Comparaison des versions

Ancienne version 24

changes.mady.by.user Adrien Mintz

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user Adrien Mintz

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Cet article résume le fonctionnement et les mécanismes de lutte antispam et antivirus mis en oeuvre œuvre sur la messagerie Gadz.org.

Quelques statistiques en introduction :

Mails entrants 

  • Nombre d'adresses en @gadz.org (et dérivé dérivés m4am/gadzarts et j'en passe) : dans les plus de 50 000 (sans compter les alias).Nombre de comptes Google : gadz.org : 25 000 et imelavi.fr : 7 000
  • Nombre de redirections emails externes : 50 000
  • Moyenne mails reçus / jour : 250 000 mails
  • Moyenne mails filtrés / jour : 80 000 mails (65 000 par RBL, 10 000 par blacklist et 5 000 par vérification d'intégrité)

Mails sortants

  • Nombre de comptes Google : gadz.org : 25 000 et imelavi.fr : 7 000
  • Nombre de redirections emails externes : 50 000
  • Moyenne mails livrés / jour (aux boites Google Gadz.org + redirections) : 150 000 mails
  • Taux de livraison moyen (chiffres 2021) : 98.9%.
    Ordre par fournisseur et par volume (top 8) :
    • Google : 116 000 mails - 100% (inclus Gmail.com et les G Suite Gadz.org + imelavieimelavi.fr)
    • Orange : 7 500 - 98%
    • Yahoo : 5 000 - 98%
    • Microsoft : 4 500 - 100%
    • SFR : 3 000 - 98%
    • Free : 2 700 - 94%
    • Laposte : 1 800 - 93%
    • Ensam : 1 200 - 100%

Sommaire

...



Photo de l'architecture mail "gadz.org" en date de juillet 2022 :

Image Added



Sommaire


Les redirections mails n'ont pas de garanties de fiabilité, les FAI/fournisseurs de messagerie/messagerie pro/etc... ont chacun leurs propres règles et filtrages (dont nous n'avons bien évidement pas la main).


Le Spam est un fléau, qui représenterait environ 90% du trafic e-mail mondial. Chaque acteurs impliqués se doit d'agir pour endiguer ce fléau au maximum.

...

Des filtrages antispam sont présents sur la messagerie Gadz.org ; voici la liste non exhaustive des mécanismes mis en place :

...

Sur postfix : helo_restrictions (reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname...) et sender_restrictions (reject_non_fqdn_sender, reject_unknown_sender_domain, reject_invalid_hostname...)

check_helo_access hash:/etc/postfix/helo_checks

2- Filtres "manuels" suite à des plaintes, abus, ou constat dans les logs (exploitations/supervisions)

...

Table SQL de blacklist sur le champs "sender"

Sur postfix : check 

check_sender_access pcre:/etc/postfix/reject_domains_tlds.pcre

...

check_client_access cidr:/etc/postfix/rbl_override

check_client_access cidr:/etc/postfix/client_checks

2 bis- Vérifications de SPF (nouveauté juillet 2022)

...

Les emails échouant aux vérifications SPF sont rejetés


Remarque

Avant le 05/07/22, il était possible d'envoyer des mails en tant que gadz.org / gadzarts.org / m4am.net depuis une adresse mail externe type orange.fr, free.fr (ou autre) en utilisant les serveur SMTP d'un autre opérateur. Cela n'est plus possible désormais suite aux problèmes ayant entrainés la suspension des 25 000 comptes Google gadz.org pour détection de spam, ce qui avait fortement impacté et nuit à la communauté.

Il est dorénavant nécessaire d'utiliser son compte Google Gadz.org, et d'utiliser les serveurs de courrier sortant (SMTP) de Google gmail afin de pouvoir envoyer en tant que gadz.org / gadzarts.org / m4am.net :

https://confluence.gadz.org/display/AIDE/Gadzmel%2C+Gmail+pour+gadz.org#Gadzmel,Gmailpourgadz.org-3/Acc%C3%A9der%C3%A0uneboitemailGadzmel

Vous trouverez sur cet article d'aide (disponible depuis aide.gadz.org) les instructions pour activer IMAP sur votre compte Google Gadz .org.

Pour configurer un client de messagerie tiers (Microsoft Outlook, Microsoft Windows Live Mail, etc), spécialement l'utilisation des serveurs de courriers sortants, voir :

https://support.google.com/mail/answer/7126229?hl=fr#zippy=%2C%C3%A9tape-modifier-les-param%C3%A8tres-smtp-et-les-autres-param%C3%A8tres-dans-votre-client-de-messagerie

3- Filtrages par pièce jointe

Afin de lutter contre l'exécution de code malveillants caché/intégré dans des pièces jointes, il a été décidé d'interdire certain type de fichier en pièce jointe des mails.

Les pièces jointes sont filtrées selon les règles suivantes :

...

La mise en place de DMARC, DKIM et le durcissement des SPF sont dû à cela ; éviter que la terre entière puisse envoyer "en tant que" gadz.org et que l'intégralité des comptes Google de la communauté soient de nouveau bloqués pour des raisons de spams.

Exemple d'erreurs :

SMTP_responseReasonDescription simple
5.7.1SPF fail550 This message fails to pass SPF checks - l'émetteur n'est pas autorisé à envoyer en tant que

Techniques mises en place : 

postfix-policyd-spf-python : https://makeityourway.de/enabling-spf-sender-policy-framework-checking-on-postfix/

3- Filtrages par pièce jointe

Afin de lutter contre l'exécution de code malveillants caché/intégré dans des pièces jointes, il a été décidé d'interdire certain type de fichier en pièce jointe des mails.

Les pièces jointes sont filtrées selon les règles suivantes :

Bloc de code
.ade, .adp, .bat, .chm, .cmd, .com, .cpl, .exe, .hta, .ins, .isp, .jar, .js, .jse, .lib, .lnk, .mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct, .shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc, .wsf, .wsh, .zip

...

DNSBLUrl

SpamCop

https://www.spamcop.net/
Barracudacentralhttp://barracudacentral.org/rbl
UCEPROTECThttp://www.uceprotect.net/
DroneBLhttp://dronebl.org/
Truncatehttp://www.gbudb.com/index.jsp

CBL Abuseat

Spamhaus.org

https://www.abuseat.org/

https://www.spamhaus.org/

Exemple d'erreurs :

SMTP_responseReasonDescription simple
554 5.7.1Client host [XXX.XXX.XXX.XXX] blocked using bl.spamcop.net;Émetteur figurant sur liste noire SpamCop
554 5.7.1Client host [XXX.XXX.XXX.XXX] blocked using b.barracudacentral.org;Émetteur figurant sur liste noire Barracuda
554 5.7.1Client host [XXX.XXX.XXX.XXX] blocked using dnsbl-X.uceprotect.net;Émetteur figurant sur liste noire UCEPROTECT (level 1 = IP, level 2 = network, level 3 = ASN réputation) nous sommes actuellement sur le level 3 : dnsbl-3.uceprotect.net
554 5.7.1Client host [XXX.XXX.XXX.XXX] blocked using dnsbl.dronebl.org;Émetteur figurant sur liste noire DroneBL, la raison est généralement fournie (DDoS drone, Automatically determined botnet IPs, Open HTTP proxy, Open SOCKS proxy...)
554 5.7.1Client host [XXX.XXX.XXX.XXX] blocked using truncate.gbudb.net;Émetteur figurant sur liste noire Truncate
554 5.7.1

Client host [XXX.XXX.XXX.XXX] blocked using cbl.abuseat.org;

Client host [XXX.XXX.XXX.XXX] blocked using xxx.spamhaus.org;

Émetteur figurant sur liste noire Abuseat

Émetteur figurant sur liste noire Spamhaus

Le champ [XXX.XXX.XXX.XXX] correspond à l'IP de l'émetteur, il suffit généralement de se rendre sur le site de la black list et saisir l'IP indiquée pour connaitre les motifs du blacklistage, et effectuer la demande de dé-listage quand elle est possible. Un lien direct est généralement fourni dans la réponse.

Chaque liste possède son propre fonctionnement ; il n'est pas toujours possible de se désinscrire manuellement (les processus sont automatiques et réclament du temps), surtout en cas de récidive.

Nous n'avons pas la main sur ces services "tiers" : nous ne sommes donc pas en mesure d'y ajouter ou retirer des adresses spécifiques.Techniques

Info
titleSpamhaus.org / abuseat.org

Désactivation des RBL spamhaus et abuseat.org suite à de (trop) nombreux faux positifs les 25 et 26/08/22


Techniques mises en place : 

Sur postfix : reject_rbl_client sur client_restrictions et recipient_restrictions

Liste blanche IP via :  check_client_access cidr:/etc/postfix/rbl_override,

5- Greylisting (liste grise)

...

C- Cas spécifiques Gadz.org

...

Utilisateurs existant, n'ayant ni de compte Google actif, ni d'adresse(s) de redirection active(s)

Vous envoyez un mail à une adresse [email protected] et vous obtenez le retour suivant :

...

Bloc de code
Remote-MTA: dns; hruid.agoram.org
Diagnostic-Code: smtp; 550 5.1.1
    <[email protected]>: Recipient address
    rejected: User unknown in local recipient table
En gros = envoyé par hruid.agoram.org et [email protected] : User unknown

...

recipient table

En gros = envoyé par hruid.agoram.org et [email protected] : User unknown

Cela signifie que le compte [email protected] existe (possède un hruid dans le GrAM) mais n'a pas d'adresse de redirection valide/active où livrer le mail...

Redirections emails depuis un domaine/serveur de mail perso, ou pro, vers gadz.org


La messagerie gadz.org a été conçue à la base pour justement rediriger des mails. Pas vraiment pour recevoir des mails déjà redirigés...


Relayer les mails vers gadz.org revient à "émettre en tant que" (pour un serveur de mail, "rediriger" et "envoyer en tant que" revient à la même chose) : donc les SPF stricts vont rejeter les mail pour usurpation/spoofing (en gros : un relai gadz.org - se faisant passer pour gadz.org - illégitime)

Solution 1 : SPF + SRS sur le relai perso/pro (si tu es un expert, et/ou que tu touches ta bille en postfix)

Si vous souhaitez pouvoir relayer vers gadz.org, alors il est nécessaire de mettre en œuvre SRS en plus de SPF sur la messagerie qui relai : https://en.wikipedia.org/wiki/Sender_Rewriting_Scheme

(Pour la petite anecdote : c'est via SRS que "gadz.org" redirige vos mail [email protected] vers vos N adresse(s) de redirections externes)

voir par exemple cet article en français, le chapitre 5 expose bien le problème appliqué ici à gmx.ch, et le chapitre 6 pour les résolutions : https://support.hostpoint.ch/fr/produits/e-mail/questions-dordre-general-sur-e-mail/sender-policy-framework-spf-et-sender-rewrite-schema-srs

Solution 2 : Fonctionnalité "Comptes et importation" de Gmail du compte Google gadz.org (le plus simple)

Récupérer les mails de votre boite mail perso/pro et les consulter via votre compte Google gadz.org , grâce à la fonctionnalité Gmail "Comptes et importation" -> "Consulter d'autres comptes de messagerie". 

Une fois les informations techniques (adresse, serveur imap/smtp, etc...) et de connexions (login/mdp) de votre boite externe sont saisies, et que le compte est correctement ajouté, vous pourrez consulter via Gmail de Google gadz.org vos emails externes.

FAQ Google sur cette fonctionnalité : https://support.google.com/mail/answer/21289?hl=fr&co=GENIE.Platform%3DDesktop#zippy=%2C%C3%A9tape-modifier-les-param%C3%A8tres-gmail