Journal Rspamd continue son chemin

Posté par . Licence CC by-sa
20
16
oct.
2016

Oui, je fais de plus en plus de prosélytisme pour rspamd. En même temps, je n'ai pas trouvé d'autres alternatives modernes…

Bref, tout ça pour dire que l'auteur s'est fendu d'un test de performance sur son outil, pour ce qui est du filtre bayésien. Il est content de lui, ça marche mieux que les autres. Je ne peux pas le contredire, ça marche bien chez moi aussi. En fait, je suis plutôt convaincu par le bayésien, et j'ai largement augmenté le poids du marqueur BAYES_SPAM (de 3 à 8). Parce que les listes noires, c'est sympa, mais le bayésien, ça marche quand même vachement bien contre les nouvelles campagnes. Ou les spammeurs un peu plus malins.

  • # Re: Journal— Rspamdcontinue son chemin

    Posté par (page perso) . Évalué à 6 (+5/-1).

    C'est quoi ?

    • [^] # Re: Journal— Rspamdcontinue son chemin

      Posté par . Évalué à 10 (+8/-0).

      Un anti spam coté serveur (il se place avant le serveur de mail ou dans les premières étapes du traitement des mails par le serveur de mail).

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

  • # "Furthermore, unlike competitors, Rspamd provides a lot of other checks and features."

    Posté par (page perso) . Évalué à 4 (+2/-0).

    Utilisateur de dspam depuis de nombreuses années, j'en suis assez content: il fonctionne bien globalement. C'est simple, je pourrais pas faire sans. Par contre il n'est pas parfait. Des spams passent de temps en temps. Et pire du ham peut passer en spam (ceci dit gmail a l'air d'être encore plus mauvais sur ce point et je retrouve bien trop régulièrement des mails dans le spam). Pour cette raison, je regarde toujours en diagonal les spams avant de les supprimer définitivement et c'est chiant. Surtout que mon adresse historique ayant plus de 10 ans, j'ai pas mal de spams (ça augmente d'années en années ;-().

    Si rspamd peut vraiment améliorer cet état de fait, ça m'intéresse. Ceci dit, dans le test, on passe de 4 à 2 faux-positifs spam. C'est bien, mais pas parfait. C'est encore 2 de trop!
    Quels sont les autres "vérifications et fonctionnalités" de rspamd? Il se contente de le dire sans donner de liste. Dans la doc, je n'arrive à repérer que les règles rspamd (Lua et regexp). Est-ce juste cela?

    D'après moi, il y a une fonctionnalité qui pourrait tout changer, mais il faut pour cela que le filtre de spam compile un historique des emails de l'utilisateur destinataire, ainsi que de son carnet d'adresse: toute adresse email de laquel l'utilisateur a déjà reçu des emails (et pas mis en spam par la suite), ou mieux auquelle l'utilisateur a écrit un jour, ainsi que du carnet d'adresse devrait être en liste blanche. Un exemple: je reçois au moins une dizaine de mails du bugzilla de GNOME par semaine. Eh bien il m'arrive encore régulièrement d'en trouver dans le dossier spam (c'est l'exemple qui me vient à l'esprit car justement j'en ai trouvé un y a quelques jours).
    Bien sûr, il arrive que des spammers utilisent des adresses connues (c'est même une technique très classique: un virus inspecte le carnet d'adresse d'ordis infectés et envoie ensuite des emails en utilisant les adresses trouvées, sur le principe des sphères de connaissance). Mais c'est un moindre mal.

    Exemple classique: j'envoie un email important dont j'attend une réponse. Savoir avec 100% de certitude que la réponse ne sera pas mise dans les spams soulage l'attente. Qui n'a jamais attendu un email et au bout d'un moment s'est dit "peut-être que ça a été taggué spam?" puis s'est senti obligé de regarder son répertoire indésirable?

    Donc la question: ce genre de fonctionnalité existe-t-il? Peut-on le faire avec rspamd, ou dspam, ou n'importe quel autre système?

    Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]

    • [^] # Re: "Furthermore, unlike competitors, Rspamd provides a lot of other checks and features."

      Posté par (page perso) . Évalué à 4 (+2/-0).

      Donc la question: ce genre de fonctionnalité existe-t-il? Peut-on le faire avec rspamd, ou dspam, ou n'importe quel autre système?

      Je ne sais pas s’il existe un système le faisant tout seul « out-of-the-box », mais on peut obtenir la même chose à coup de règles procmail ou Sieve.

      Chez moi par exemple, la règle Sieve qui envoie les mails marqués comme spam vers le dossier correspondant intervient après la règle qui envoie les mails de mes collaborateurs vers le dossier « travail », donc même si l’antispam a flaggé ces mails à tort (ce qui en pratique n’est jamais arrivé, il faut croire que mon filtre est bien entraîné — puis j’ai des collègues qui ne font pas suivre les chaînes de mail, ça aide), ils arriveront quand même au bon endroit.

      L’inconvénient par rapport à ce que tu cherches est qu’il faut manuellement renseigner les adresses concernées dans le script Sieve. L’extension « Externally Stored Lists » (RFC 6134) pourrait aider à automatiser ça, mais l’implémentation de Sieve sur mon serveur ne la prend pas en charge.

    • [^] # Re: "Furthermore, unlike competitors, Rspamd provides a lot of other checks and features."

      Posté par (page perso) . Évalué à 5 (+2/-0).

      Je ne suis pas d'accord, j'ai eu plusieurs fois des spam de quelqu'un qui m'avait écrit (ou à qui j'avais déjà écrit). Soit parce qu'il s'est fait troué sa boîte mail, soit parce qu'il y a du spoofing. Et c'est justement ceux-là où avec un peu d’inattention, on peut se faire piéger pour du phishing. Du coup, je ne crois pas que me mettre en liste blanche une adresse soit un bon choix. Pour tes mails du bugzilla, le triplet adresse + IP du serveur d'émission + forme général du message me semble plus pertinent.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: "Furthermore, unlike competitors, Rspamd provides a lot of other checks and features."

        Posté par (page perso) . Évalué à 3 (+1/-0).

        De mémoire, sur les dernières années, je n'ai eu qu'un seul cas de spoofing sur une adresse connue (et c'était bien visible: juste une courte phrase en anglais genre "regardez ça!" et un lien).

        Ensuite on peut imaginer des choses un chouille plus élaborée, du type un message dans le webmail (ou le client lourd) qui dit "Ce message aurait été envoyé dans vos indésirables s'il ne provenait pas d'un correspondant connu. Confirmez-vous sa légimité ou est-ce un spam?" avec un petit lien pour choisir (et éventuellement rediriger l'email vers la boîte spam). Ainsi on reste vigilant.
        Bien sûr cela nécessite une intégration particulière avec le webmail, voire mieux des types de flags particuliers dans les headers pour que tout client soit capable de détecter la contradiction des 2 types de détection (l'antispam et le "correspondant connu").

        Pour tes mails du bugzilla, le triplet adresse + IP du serveur d'émission + forme général du message me semble plus pertinent.

        C'était 1 exemple qui m'est venu parce que j'ai eu le cas y a quelques jours. Mais ce n'est pas mon seul cas. Je reçois et écris beaucoup d'emails. Je n'ai pas tant de faux-positifs en spam, mais ça doit encore m'arriver peut-être 1 ou 2 fois par mois (ce qui est beaucoup trop! Si jamais cela arrive sur un email important, cela peut même être dommageable).
        Je ne veux pas avoir à créer une règle explicite avec une IP de serveur ou chose similaire à chaque fois que j'envoie un email (pour lequel j'attends probablement une réponse, ou au minimum, c'est un évènement probable). Non si j'écris à quelqu'un, alors cela devrait être automatique => liste blanche! Cela n'empêche nullement l'antispam de jeter un œil quand même et éventuellement donc mon client de me mettre en garde quand un email paraît suspect. J'aurais le "warning", donc je fais plus attention, ça me suffit.

        Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.