Bonjour mon cher journal,
Je viens de découvrir un de ces "services" dont internet à le secret ... J'ai nommé www.senderbase.org (by cisco svp).
L'histoire commence lorsque je trouves un taux anormal de "DSN: Service unavailable" dans les maillogs d'une machine. Je prends deux trois ip au hasard et je tape un petit telent (oui j'ai un alias telent=telnet dans mon bashrc) sur le port 25 et là stupeur :
554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.
Connection closed by foreign host.
Bon je me dis que la machine est blacklisté. Je regarde toutes les blacklistes dont j'ai connaissance : rien.
Une recherche sur google plus tard je découvre le service en question.
De quoi s'agit-il ? Pas d'une blackliste mais du plutôt de "the world's largest email and Web traffic monitoring network". Concrètement cela signifie que c'est un système de collecte d'informations sur la réputation des ip. Donc visiblement ils collectent des infos depuis spamhaus, spamcop et d'autres blacklistes mais également depuis des sources inconnues. Donc on ne peut savoir ce qui est rapporté et pourquoi.
On peut penser ce qu'on veut des blacklistes mais je n'en connais pas une avec laquelle on ne peut savoir pourquoi on est blacklisté et comment se déblacklister quand les mesures correctives sont prises. Même Microsoft propose cela.
Et bien là non. Lorsqu'une ip a une réputation "poor" on ne peut ni savoir pourquoi, ni savoir quand prendra fin cette quarantaine, ni comment justifier d'actions correctives puisque on n'a même pas le droit de savoir quel est le problème et pourquoi les serveurs utilisant l'antispam de cisco vous raccrochent à la gueule.
J'avais déja essayé de me battre contre le draft suivant :
http://www.roaringpenguin.com/draft-dskoll-reputation-report(...)
En effet je trouve aberrent qu'on puisse toucher à la réputation d'une ip sans rapporter
un minimum la raison du pourquoi et faire un rapport d'abuse. On m'avait répondu que ce n'était pas dans le scope (en fait ça les faisait chier parce que ça fait beaucoup de données).
Visiblement les best practices sont loin ou la lecture que j'en ai est fausse. En tout cas il me semble que l'objectif ici n'est plus de lutter contre le spam mais de vendre des antispams.
Journal Une blackliste mais pas tout à fait
20
mai
2010
# Accepte virement/chèque/vi@gra
Posté par mansuetus (site web personnel) . Évalué à 10.
[^] # Re: Accepte virement/chèque/vi@gra
Posté par Joris Dedieu (site web personnel) . Évalué à 10.
# tant pis
Posté par hervé Couvelard . Évalué à 10.
Et le contact du client ne voulait pas recevoir de mail de serveur n'ayant pas de "MX" (alors que cette présence de MX n'est pas obligatoire dans la RFC. (rfc 5321). ,Ils m'ont demandé de rajouter un champ MX, ce que je n'ai pas fait en leur expliquant que cela limitait le spam (à l'époque). J'ai été contacté par le prestataire 'adverse' et je n'ai pas cédé non plus. ils ont trouvé une autre solution.
C'est comme un de mes clients qui voulait faire un load balancing dns avec deux CNAME dans une conf. Ca passe en forçant bind à le faire, mais ce n'est pas rfc compliant, j'ai refusé. ("mais pourtant ca marche bien sous windows" ! !)
Il ne faut pas céder.
Dans ton cas le problème vient du matériel cisco, à eux de le résoudre.
[^] # Re: tant pis
Posté par allcolor (site web personnel) . Évalué à 6.
Dans ton cas le problème vient du matériel cisco, à eux de le résoudre.Ça lui fait une belle jambe... en attendant ces emails passent plus.
[^] # Re: tant pis
Posté par Grunt . Évalué à 10.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Nuance!
Posté par calandoa . Évalué à 2.
« Je suis licencié, car ma boîte n'a plus de contrat, car les prospects ne peuvent plus recevoir nos e-mails. »
[^] # Re: Nuance!
Posté par hervé Couvelard . Évalué à 5.
« je suis licenciée car j'ai pas voulu sucer le client et on a pas eu le contrat »
« je suis licenciée car j'ai pas voulu sucer le client et on a pas eu le contrat »
« je suis licenciée car j'ai pas voulu sucer le client et on a pas eu le contrat »
« je suis licenciée car j'ai pas voulu sucer le client et on a pas eu le contrat »
« je suis licenciée car j'ai pas voulu sucer le client et on a pas eu le contrat »
« je suis licenciée car j'ai pas voulu sucer le client et on a pas eu le contrat »
« je suis licenciée car j'ai pas voulu sucer le client et on a pas eu le contrat »
« je suis licenciée car j'ai pas voulu sucer le client et on a pas eu le contrat »
« je suis licenciée car j'ai pas voulu sucer le client et on a pas eu le contrat »
[^] # Re: Nuance!
Posté par calandoa . Évalué à 10.
Ton client ou ton patron ne te paye pas pour avoir raison techniquement, mais pour trouver des solutions viables. Attendre que Cisco modifie son système parce qu'il existe un obscure admin sur Terre à qui ça ne convient pas (et peut être à raison), ça n'est pas une solution viable. C'est tout à ton honneur de remonter le problème pour tenter qu'il soit corrigé à moyen terme, mais laisser ton client en plan parce que c'est la faute à Cisco, c'est irresponsable.
Si mon code est mal compilé à cause d'un bug dans gcc, je me vois mal refuser de l'adapter sous prétexte qu'il est conforme au standard et qu'on peut attendre que la prochaine version de gcc corrige le bug.
[^] # Re: Nuance!
Posté par hervé Couvelard . Évalué à 4.
Si ton client te demander de spammer depuis ton serveur tu le fais ?
Si ton client te demande de coder un virus qui change la page d'accueil par défaut du navigateur pour qu'il point vers lui, tu le fais ?
Si ton client te demande de coder un truc qui stress les disques d'une machine pour pouvoir vendre de la prestation, tu le fais ?
Tu ne peux pas être éternellement responsable de tout ce qui passe dans le monde. Ils utilisent un soft qui refuse tes mails pour X ou Y raisons, sans que tu saches pourquoi, qu'est ce que tu veux faire ?
Si j'ai une solution : tu proposes à ton client un devis au temps passé à chercher à comprendre ce que tu peux faire pour que cela change, genre si il faut 50 heures, ben 50 heures x ton taux horaire, et alors là, je peux t'assurer que ton client il va trouver une solution tout seul comme un grand.
# Il semblent qu'ils ne bloquent pas eu-même
Posté par tontonrico . Évalué à 3.
[^] # Re: Il semblent qu'ils ne bloquent pas eu-même
Posté par Joris Dedieu (site web personnel) . Évalué à 4.
Ce que je réprouve avant tout c'est qu'il juge la réputation d'une ip sans éprouver le besoin de justifier leur notation et sans avertir en cas de note négative. Ce qui est bien là preuve qu'il n'en ont rien à foutre de supprimer les sources de spam.
[^] # Re: Il semblent qu'ils ne bloquent pas eu-même
Posté par hervé Couvelard . Évalué à 5.
Tu as raison, c'est le "client" de ce système qui ne veut pas recevoir cet email, on ne peut pas le forcer.
[^] # Re: Il semblent qu'ils ne bloquent pas eu-même
Posté par benoar . Évalué à 5.
Voir aussi une discussion récente sur FRnog.
# Les blacklistes c'est comme ça
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
Pour une raison arbitraire, inconnue, tu peux te retrouver sur une de ces listes, puis par corollaire, sur plusieurs autres. D'une façon générale, utiliser des blacklistes c'est mal, on ne contrôle rien et elles sont de faites maintenues n'importe comment.
# Question, quand même.
Posté par Grunt . Évalué à 3.
Sur les deux, ils donnent comme résultat "neutral", donc ni bon ni mauvais, sans doute parce qu'ils n'en ont pas entendu parler.
Partant de là, et même si je suis d'accord sur le fait que ces blacklists sont mal gérées, peut-être que tu devrais jeter un oeil de plus prêt: si ça se trouve, tu envoies réellement du spam.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Question, quand même.
Posté par Joris Dedieu (site web personnel) . Évalué à 4.
Quand je suis blacklisté chez spamhaus, chez spamcop ou chez sorbs ou chez free ou chez hotmail ou chez aol, j'ai la raison du blacklistage. Je peux donc agir (ou pas) puis demander mon déblacklistage.
Pour moi le fond du problème n'est pas d'avoir des machines blacklistées. De toute façon, je pourrais les renuméroter. J'ai suffisamment d'ip pour ça. C'est gruick, mais c'est la solution généralement adopté. Pourquoi crois-tu que certains hébergeurs filent plusieurs ip avec un serveur ?
Le problème c'est qu'une boite puisse décider de la réputation d'une ip sans justification aucune.
Pour info je bosse dans une boite qui fait de l'hébergement et donc j'envoie forcement du spam. Même si on y met des moyens humains et techniques importants, on ne peux pas contrôler tout ce que font nos clients et leurs pirates.
Ceci dit on est une boite avec une éthique forte sur ces points. On a une définition très large de ce qu'est le spam. Par exemple une newsletter sans lien de désabonnement simple et fonctionnel, une adresse collecté par "inviter vos amis" sont pour nous du spam et cela nous coute très cher en terme de chiffre d'affaire.
Pour certains, comme nous, le spam est une plaie. Pour d'autres c'est un fond de commerce. Qu'ils vendent de l'anti-spam, de l'ip failover, du temps de botnet, ou des listes d'adresses.
[^] # Re: Question, quand même.
Posté par Grunt . Évalué à -1.
j'envoie forcement du spam.
Mh.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Question, quand même.
Posté par Gniarf . Évalué à 7.
elle peut le décider, c'est pas un soucis, elle gère son propre bazar comme elle l'entend, si elle décide de virer quasi toute l'afrique d'un coup de blacklist sur 41.* c'est son problème
le problème c'est quand elle le claironne partout, ça devient de la diffamation ('tention, hein, j'ai quand même réfléchi 30 secondes avant de finalement choisir ce terme)
les gens qui utilisent ou relaient ce genre d'infos se basent sur des on-dit. c'est de la réputation, exactement comme tu dis.
> Pour info je bosse dans une boite qui fait de l'hébergement et donc j'envoie forcement du spam. Même si on y met des moyens humains et techniques importants, on ne peux pas contrôler tout ce que font nos clients et leurs pirates
maintenant ce que je reproche à OVH, AMEN et quelques autres, ce n'est pas d'avoir quelques spammeurs accidentels, c'est de garder comme clients des crevards archiconnus comme public-idees ou eMissiv (pour kstore...)
des gus dont on retrouve les crottes sur des mailing lists en serbo-croate à perpette-les-oies, sur des adresses ou des nom de domaine qui n'existent pas ou sortent de nulle part, et cela depuis des mois et des années. je veux dire, en 30 secondes de recherche on devine à qui on a affaire, y'a aucun doute possible. au bout de deux ou trois plaintes, l'hébergeur qui n'agit pas et garde ces clients est complice, sans l'ombre d'une discussion.
alors là oui ca décribilise instantanément tout discours "oui nous on fait la chasse aux spammeurs... on choisit bien nos clients... on rajoute des emails pieges dans les listes d'adresses pour vérifier comment c'est fait... c'est que des opt-in c'est promi juré... on n'a que des gros clients institutionnels..."
et si ce genre d'hébergeur se retrouve blacklisté, ben sincèrement hein, bien fait pour sa gueule.
[^] # Re: Question, quand même.
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
Ou pas. Chez Hotmail, par exemple, c'est assez opaque (et accessoirement, ça marche très mal, et ça fait énormément de faux positifs).
# Re: Une blackliste mais pas tout à fait
Posté par Johann Heymes . Évalué à 5.
Je connais assez bien ces solutions mail, étant donné que j'en ai déjà installé chez des clients via mon boulot.
Il s'agit de la solution IronPort que Cisco a racheté. SenderBase est la base de connaissance sur laquelle les produits s'appuient pour scorer une IP source.
De ce que je sais côté résultat cela marche plutôt très bien. Je n'ai pas connaissance de client qui ont des problèmes de mail non reçu à cause de cette solution de réputation IP hormis des cas où leur partenaire avait vraiment des problèmes d'envoi de spam.
Grossièrement sur le principe de fonctionnement, senderbase a des sondes hébergées sur Internet à des nœuds stratégiques et analyse les mails qui transitent afin de se faire une option de ce qu'envoie une IP source ( spam / ham ).
Donc si tu es blacklisté chez eux, cela signifie qu'ils ont constaté du traffic de type spam sur Internet provenant de ton IP source.
Cela n'a rien à voir avec les spamhaus & autres qui se basent sur des dénonciations...
My 2¢
[^] # Re: Une blackliste mais pas tout à fait
Posté par Grunt . Évalué à 2.
Grossièrement sur le principe de fonctionnement, senderbase a des sondes hébergées sur Internet à des nœuds stratégiques et analyse les mails qui transitent afin de se faire une option de ce qu'envoie une IP source ( spam / ham ).
En tout cas, leur truc a l'air assez fin pour ne pas blacklister des plages d'IP entières (voir mon commentaire plus haut).
Ça amène plusieurs questions:
- où sont posés leur "sniffers" de spam?
- quels sont leurs critères pour décider que tels mails sont du spam?
- Font-ils de l'inspection de contenu (indispensable si on veut des critères plus pertinent que le volume de mails envoyés par une IP)?
- Les utilisateurs savent-ils que leurs mails sont inspectés, certes automatiquement?
Bref, ça fait un peu bizarre de penser que, "à des noeuds stratégique" sur Internet, y'a des machines qui nous surveillent silencieusement pour notre bonheur à tous.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Une blackliste mais pas tout à fait
Posté par gUI (Mastodon) . Évalué à 3.
CISCO ? partout !
Etant l'un des (le ?) leader mondiaux du reseau, ils doivent être présents à peu près partout, et possèdent donc un accès privilégié au "contenu d'Internet". Les FAIs, les liaisons principales, voire-meme intercontinentales... voilà un big brother auquel on n'avait peut-etre pas pensé !
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Une blackliste mais pas tout à fait
Posté par Grunt . Évalué à 1.
Ces trucs envoient quand même pas des choses sur le réseau sans prévenir, si? Puis ça se verrait!
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Une blackliste mais pas tout à fait
Posté par justt . Évalué à 2.
[^] # Re: Une blackliste mais pas tout à fait
Posté par Guillaume Knispel . Évalué à 2.
Donc bienvenue dans le monde réel des grosses boites qui se considèrent au delà des lois...
[^] # Re: Une blackliste mais pas tout à fait
Posté par Moogle . Évalué à 2.
[^] # Re: Une blackliste mais pas tout à fait
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 9.
Si ça se trouve, ils n'ont jamais reçu l'email leur disant qu'ils ne pouvaient pas recevoir d'emails !
[^] # Re: Une blackliste mais pas tout à fait
Posté par Joris Dedieu (site web personnel) . Évalué à 3.
Oui le truc avec l'os d'imprimante (à en croire xprobe2).
>Donc si tu es blacklisté chez eux, cela signifie qu'ils ont constaté du traffic de type spam sur Internet provenant de ton IP source.
Encore une fois je ne l'exclue pas. Je gueule contre le fait :
- de ne pas en avoir avertie
- de n'avoir aucune date de début ou de fin de l'action
- de ne pas avoir de justification technique à la décision
- de ne pas pouvoir demander le deblacklistage
>Cela n'a rien à voir avec les spamhaus & autres qui se basent sur des dénonciations...
Je t'invite à te renseigner sur le fonctionnement de spamhaus, il est un peu plus complexe que ça.
[^] # Re: Une blackliste mais pas tout à fait
Posté par Grunt . Évalué à -2.
Tu as peut-être une politique exemplaire de ce point de vue là, mais dans 95% des cas les signalements de spams finissent à la poubelle, ou avec une réponse du genre "ouais ouais on va faire quelque chose."
De plus, là maintenant tu es averti, tu fais quoi pour arrêter de spammer?
de n'avoir aucune date de début ou de fin de l'action
Grosso merdo: début = premiers envois de spam depuis ton réseau
fin = derniers envois de spam depuis ton réseau.
de ne pas avoir de justification technique à la décision
C'est vrai qu'ils pourraient être plus précis, genre "On vous aime pas car vos adresses IP X et Y ont envoyé chacune N spams par jour sur la période du tant au tant."
Ceci dit, vu que c'est ton réseau, t'es censé savoir ce qui se passe dessus, mieux que du point de vue d'un opérateur extérieur.
de ne pas pouvoir demander le deblacklistage
Ben si tu envoies du spam, c'est un peu normal qu'ils blacklistent, et qu'ils refusent de débloquer. C'est un peu à ça que sert le blacklistage, d'ailleurs.
Si on a bien compris ton histoire, tu a une machine (une seule IP de sortie?) qui est blacklistée. Par les autres IP, même si elles sont dans le même réseau? Alors cette machine spamme, et tu devrais faire le ménage dedans au lieu de râler ici!
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Une blackliste mais pas tout à fait
Posté par claudex . Évalué à 3.
Ben non, vu ce qu'il dit. Il est blacklisté, il ne sait pas pourquoi. C'est peut-être du spam, du phishing, une erreur de manipulation, le délit de sale gueule de l'IP...
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Une blackliste mais pas tout à fait
Posté par Joris Dedieu (site web personnel) . Évalué à 3.
Je l'ai audité de long en large ainsi que plusieurs de mes collègues. Elle ne spammait pas.
Par ailleurs je pense que le ton de ton message est assez révélateur. La lutte contre le spam ce n'est pas l'affaire de chacun dans son petit réseau. C'est l'affaire de tous sur internet.
Je te rappelle que c'est grâce à ce genre de trucs proprios, absolument opaques que nous en sommes là aujourd'hui. La lutte contre le spam demande de la collaboration et de la transparence. Je ne saurais sans doute jamais pourquoi cette machine s'est retrouvé là.
Si ça se trouve, il y a bien eu un problème que nous n'avons pas su voir et que la possibilité de récupérer les entêtes d'un mail suspect m'aurais permis de localiser et de régler en 20 secondes.
Je te laisse à tes certitudes (moi ! du spam ! jamais) ...
[^] # Re: Une blackliste mais pas tout à fait
Posté par Psychofox (Mastodon) . Évalué à 2.
La seule solution qui fonctionne contre le spam, c'est la whitelist, le principe qu'on utilise entre autres dans les messageries instantannées et qui permet de n'être joint que par les personnes qu'on a enregistré dans ses contacts.
[^] # Re: Une blackliste mais pas tout à fait
Posté par Grunt . Évalué à 2.
Par contre, la messagerie instantanée a un avantage que le mail n'a pas: pour envoyer des messages depuis jabber.org, je dois avoir un compte sur jabber.org. Le principe de base de SMTP, c'est qu'on peut envoyer un mail depuis n'importe où, ce qui dans le monde actuel est peu soutenable.
Passer au même mode de fonctionnement que l'IM serait préférable: si je veux envoyer un mail dont l'origine est michu@example.tld, je dois avoir un compte "michu" sur example.tld, et c'est lui qui envoie mon mail directement au serveur du destinataire. Ça limiterait fortement le nombre de spams et d'usurpations d'identité, même si on perdrait une partie de la souplesse des mails.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Une blackliste mais pas tout à fait
Posté par claudex . Évalué à 2.
Ça existe déjà plus ou moins. Il y a les signatures DKIM qui permet d'authentifier qu'un mail est bien envoyé à partir du domaine qu'il prétend. Google l'utilise avec Gmail par exemple.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Une blackliste mais pas tout à fait
Posté par Grunt . Évalué à 2.
Tu ne peux pas t'authentifier directement sur le serveur pour prouver que t'es pas un spammeur, autrement, SMTP étant bloqué un peu partout.
Ce dont je parlais, c'est que le serveur vérifie que c'est bien toi, en te demandant ton mot de passe, quand tu lui demandes d'envoyer un mail depuis une adresse qu'il héberge.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Une blackliste mais pas tout à fait
Posté par claudex . Évalué à 2.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Une blackliste mais pas tout à fait
Posté par Grunt . Évalué à 2.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Une blackliste mais pas tout à fait
Posté par claudex . Évalué à 4.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Une blackliste mais pas tout à fait
Posté par Grunt . Évalué à 2.
Ben.. vu qu'Internet c'est l'ensemble des petits réseaux qui y sont branchés, et que "tous" c'est la somme des "chacun", je saisis mal la différence.
Je suis totalement d'accord avec toi au sujet des critiques que tu émets: leur système manque de transparence, manque de retour d'information pour les IP blacklistées. Prévenir "On vous blackliste!" avant de le faire, donner des explications à la demande, ce serait la moindre des choses (tu les as contactés, au moins?).
Mais, vu l'ampleur du problème, s'attaquer au spam nécessite peut-être de laisser tomber les règles de courtoisie du genre "Excusez-moi, il semblerait que vous envoyez du spam, serait-il possible d'arrêter sinon dans 6 mois on vous recontacte." Parce qu'il y a des gens qui s'en foutent totalement. Internet n'est plus un réseau avec des passionnés et que des passionnés, y'a des millions de machines vérolées, chez des particuliers, dans des parcs d'entreprise, voire dans des datacenter, qui envoient du caca sur le réseau. Avec derrière, des gens que tu peux pas contacter directement, tout juste le whois te renvoie à l'autre bout du monde chez quelqu'un qui peut s'en foutre royalement que tu reçoives du spam.
Donc ben.. c'est à chacun de faire gaffe à pas être rangé un peu hâtivement dans la case des "qui s'en foutent."
En tout cas, ce serait intéressant d'avoir le fin mot de l'histoire. De connaître la raison pour laquelle t'as été blacklisté.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Une blackliste mais pas tout à fait
Posté par claudex . Évalué à 3.
C'est pas du tout ce qu'il demande. Il veut qu'on lui disent: on vous a blacklisté pour telle raison, voilà ce qu'il faut faire pour qu'on vous vire de notre liste.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.