Journal Postfix + antiSPAM

Posté par  .
Étiquettes : aucune
0
29
juin
2006
Salut,

Je fais appel a vous pour un petit problème. Je gère actuellement deux serveurs de mails qui ont tout deux un assez fort traffic (il s'agit juste de mx, pas de serveurs smtp). Ce sont deux machines "relativement" puissantes qui ont un postfix + un amavis contre les spams. Le problème est qu'en ce moment, j'ai de plus en plus de tres grosses vagues de spams qui ralentissent mes machines de manière "tres efficace" (je monte a plus de 200000 mails par jour sur chaque machine). Mes postfix ont plusieurs RBL activees (spamhaus, etc..). Seulement ca ne suffit pas. Mon amavis me bouffe toute mes ressources et du coup les mails mettent 3 plombes a arriver.
Comme il s'agit de serveurs de prod, je ne peux pas trop toucher a l'antispam (ie mettre un dspam ou un spamd a la place). Je cherche donc plutot des solutions du genre : bloquer les gens qui sont "agressifs". Par exemple, je pensais, au niveau iptable, a bloquer pendant xx minutes toutes les personnes faisant plus de x connections par minutes. Mais je ne pense pas que ce soit suffisant.
J'aimerais savoir si vous avez deja ete confronte a ce genre de cas et quelles solutions vous avez pu mettre en place (ie bloquer les requetes venant d'adsl, script analysant les logs postfix pour bloquer certaines IP...). Ou si vous avez des liens a me fournir...

Merci

  • # Greylisting

    Posté par  . Évalué à 2.

    Essaye le greylisting, en attendant que les spammeurs le contrent.

    Postgrey en est une implémentation pour postfix.

    • [^] # Re: Greylisting

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      c'est ce que j'allais dire : apt-get install postgrey.

      (le problème c'est qu'au début ça va encore plus ralentir tes emails)
      http://www.debian-administration.org/articles/168

      Mes livres CC By-SA : https://ploum.net/livres.html

    • [^] # Re: Greylisting

      Posté par  . Évalué à 2.

      Malgré l'effet (très efficace du greylisting), mettre ça sur un serveur de prod (surtout à fort traffic) n'est pas anodin. Il faut à mon avis préparer sa whitelist très minutieusement, et pas faire un apt-get install postgrey + la ligne qui va bien dans le main.cf.

      As-tu déjà bien configuré les restrictions dans Postfix (http://www.postfix.org/uce.html) ? Si c'est bien fait, ça permet de vraiment dégrossir le boulot d'amavis.

      Les RBLs sont également très efficaces de ce côté-là, mais ça peut faire pas mal de casse aussi.

      • [^] # Re: Greylisting

        Posté par  (site web personnel, Mastodon) . Évalué à 3.

        perso je pense que le greylist est bien moins risqué que les RBLs (certaines surtout comme SORBS contiennent quasiment plus de faux-positifs qu'autre chose).

        Le postgrey de debian est fourni avec une whitelist déjà assez conséquente (et n'oublions pas qu'il fait de l'auto-whitelisting)

        Néanmoins c'est clair que ça demandera de surveiller les logs, surtout au départ

        Mes livres CC By-SA : https://ploum.net/livres.html

        • [^] # Re: Greylisting

          Posté par  . Évalué à 1.

          Merci de ces reponses.. Je vais me pencher du cote de Postgrey alors.
          Par contre, j'ai ajoute une RBL : dul.dnsbl.sorbs.net. Elle est censee filtrer les IP dynamiques. Et d'apres mes logs, elle degage vraiment pas mal de monde.. Mais ta remarque me fait un peu peur.. Est elle vraiment efficace ou "trop" efficace (ie trop de faux positifs) ?? (apres un rapide coup d'oeil sur mes logs, parmi les mails bloqués, bcp ont des expediteurs fantaisistes et/ou des destinataires inexistants.. par contre d'autre me semblent bons..)
          Merci

          • [^] # Re: Greylisting

            Posté par  . Évalué à 2.

            une idée, c'est de greylister uniquement les IP indiquées dans les RBL. C'est ce que fait le paquet whitelister dispo dans debian. (Il est possible de le faire directement dans exim, cf http://blog.madism.org/index.php/2006/04/03/81-debianorg-and(...) )

            • [^] # Re: Greylisting

              Posté par  (site web personnel, Mastodon) . Évalué à 2.

              le problème c'est que ça ne lui diminue pas sa charge. Au contraire, ça l'augmente ! (vu que certains spams passent le greylisting)

              Mes livres CC By-SA : https://ploum.net/livres.html

          • [^] # Re: Greylisting

            Posté par  (site web personnel, Mastodon) . Évalué à 2.

            j'ai entendu beaucoup de retour sur le fait que sorbs était bien trop sévère et que une fois ton serveur dans la base de données, il est quasiment impossible de la supprimer.

            Ce n'est pas le cas de XBL où j'ai moi même été blacklisté pour une mauvaise configuration de mon serveur mail. Par défaut, tu te rends sur leur site, tu mets ton IP et tu peux te déblacklister. D'après leur FAQ, ils refusent de déblacklister seulement si tu as été blacklisté 5 fois de suite dans un temps donné et que tu as donc manuellement déblacklisté 4 fois. Comme j'avais corrigé mon serveur, j'ai plus eu de problème.


            Perso, j'ai réglé le problème en utilisant uniquement spamassassin (et clamav). SA ajoute des points si les adresses sont dans les blacklists. Au pire, le mail sera considéré comme spam mais pas perdu (car je me contente de marquer les messages comme étant du spam mais je les délivre quand même). Et comme par défaut, le poids de sorbs dans SA est quasi-nul ;-)

            Mes livres CC By-SA : https://ploum.net/livres.html

            • [^] # Re: Greylisting

              Posté par  . Évalué à 2.

              Oui en parlant de sorbs, juste regarder le site de son auteur, bah ça montre que c'est un véritable psychopathe qui doit se faire soigner !

              http://www.isux.com/

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.