...
| SMTP_response | Reason | Description simple |
|---|---|---|
| 554 5.7.1 | Sender address rejected: spam | Domaine ou adresse envoyant du spam |
| 554 5.7.1 | Sender address rejected: abusive domain | Domaine abusif |
| 554 5.7.1 | Sender address rejected: SPAM&PHISH compromised account | Compte mail compromis / utilisé pour relayer du spam |
Depuis fin juin 2018, un filtrage est également effectif sur les extensions de domaines réputées comme émettrices de spam :
Voici deux des sources utilisées en plus des constats de la supervision
http://www.surbl.org/tld
https://www.spamhaus.org/statistics/tlds/
| SMTP_response | Reason | Description simple |
|---|---|---|
| 554 5.7.1 | We reject all .bid domains | Rejet des domaines .bid |
Voici un extrait des domaines bloqués à ce jour :
| Bloc de code |
|---|
.accountant .bid .cc .cf .click .club .cricket .date .diet .download .faith .ga .gdn .gq .link .loan .men .ml .party .press .pro .racing .reise .review .science .study .stream .tk .top .trade .vip .wang .win .work .xyz .zip |
Techniques mises en place :
Table SQL de blacklist sur le champs "sender"
Sur postfix : check_sender_access pcre:/etc/postfix/reject_domains_tlds.pcre
3- Filtrages par pièce jointe
...
| Bloc de code |
|---|
.ade, .adp, .bat, .chm, .cmd, .com, .cpl, .exe, .hta, .ins, .isp, .jar, .js, .jse, .lib, .lnk, .mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct, .shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh , .zip |
| Info | ||
|---|---|---|
| ||
+ Les fichiers .doc contenant "facture" dans le nom de fichier sont également bloqués (depuis 2015/2016 suite aux nombreuses vagues de Cryptolocker se servant de ce vecteur d'infection) |
...
| DNSBL | Url |
|---|---|
SpamCop | https://www.spamcop.net/ |
| Barracudacentral | http://barracudacentral.org/rbl |
| UCEPROTECT | http://www.uceprotect.net/ |
| DroneBL | http://dronebl.org/ |
| Truncate | http://www.gbudb.com/index.jsp |
| CBL Abuseat | https://www.abuseat.org/ |
Exemple d'erreurs :
| SMTP_response | Reason | Description simpleReason | Description simple | |||
|---|---|---|---|---|---|---|
| 554 5.7.1 | Client host [XXX.XXX.XXX.XXX] blocked using bl.spamcop.net; | Émetteur figurant sur liste noire SpamCop | ||||
| 554 5.7.1 | Client host [XXX.XXX.XXX.XXX] blocked using blb.spamcopbarracudacentral.netorg; | Émetteur figurant sur liste noire SpamCopBarracuda | ||||
| 554 5.7.1 | Client host [XXX.XXX.XXX.XXX] blocked using | bdnsbl-1. | barracudacentraluceprotect. | orgnet; | Émetteur figurant sur liste noire | BarracudaUCEPROTECT |
| 554 5.7.1 | Client host [XXX.XXX.XXX.XXX] blocked using dnsbl.dronebl.org; | Émetteur figurant sur liste noire DroneBL, la raison est généralement fournie (DDoS drone, Automatically determined botnet IPs, Open HTTP proxy, Open SOCKS proxy...) | ||||
| 554 5.7.1 | Client host [XXX.XXX.XXX.XXX] blocked using truncate.gbudb.net; | Émetteur figurant sur liste noire Truncate | ||||
| 554 5.7.1 | Client host [XXX.XXX.XXX.XXX] blocked using cbl.abuseat.org; | Émetteur figurant sur liste noire Abuseat |
Le champ [XXX.XXX.XXX.XXX] correspond à l'IP de l'émetteur, il suffit généralement de se rendre sur le site de la black list et saisir l'IP indiquée pour connaitre les motifs du blacklistage, et effectuer la demande de dé-listage quand elle est possible. Un lien direct est généralement fourni dans la réponse.
...