...
| SMTP_response | Reason | Description simple |
|---|---|---|
| 554 5.7.1 | Sender address rejected: spam | Domaine ou adresse envoyant du spam |
| 554 5.7.1 | Sender address rejected: abusive domain | Domaine abusif |
| 554 5.7.1 | Sender address rejected: SPAM&PHISH compromised account | Compte mail compromis / utilisé pour relayer du spam |
...
Ces règles sont quasiment identiques à celles mise en place par Google pour sa messagerie Gmail : https://support.google.com/mail/answer/6590?hl=fr
Exemple d'erreurs :
...
| SMTP_response | Reason | Description simple |
|---|---|---|
| 5.7.1 | header Content-Type: application/zip | Pour des raisons de securite, nous ne pouvons temporairement pas accepter votre fichier en piece-jointe de type ".zip". Si vous estimez qu'il s'agit d'une erreur, vous pouvez contacter [email protected]. For safety reasons, we temporarily cannot accept emails with ".zip" attached file. If you think your email was rejected for wrong reasons, please contact [email protected]. |
Techniques mises en place :
RegEX dans les headers
4- Filtrage par RBL (Real-Time Blackhole) :
Des services de blacklists distantes et gratuites (DNSBL : DNS black lists) ont été configurées sur nos serveurs Postfix. Le DNS Black Listing (DNSBL) est une méthode permettant de consulter une liste noire d'émetteurs de courrier électronique en utilisant le protocole DNS.
Ils ont comme mandat de fournir une liste de serveurs réputés comme grands envoyeurs de spams, et de lister les grands spammeurs. Il s'agit en fait d'une grande liste noire généralisée. Celle-ci inclut les adresses IP des machines connues pour être la source de spam, des plages d'adresses utilisées par les fournisseurs d'accès à Internet qui hébergent des spammeurs, ou encore des adresses IP qui ont tenté d'envoyer des messages à des systèmes honeypot.
Le principe d'utilisation est simple : lorsqu'un filtre reçoit un courriel, il vérifie si le serveur d'envoi est contenu dans un RBL. Si oui, le courriel est catégorisé comme spam.
Les filtres utilisés par Gadz.org sont les suivants (dans l'ordre) :
| DNSBL | Url |
|---|---|
SpamCop | https://www.spamcop.net/ |
| Barracudacentral | http://barracudacentral.org/rbl |
| DroneBL | http://dronebl.org/ |
| Truncate | http://www.gbudb.com/index.jsp |
Exemple d'erreurs :
| SMTP_response | Reason | Description simple |
|---|---|---|
| 554 5.7.1 | Client host [XXX.XXX.XXX.XXX] blocked using bl.spamcop.net; | Émetteur figurant sur liste noire SpamCop |
| 554 5.7.1 | Client host [XXX.XXX.XXX.XXX] blocked using b.barracudacentral.org; | Émetteur figurant sur liste noire Barracuda |
| 554 5.7.1 | Client host [XXX.XXX.XXX.XXX] blocked using dnsbl.dronebl.org; | Émetteur figurant sur liste noire DroneBL, la raison est généralement fournie (DDoS drone, Automatically determined botnet IPs, Open HTTP proxy, Open SOCKS proxy...) |
| 554 5.7.1 | Client host [XXX.XXX.XXX.XXX] blocked using truncate.gbudb.net; | Émetteur figurant sur liste noire Truncate |
Le champ [XXX.XXX.XXX.XXX] correspond à l'IP de l'émetteur, il suffit généralement de se rendre sur le site de la black list et saisir l'IP indiquée pour connaitre les motifs du blacklistage, et effectuer la demande de dé-listage quand elle est possible. Un lien direct est généralement fourni dans la réponse.Ces services
Chaque liste possède son propre fonctionnement ; il n'est pas toujours possible de se désinscrire manuellement (les processus sont automatiques et réclament du temps), surtout en cas de récidive.
Nous n'avons pas la main sur ces services : nous ne sommes donc pas en mesure d'y ajouter ou retirer des adresses spécifiques.
Techniques mises en place :
Sur postfix : reject_rbl_client sur client_restrictions et recipient_restrictions
5- Greylisting (liste grise) :
La liste grise est un terme utilisé pour décrire une technologie antispam particulièrement efficace ; Pour simplifier, le courrier entrant est rejeté temporairement et il est indiqué au serveur qui envoie le message d’attendre et de réessayer l’envoi un peu plus tard. Tout serveur de mail légitime respecte cette règle. Les serveurs de mail non légitimes (utilisés par les spammeurs) ne le font pas car cela leur fait perdre de l’efficacité (temps/argent/perf).
Cette technique permettait d’atteindre des taux d’efficacité très élevés, de l’ordre de 99 % quand elle a été proposée en 2003, puisque la très grande majorité des spammeurs préfère sacrifier un courriel plutôt que d’attendre et ainsi, diminuer leur performance. Actuellement l’efficacité est moins importante (~80-90 %) à cause de l’augmentation de l’utilisation des webmails (des vrais serveurs de messagerie), par les spammeurs, pour distribuer les spams.
Cette technique induit cependant des délais plus ou moins long de livraison des mails (entre 5 min et 24 heures selon les cas).
Une liste de domaines "de confiance" qui ne sont pas soumis au greylistage est tenue à jour (et à discrétion) par les équipes Gadz.org
Exemple d'erreurs :
| SMTP_response | Reason | Description simple |
|---|---|---|
| 450 4.7.1 | Recipient address rejected: We will verify your host identity... please retry later | Vérifications de l'émetteur : merci de réessayer l'envoi |
Techniques mises en place :
pfixtools avec postlicyd
6- Antivirus ClamAV :
7- Antispam Bogofilter (Filtrage bayésien) :
Nous utilisons l'antispam Bogofilter. Le filtrage bayésien du spam (du mathématicien Thomas Bayes) est un système fondé sur l'apprentissage d'une grande quantité de spams et courriels légitimes afin de déterminer si un courriel est légitime ou non. Afin de bien fonctionner, le corpus de spam et le corpus de ham (courriels légitimes) doivent contenir idéalement plusieurs milliers de « spécimens ».
Lors de la détection d'un spam par Bogofilter, il est placé sur la quarantaine mutualisée "https://spam.gadz.org"
B- Mécanismes des fournisseurs d'accès (appliqués sur toutes les redirections)
Les mails transférés aux adresses de redirections : fournisseurs internet grands publiques (Orange, Free, SFR, LaPoste.net...), fournisseurs de messagerie mondiaux (AOL, Yahoo, Gmail, Microsoft...), organisations privée (Airbus, Renault, Ensam...) sont également soumis à des filtrages lors de leur réception par le service de messagerie final.
Voici des exemples de filtrages possible par ces services :