Comment stopper le spam sortant ?

soro18 · Le 18/05/2018, à 07:29

Bonjour à tous

Nous avons un serveur d'hébergement qui tourne avec Postfix, SpamAssassin, Amavisd-new et Clamav. IL y arrive des fois où certains clients se lancent dans la diffusion massive de spam, ce qui fais blacklister nos IP chez certains RBL (Realtime Blackhole List).

J'ai configuré Postfix, Amavisd-new et Clamav pour rejeter tous courriers sortant et entrant comportant des virus mais là n'est pas le problème.
Je veux être avertis automatiquement lorsqu’il y a un client qui commence par diffuser du spam et ainsi bloquer son compte avant qu'il ne soit repérer par un RBL.

J'ai essayé le service de spamexperts.com qui analyse les courriers sortants et prévient en cas de spam. Mais je ne suis pas trop satisfais coté prix.

J'ai remarqué que chez certains hébergeurs, dès qu'un compte mail diffuse un virus ou du spam, le compte est automatiquement bloqué. Ils disent se basé sur des règles de SpamAssassin très strictes. Mais comment ? Je ne sais pas.

Je cherche donc un moyen pour détecter le spam sortant et bloqué le compte mail suspecté. Scripts, configuration, services en ligne, je suis preneur.

Merci d'avance.

krodelabestiole · Le 18/05/2018, à 08:58

c'est un peu vague comme question. tu as essayé d'installer et configurer spamassassin ?

une bonne mine d'info sur le sujet si tu parles anglais :
https://serverfault.com/a/419475

Dernière modification par krodelabestiole (Le 18/05/2018, à 09:01)

soro18 · Le 18/05/2018, à 09:16

Merci pour ta réponse. Je jette un coup d'oeuil au lien pour voir si j'ai reponse à ma question de filtrer le spam sortant avant que les RBL ne repère l'IP du serveur

LRDP · Le 18/05/2018, à 09:31

Bonjour,
il existe la messagerie Protonmail.com qui élimine tout risque de Spam, mais pour travailler immédiatement, il faut d'emblée une solution payante (la gratuite monte en puissance lentement et ne permets pas les messages multiples). A voir sur le site.

LeoMajor · Le 30/05/2018, à 15:03

bonjour,

un début de réponse,

1/ d'abord faire une statistique de postfix avec pflogsumm.
pour faire vite

pflogsumm  -e --mailq /var/log/mail.log*  | more

/usr/local/sbin/pflogsumm_cron

#!/bin/bash
#/usr/sbin/pflogsumm -d yesterday -e --mailq /var/log/mail.log* 2>&1\
# | /usr/bin/mail -s "statistiques postfix" toto@domain.tld
/usr/sbin/pflogsumm -d yesterday -e --mailq /var/log/mail.log* 2>&1\
 | /usr/bin/s-nail -s "statistiques postfix" toto@domain.tld

à mettre dans cron
5 0 * * * bash /usr/local/sbin/pflogsumm_cron

mettre tes logs en mode bavard, dans le master.cd pour avoir plus d'infos
par exemple

smtp      inet  n       -       n       -       -       smtpd -v
..
submission      inet    n    -    n    -    -    smtpd -v
..
local     unix  -       n       n       -       -       local -v

stop/start service (pas de reload)

1/ si relais, déclarer seulement une des machines du relais, dans le SPF, et l'utiliser pour envoyer. Les plages d'IP sont une source d'erreur.
si IPv6 + IPv4 le format fqdn est le plus approprié.

host -t txt domain.tld
domain.tld descriptive text "v=spf1 mx a +a:relais_au_format_fqdn ~all"

au début ?all (phase de test), puis ~all (softfail le message est livré, avec la mention spam), -all (hardfail le message peut être supprimé; équivalent à un discard smtp postfix)

2/ vérifier les problèmes de forge liés au MAILFROM. Les vérificateurs SPF vérifient si le domain.tld du sender@domain.tld, est conforme aux déclarations dns (mx,spf). Le Return-Path, adresse routable, normalement correspond au MAILFROM
attention donc à permit_mynetworks, qui autorise tout et n'importe quoi, à l'envoi (applications web, ..)

3/ les substitutions d'identité
Dès lors qu'il y a permit_sasl_authenticated, le MAILFROM peut être changé, et donc potentiellement pas conforme.
par exemple, main.cf

smtpd_sender_login_maps = hash:/etc/postfix/permit_sasl_lock_mailfrom.cf

/etc/postfix/permit_sasl_lock_mailfrom.cf

#MAIL_FROM  permit_sasl_authenticated_%u
toto@domain.tld	toto@domain.tld

une authentification sur toto@domain.tld verrouille un MAILFROM toto@domain.tld

4/essayer de respecter l'alignement entre le mail_from et le header_from, dans les scripts (problème récurrent dans les applications web).

5/ les problèmes de quantité, fréquence, nombre de connexions, délais ...

préférer temporiser sur votre fil d'attente mail_queue, plutôt qu'imposer votre cadence d'envoi à un tiers, relais.

par exemple, main.cf

smtpd_client_connection_count_limit = 4
smtpd_client_connection_rate_limit = 30
smtpd_client_recipient_rate_limit = 30
smtpd_hard_error_limit = 4
smtpd_recipient_limit = 30
maximal_queue_lifetime = 36h
bounce_queue_lifetime = 36h
default_destination_recipient_limit = 25
smtpd_error_sleep_time = 0
virtual_destination_rate_delay = 1
smtp_destination_rate_delay = 1
local_destination_concurrency_limit = 5
default_destination_concurrency_limit = 10
virtual_destination_concurrency_limit = 10
smtp_destination_concurrency_limit = 5

variante master.cf

       -o smtp_destination_rate_delay=1

http://www.postfix.org/TUNING_README.html

6/ renseigner explicitement relay_recipient_maps et local_recipients_maps

relay_recipient_maps = hash:/etc/postfix/recipients_allow.cf
local_recipient_maps = hash:/etc/postfix/recipients_allow.cf, $alias_maps, proxy:unix:passwd.byname

/etc/postfix/recipients_allow.cf

toto@domain.tld	OK
...

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 18/05/2018, à 07:29

Comment stopper le spam sortant ?

#2 Le 18/05/2018, à 08:58

Re : Comment stopper le spam sortant ?

#3 Le 18/05/2018, à 09:16

Re : Comment stopper le spam sortant ?

#4 Le 18/05/2018, à 09:31

Re : Comment stopper le spam sortant ?

#5 Le 30/05/2018, à 15:03

Re : Comment stopper le spam sortant ?

Pied de page des forums