeur, mais en plus ce serait une entité gouvernementale ? Non merci. Confier un tel pouvoir à une seule entité ne peut que conduire à des abus.

          on pourrait avoir plusieurs entité qui signent les clés, plus ou moins stricte, avec des but différents, etc. bref, exactement comme pour les certificats SSL à l'heure actuelle.

          Et comme pour les certificats SSL à l’heure actuelle, ça ne servirait à rien du tout.

          S’il y a plusieurs entités, il y en aura forcément qui signeront des spammeurs que d’autres entités auront refusé de signer (tu le dis toi-même : des entités plus ou moins strictes). Qui décidera alors de la liste des entités auxquelles on fait confiance ? Les utilisateurs ? L’exemple des certificats X.509 montre clairement que c’est totalement irréaliste (qui a déjà fait le ménage dans la liste des CA racines de son navigateur pour ne garder que celles en lesquelles il a confiance ?). Dans les faits, ce sont les éditeurs de systèmes/logiciels (Microsoft, Apple, Mozilla, etc.) qui décident — et le résultat, c’est que tout le monde fait par défaut confiance à plusieurs centaines d’autorités à l’intégrité ou à la fiabilité douteuse (certaines ont déjà prouvé qu’elles n’étaient pas dignes de confiance).

          • [^] # Re: spam et signature

            Posté par (page perso) . Évalué à 4. Dernière modification le 19/12/15 à 00:32.

            Déjà que l’État n’a même d’autorité de certification qui lui soit propre

            https://blog.mozilla.org/security/2013/12/09/revoking-trust-in-one-anssi-certificate/

          • [^] # Re: spam et signature

            Posté par . Évalué à 3.

            À lire vos réactions, deux trucs me chiffonnent profondément :
            – d'une part, je propose simplement une idée, qui mérite d'être creusée. Vous préférez critiquer mes exemples, sans même chercher le potentiel derrière. Typiquement je parle d'un « état », mais il est évident que le système serait le même avec « plusieurs états », ou bien « Plusieurs sociétés privés américaines ». Techniquement ça ne change strictement rien. Tout comme dire « SSL ça ne sert à rien », c'est simplement stupide. Ou encore dire 2 « c'est clairement irréaliste que l'utilisateur puisse gérer sa liste de CA », alors c'est déjà le cas aujourd'hui.

            – Ensuite, vous semblez considérer que toute idée que l'état soit maître d'une certaine régulation est foncièrement une mauvaise chose. Alors perso je préfère très nettement que la régulation soit faite par un service public français plutôt qu'un tas de sociétés américaines, dont le but est de faire un max d'argent. Et de toute façon dans un cas comme dans l'autre, il est absolument nécessaire d'avoir des contre-pouvoir !

            Après chacun ses idées, mais il me semble qu'intégrer les signatures de mail dans la lutte contre le spam est un levier intéressant. Reste à voir la mise en œuvre : principe de liste blanche ou liste noire, etc.

            • [^] # Re: spam et signature

              Posté par (page perso) . Évalué à 8.

              De fait, nous vivons dans une situation où l’État est l’entité dont nous devons avoir le plus de méfiance et à qui nous devons donner le moins de pouvoir possible, alors que par définition l’État est justement sensé être l’entité à laquelle nous donnons notre confiance pour exercer le pouvoir.

              Ça résume très bien la crise actuelle politique : l’état est sensé être l’autorité qui a charge du bien commun, mais dans la situation où nous sommes le bien commun doit se passer de l’autorité de état.

              ce commentaire est sous licence cc by 4 et précédentes

              • [^] # Re: spam et signature

                Posté par . Évalué à 2.

                De fait, nous vivons dans une situation où l’État est l’entité dont nous devons avoir le plus de méfiance et à qui nous devons donner le moins de pouvoir possible, alors que par définition l’État est justement sensé être l’entité à laquelle nous donnons notre confiance pour exercer le pouvoir.

                À mon avis l'état est également l'ultime garde-fou dans bien des domaines : la justice, les acquis sociaux (sécu, chômage, santé, etc.), l'éducation, la démocratie, etc. Perso je préfère vivre dans un État de droit plutôt que sans État.

                Pourquoi l'État est « l'entité dont nous devons avoir le plus de méfiance » ? Et pourquoi lui donner le moins de pouvoir possible ? Tu dis que aujourd'hui le bien commun peut se passer de l'autorité de l'État, je serais curieux de savoir comment :-)

                D'ailleurs on peut remarquer que nos dirigeants actuels n'ont de cesse de diminuer le pouvoir de l'état, de détruire ces gardes-fou. Résultat ? les plus faible s'en prennent plein la gueule, nos libertés et la justice régressent, nos armées servent des intérêts étrangers avant les notres… et nous hypothéquons le futur (environnement, recherche, éducation, etc.)

                • [^] # Re: spam et signature

                  Posté par (page perso) . Évalué à 7.

                  Perso je préfère vivre dans un État de droit plutôt que sans État.

                  Justement, un état de droit, il me laisse choisir en qui j'ai confiance et ne me l'impose pas pour recevoir des mails.

                  D'ailleurs on peut remarquer que nos dirigeants actuels n'ont de cesse de diminuer le pouvoir de l'état

                  Pourtant, récemment, en France, il a autorisé les perquisition sans contrôle judiciaire, à toute heure du jour ou de la nuit. Un peu avant ça, il a autorisé la censure des site web toujours sans contrôle judiciaire. Plusieurs lois récemment ont été passée en procédure d'urgence, limitant le débat au parlement. Le pouvoir de l'État ne diminue pas, celui de la justice ou du parlement, c'est une autre histoire.

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                  • [^] # Re: spam et signature

                    Posté par (page perso) . Évalué à 6.

                    Pourtant, récemment, en France, il a autorisé les perquisition sans contrôle judiciaire, à toute heure du jour ou de la nuit. Un peu avant ça, il a autorisé la censure des site web toujours sans contrôle judiciaire. Plusieurs lois récemment ont été passée en procédure d'urgence, limitant le débat au parlement. Le pouvoir de l'État ne diminue pas, celui de la justice ou du parlement, c'est une autre histoire.

                    Mais tu ne comprends pas que c'est pour notre sécurité ?! Pour notre bien !
                    Ces décisions politiques sont là pour nous protéger. Sinon on va tous mourir à cause des terroristes-pédo-islamo-etc. Ils l'ont dit à la télé (note pour moi-même : penser à acheter une télé).

                    • [^] # Re: spam et signature

                      Posté par . Évalué à -2.

                      Bonsoir Kerro,

                      J'ai lu ton article sur le le bureau/tapis roulant: génial

                      Finalement quelle solution as-tu adopté?

                      J'ai une hernie discale d'où ma passion pour le sujet..

                      Je fais du sport et j'ai commencé à faire du sdt pour renforcer les lombaires, mais c'est toujours mieux de fixer la cause du problème (sitting) plutôt que de compenser à coté!

                      Je poste içi car j'ai juste pas trouver plus simple pour te parler! (Les MP n'existent pas ici ou bien?)

                      Merci à tous et désolé pour la pollution :D

                      • [^] # Re: spam et signature

                        Posté par (page perso) . Évalué à 2. Dernière modification le 22/12/15 à 00:55.

                        (Les MP n'existent pas ici ou bien?)

                        Ils n’existent plus ! /o\

                        ce commentaire est sous licence cc by 4 et précédentes

                      • [^] # Re: spam et signature

                        Posté par (page perso) . Évalué à 2.

                        Il y a de quoi me contacter en cliquant sur le lien « page perso ». Qui est en fait une page pro.

                  • [^] # Re: spam et signature

                    Posté par . Évalué à 4.

                    Justement, un état de droit, il me laisse choisir en qui j'ai confiance et ne me l'impose pas pour recevoir des mails.

                    Ce qui n'a rien avoir avec le sujet. Te fournir un service c'est tout de même différent d'imposer ce service, non ?

                    Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                    • [^] # Re: spam et signature

                      Posté par (page perso) . Évalué à 4.

                      J'avais compris qu'il voulait que ce soit obligatoire.

                      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: spam et signature

                  Posté par . Évalué à 4.

                  Pourquoi l'État est « l'entité dont nous devons avoir le plus de méfiance » ? Et pourquoi lui donner le moins de pouvoir possible ?

                  C'est rigolo comme question, de la part de quelqu'un qui affiche un « A » cerclé sur son avatar.

            • [^] # Re: spam et signature

              Posté par (page perso) . Évalué à 8.

              je propose simplement une idée, qui mérite d'être creusée

              Et moi je te dis simplement ce que j’en pense. C’est pour ça qu’on propose des idées, en général — et non uniquement pour s’entendre dire que c’est une idée géniale…

              sans même chercher le potentiel derrière

              Donc tu es déjà convaincu qu’il y a du potentiel, et que c’est juste nous qui sommes trop bornés pour le chercher. Bon, ben pas la peine de discuter dans ce cas.

              Typiquement je parle d'un « état », mais il est évident que le système serait le même avec « plusieurs états »

              Ce n’est pas du tout évident pour moi, tu peux expliquer ?

              Ensuite, vous semblez considérer que toute idée que l'état soit maître d'une certaine régulation est foncièrement une mauvaise chose. Alors perso je préfère très nettement que la régulation soit faite par un service public français plutôt qu'un tas de sociétés américaines, dont le but est de faire un max d'argent.

              Dans le cas qui nous intéresse (le mail), je ne veux ni d’une régulation par un ou des états, ni d’une régulation par des sociétés privés.

              Je veux que n’importe qui puisse m’envoyer un mail, d’où qu’il soit, sans avoir à solliciter une quelconque autorisation ou à montrer patte blanche devant une quelconque autorité, qu’elle soit étatique ou privée.

              Et si le spam est le prix à payer pour ça, je l’accepte.

              • [^] # Re: spam et signature

                Posté par (page perso) . Évalué à 8.

                Faut tout de même admettre que se faire répondre :

                Ensuite, vous semblez considérer que toute idée que l'état soit maître d'une certaine régulation est foncièrement une mauvaise chose.

                par quelqu'un qui a un symbole anar en avatar, ça a illuminé ma journée.

                • [^] # Re: spam et signature

                  Posté par . Évalué à 3.

                  On dépasse complètement du sujet initial, mais c'est pas grave ;)

                  C'est paradoxal, mais je pense que ça a du sens.

                  Pour moi l'anarchisme, c'est avant tout lutter contre les hiérarchies, les pouvoirs, pour maximiser les libertés, et pouvoir s'autodéterminer au mieux.

                  Malheureusement nous vivons dans un monde violent. Le propos de l'État de Droit est justement de définir un monopole de la violence. Sans ça, c'est la loi du plus fort qui gagne, et on obtient l'inverse du but : l'auto-détermination et la liberté n'existe que pour une minorité dirigeante.

                  Il me semble donc logique, dans le monde où on vit, de défendre l'idée d'un État de Droit, puisque ça donne plus de pouvoir aux gens que sans État. Historiquement le droit du travail est basé sur cette idée : sans régulation, c'était l'horreur (travail des enfants, pauvreté, conditions de travail, etc.), et l'État a été un outil pour les faibles pour gagner des droits.

                  Tout la question sera de définir les modalités : faire en sorte que ce soit bien la volonté des citoyens et non d'une caste, définir les pouvoirs et contre-pouvoirs, etc. Et là, c'est aux anarchistes de proposer des choses pour encadrer sérieusement les pouvoirs, ou diminuer ces « points de pouvoirs ».

                  Aujourd'hui on est en plein dedans : nos dirigeants détruisent à tout va l'État, et les citoyens se désintéressent massivement des élections. Mécaniquement, on assiste à des régressions très importantes dans bien des domaines, comme en témoigne ce retour de l'état d'urgence, hérité de la guerre d'Algérie, ou la destruction de la justice, de l'éducation.

                  • [^] # Re: spam et signature

                    Posté par . Évalué à -1. Dernière modification le 22/12/15 à 09:44.

                    Tout la question sera de définir les modalités : faire en sorte que ce soit bien la volonté des citoyens et non d'une caste, définir les pouvoirs et contre-pouvoirs, etc. Et là, c'est aux anarchistes de proposer des choses pour encadrer sérieusement les pouvoirs, ou diminuer ces « points de pouvoirs ».

                    Ou pas : « L’impasse citoyenniste, Contribution à une critique du citoyennisme »
                    https://infokiosques.net/lire.php?id_article=443

                    Extrait :

                    Par citoyennisme, nous entendons d’abord une idéologie dont les traits principaux sont 1°) la croyance en la démocratie comme pouvant s’opposer au capitalisme 2°) le projet d’un renforcement de l’Etat (des Etats) pour mettre en place cette politique 3°) les citoyens comme base active de cette politique.

                    Le but avoué du citoyennisme est d’humaniser le capitalisme, de le rendre plus juste, de lui donner, en quelque sorte, un supplément d’âme. La lutte des classes est ici remplacée par la participation politique des citoyens, qui doivent non seulement élire des représentants, mais agir constamment pour faire pression sur eux afin qu’ils appliquent ce pour quoi ils sont élus.

                    Peu à voir avec l'anarchisme, donc. Avec le renoncement anarchiste, en revanche, peut-être.

                    • [^] # Re: spam et signature

                      Posté par . Évalué à 4.

                      Prenons un exemple simple et concret : début 2016 le gouvernement va ouvrir des négociations pour une refonte totale du code du travail, pour le simplifier. Il est par exemple envisagé que les accords d'entreprises ou de branche puisse primer devant la loi. le MEDEF propose donc bien un affaiblissement du pouvoir de l'État, pour le reporter sur celui des entreprises privées.

                      En tant qu'anarchiste que choisir ?
                      – d'un côté, on diminue le pouvoir de l'État… mais les gens vont perdre des droits dans beaucoup d'entreprise, vu le faible soutien des syndicats.
                      – de l'autre, on conserve le pouvoir de l'État, qui permet de garantir des droits minimaux aux gens. Droits minimaux décidés par un parlement élu, contrairement à la première solution où tout est à la discrétion des entreprises.

                      Perso je penche pour la seconde solution, car c'est pour moi la meilleur façon d'augmenter les droits sociaux du plus grand nombre.

                      Sur ton texte : Juste après l'extrait que tu cites, il inclut quasiment tout le monde dans le citoyennisme, y compris des gens comme la Fédération Anarchiste, la CNT, la CGT et d'autres. Dire de ces gens-là qu'ils veulent « humaniser le capitalisme », qu'ils remplacent la lutte des classes par la participation politiques des citoyens, c'est un bon gros délire, mais ça s'arrête là.

              • [^] # Re: spam et signature

                Posté par . Évalué à 1.

                Ce n’est pas du tout évident pour moi, tu peux expliquer ?

                L'idée que je développe est similaire au HTTPS actuel. Nous avons bien plusieurs autorité de certification, et pas une seule. Dans la même veine, on pourrait imaginer des instances anti-spam d'état, privée, associative, après c'est à chaque admin système de choisir ce qu'il veut.

                Et si le spam est le prix à payer pour ça, je l’accepte.

                C'est bien, mais il me semble que tu es bien seul sur ce coup. Selon wikipedia, plus de 90% des emails seraient des spam… Perso je ne connais pas un seul admin système qui administre un serveur mail sans anti-spam… Et puis la problématique des anti-spam ne te concerne donc pas, puisque le but est précisément qu'un logiciel trie à ta place les messages pourris… et donc que tout message qui arrive devant tes yeux ait montré patte blanche à un moment donné.

                Je serais curieux de savoir comment tu pourras gérer un compte email qui reçoit plusieurs milliers de spam par jour. À moins d'avoir un anti-spam je ne vois pas très bien comment faire.

                • [^] # Re: spam et signature

                  Posté par (page perso) . Évalué à 4.

                  L'idée que je développe est similaire au HTTPS actuel

                  C’est entre autres ce que je lui reproche. Le système PKIX est tout sauf un modèle à suivre, ce serait même plutôt l’exemple de ce qu’il ne faut pas faire. Dois-je expliquer encore une fois (j’ai l’impression de le faire au moins une fois par semaine sur LinuxFR) que les CA ne servent à rien ? Que payer 99 dollars par an pour un joli certificat « à validation étendue » n’empêchera pas un attaquant de présenter à sa victime un certificat signé par l’une quelconque des what mille autres autorités de certification auquel les navigateurs font confiance ?

                  À moins d'avoir un anti-spam je ne vois pas très bien comment faire.

                  Où ai-je dit que je n’avais pas d’anti-spam ?

                  J’ai dit que je ne voulais pas d’un anti-spam basé sur un principe du genre « seuls ceux que je connais, ou ceux qui ont été avalisés par une entité à laquelle je fais confiance, peuvent m’envoyer des mails — les autres vont se faire voir ».

                  Dans le même ordre d’idée, je peste également contre les anti-spams du genre « l’adresse IP de l’émetteur est dans un bloc chinois ou russe, je jette » (j’ai déjà eu le cas où un chercheur moscovite a eu du mal à me contacter à cause de ça) ou « l’adresse est dans une blacklist établie sur des critères que je connais à peine, je jette » (là c’est moi qui a eu du mal à contacter quelqu’un, parce que son opérateur rejettait tous les mails provenant du /24 où avait le malheur de se trouver mon serveur).

                  Mais je n’ai rien contre des techniques anti-spam qui laissent moins de place à l’arbitraire. Je n’ai aucun scrupule à rejetter des mails qui ne passent pas la validation SPF par exemple (si l’enregistrement SPF du domaine émetteur m’y autorise, évidemment), ou à fermer la porte à des clients qui ne respectent pas le protocole SMTP.

                  Nul n’a besoin d’autorisation pour m’envoyer un mail. OK, mais ça ne veut pas forcément dire que je vais accepter tout ce qu’on m’envoie.

                • [^] # Re: spam et signature

                  Posté par (page perso) . Évalué à 4.

                  L'idée que je développe est similaire au HTTPS actuel.

                  Non, parce que le but principal du HTTPS, c'est le chiffrement de la communication (l'authentification est là pour être sûr qu'on chiffre avec la bonne personne). Ce que tu propose ne chiffrera pas les mails, cela ressemble beaucoup plus à DKIM. Tu n'as qu'à autorisé les mails uniquement valides DKIM et pour un domaine DNSSEC, en plus, ça introduit la signature de la clef par l'état (pour le .fr, via l'intermédiaire de l'AFNIC).

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                  • [^] # Re: spam et signature

                    Posté par . Évalué à 3.

                    Non, parce que le but principal du HTTPS, c'est le chiffrement de la communication (l'authentification est là pour être sûr qu'on chiffre avec la bonne personne).

                    Oula, non. Le chiffrement et l'authent (de la partie serveur) sont à égalité. Comme tu le dis, ça sert à savoir qu'on chiffre bien avec l'entité avec qui on croit chiffrer.

                    Tu n'as qu'à autorisé les mails uniquement valides DKIM et pour un domaine DNSSEC, en plus, ça introduit la signature de la clef par l'état (pour le .fr, via l'intermédiaire de l'AFNIC).

                    Tu ne vas plus être embêté par les mails /o\

        • [^] # Re: spam et signature

          Posté par (page perso) . Évalué à 7.

          imaginer un service de l'état, dont le rôle est de signer

          &

          avoir confiance dans toutes les clef signée par cette entitée,

          Lol !

          * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

    • [^] # Re: spam et signature

      Posté par (page perso) . Évalué à 3.

      Pas besoin de GPG. Si SPF était généralisé, cela pourrait suffire et il y a DKIM. On ne change rien dans les lecteurs de courriel, c'est 'juste' du boulot d'admin système…

  • # Comparé à Spamassassin

    Posté par (page perso) . Évalué à 2.

    Tu dis que rspamd est architecturé comme SpamAssassin, est-ce qu'il a des avantages notables par rapport à celui-ci ?

    • [^] # Re: Comparé à Spamassassin

      Posté par . Évalué à 2.

      C'est dur pour moi de répondre à ça de manière comparative, je n'ai pas essayé SpamAssassin. Je ne l'ai pas essayé, parce que j'avoue, j'ai fait du délit de sale gueule : c'est codé en Perl. Et si je dois y toucher un jour (j'ai déjà regardé dspam), ça va me faire grave suer.
      Quand je dis que c'est architecturé pareil, c'est surtout d'un point de vue utilisateur : des modules, qui donnent des scores, qui s'ajoutent. Addition qui donne une note finale.

      Après, le cœur est un gros binaire en C, extensible par des modules en lua. En fait, le développeur principal a même commencé à arrêter de rajouter des modules en C, et préfère le lua. Et le lua, c'est lisible. On retombe dans le délit de sale gueule, mais bon.

      Et pour conclure, le développeur affirme que grâce à différentes techniques, il optimise le temps de traitement en faisant d'abord passer les règles qui ne prennent pas de temps et qui permettent de définir quand même l'état du message par exemple. Personnellement, le temps m'a déjà manqué pour mettre en place l'antispam, alors faire des benchmarks, ça va pas être possible :)

      • [^] # Re: Comparé à Spamassassin

        Posté par (page perso) . Évalué à 2.

        Ça dépend du trafic sur ton serveur de mail mais pour mes besoins le temps d'exécution n'est pas un facteur primordial, je préfère donc que mes mails soient bien classés plutôt que de gagner quelques secondes de traitement. Spamassassin remplit plutôt bien ce rôle donc je n'ai jamais essayé d'autres solutions…

        • [^] # Re: Comparé à Spamassassin

          Posté par . Évalué à 1.

          Ah, si SpamAssassin est déjà installé et remplit son rôle, il ne faut pas changer, c'est évident. Je suis pourtant assez friand de nouveautés (même au prix d'instabilité), mais pour les emails, j'ai toujours été conservateur. Ça marche : on touche à rien :)

          • [^] # Re: Comparé à Spamassassin

            Posté par (page perso) . Évalué à 2.

            Surtout qu'on a annoncé 36 fois la mort de SpamAssassin et qu'il est toujours là !

            • [^] # Re: Comparé à Spamassassin

              Posté par . Évalué à 1.

              Probablement parce qu'il n'y a pas d'alternatives stable. Pour être honnête, rspamd est jeune. Très jeune. Il doit faire ses preuves pour convaincre des gros acteurs par exemple.

  • # Joyeux Noël

    Posté par (page perso) . Évalué à 9.

    Je pensai le finaliser avant noël, mais je n'ai pas eu le temps. J'écrirai un billet sur ça plus tard quand ce sera prêt. En attendant, cadeau : http://www.liberasys.com/wiki/doku.php?id=infrastructure:infrastructure
    C'est une série de howto pour avoir (sous Debian Jessie) :
    - postfix/dovecot avec comptes virtuels
    - horde en webmail et activesync/webdav/caldav (voir PS en bas)
    - rspamd/rmilter/clamav
    - SPF/DKIM/DMARC
    Çà représente 3 semaines de boulot. Ça tourne depuis 2 mois pour ma boite et je suis assez content. N'hésitez pas à proposer des améliorations !

    Et joyeux nöel :)
    Gautier HUSSON - Liberasys

    PS : horde, oui horde, ça a repris du poil de la bête ! Tout en open source, pas besoin d'ajouts sur les clients. Dernière news : ils ont réussi leur financement collaboratif pour la compatibilité Exchange 2016.

    • [^] # Re: Joyeux Noël

      Posté par . Évalué à -3.

      Alors ca c'est vraiment très très gentil.

    • [^] # Re: Joyeux Noël

      Posté par . Évalué à 2.

      Merci beaucoup pour ce lien !

    • [^] # Re: Joyeux Noël

      Posté par . Évalué à 2.

      Je pense que ce boulot mérite son journal à lui tout seul. C'est excellent. Merci.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.