Il s'agit d'une Question canonique sur la lutte contre le spam.
Également lié:
Il y a tellement de techniques et tellement de choses à savoir sur la lutte contre le SPAM. Quelles techniques et technologies largement utilisées sont disponibles pour l'administrateur, les propriétaires de domaine et les utilisateurs finaux pour aider à garder les déchets indésirables dans nos boîtes de réception?
Nous recherchons une réponse qui couvre différentes technologies sous différents angles. La réponse acceptée devrait inclure une variété de technologies (par exemple SPF/SenderID, DomainKeys/DKIM, Graylisting, DNS RBLs, Reputation Services, Filtering Software [SpamAssassin, etc]); les meilleures pratiques (par exemple, le courrier sur le port 25 ne doit jamais être autorisé à relayer, le port 587 doit être utilisé; etc.), la terminologie (par exemple, Open Relay, rétrodiffusion, MSA/MTA/MUA, Spam/Ham), et éventuellement d'autres techniques.
Pour vaincre votre ennemi, vous devez connaître votre ennemi.
À nos fins, le spam est tout message électronique en masse non sollicité. Le spam de nos jours est destiné à inciter les utilisateurs sans méfiance à visiter un site Web (généralement louche) où ils seront invités à acheter des produits, ou à faire livrer des logiciels malveillants sur leurs ordinateurs, ou les deux. Certains spams transmettent directement des logiciels malveillants.
Cela peut vous surprendre d'apprendre que le premier spam a été envoyé en 1864. C'était une publicité pour des services dentaires, envoyée via un télégramme Western Union. Le mot lui-même est un référence à a scène dans Monty Python's Flying Circus .
Le spam, dans ce cas, pas fait référence au trafic des listes de diffusion auquel un utilisateur s'est abonné, même s'il a changé d'avis plus tard (ou l'a oublié) mais ne s'est pas encore réellement désabonné.
Le spam est un problème car il fonctionne pour les spammeurs. Le spam génère généralement plus qu'assez de ventes (ou de livraison de logiciels malveillants, ou les deux) pour couvrir les coûts - pour le spammeur - pour l'envoyer. Le spammeur ne prend pas en compte les coûts pour le destinataire, vous et vos utilisateurs. Même quand une infime minorité d'utilisateurs qui reçoivent du spam y répondent, c'est suffisant.
Vous devez donc payer les factures de bande passante, de serveurs et de temps administrateur pour faire face au spam entrant.
Nous bloquons le spam pour ces raisons: nous ne voulons pas le voir, réduire nos coûts de traitement des e-mails et rendre le spam plus cher pour les spammeurs.
Le spam est généralement transmis de différentes manières par rapport aux e-mails normaux et légitimes.
Les spammeurs veulent presque toujours masquer l'origine de l'e-mail, donc un spam typique contiendra de fausses informations d'en-tête. Le From:
l'adresse est généralement fausse. Certains spams incluent de faux Received:
lignes pour tenter de déguiser la piste. De nombreux spams sont envoyés via des relais SMTP ouverts, des serveurs proxy ouverts et des botnets. Toutes ces méthodes rendent plus difficile la détermination de l'origine du spam.
Une fois dans la boîte de réception de l'utilisateur, le spam a pour but d'inciter l'utilisateur à visiter le site Web annoncé. Là, l'utilisateur sera incité à effectuer un achat, ou le site tentera d'installer des logiciels malveillants sur l'ordinateur de l'utilisateur, ou les deux. Ou, le spam demandera à l'utilisateur d'ouvrir une pièce jointe contenant des logiciels malveillants.
En tant qu'administrateur système d'un serveur de messagerie, vous configurerez votre serveur de messagerie et votre domaine pour qu'il soit plus difficile pour les spammeurs de transmettre leur spam à vos utilisateurs.
Je couvrirai des problèmes spécifiquement axés sur le spam et je peux ignorer des éléments qui ne sont pas directement liés au spam (comme le chiffrement).
Le gros péché du serveur de messagerie consiste à exécuter un relais ouvert, un serveur SMTP qui acceptera le courrier pour n'importe quelle destination et le remettra. Les spammeurs aiment les relais ouverts car ils garantissent pratiquement la livraison. Ils se chargent de livrer des messages (et de réessayer!) Tandis que le spammeur fait autre chose. Ils font du spam pas cher.
Les relais ouverts contribuent également au problème de rétrodiffusion. Ce sont des messages qui ont été acceptés par le relais mais qui ont ensuite été jugés non distribuables. Le relais ouvert enverra alors un message de rebond au From:
adresse contenant une copie du spam.
From:
et To:
les adresses ne font pas partie de votre domaine. Le message doit être rejeté. (Ou, utilisez un service en ligne comme MX Toolbox pour effectuer le test, mais sachez que certains services en ligne soumettront votre adresse IP à des listes noires si votre serveur de messagerie échoue au test.)Diverses erreurs de configuration et erreurs peuvent être un indice qu'un message entrant est susceptible d'être du spam ou autrement illégitime.
HELO
/EHLO
.HELO
/EHLO
est: Le courrier arrivant sur vos serveurs doit être pensé en termes de courrier entrant et sortant. Le courrier entrant est tout courrier arrivant sur votre serveur SMTP qui est finalement destiné à votre domaine; le courrier sortant est tout courrier arrivant sur votre serveur SMTP qui sera transféré ailleurs avant d'être livré (par exemple, il va vers un autre domaine). Le courrier entrant peut être géré par vos filtres anti-spam et peut provenir de n'importe où, mais doit toujours être destiné à vos utilisateurs. Ce courrier ne peut pas être authentifié, car il n'est pas possible de donner des informations d'identification à chaque site qui pourrait vous envoyer du courrier.
Le courrier sortant, c'est-à-dire le courrier qui sera relayé, doit être authentifié. C'est le cas, qu'il provienne d'Internet ou de l'intérieur de votre réseau (mais vous devez restreindre les plages d'adresses IP autorisées à utiliser votre serveur de messagerie si cela est possible sur le plan opérationnel); cela est dû au fait que des spambots s'exécutent sur votre réseau. Par conséquent, configurez votre serveur SMTP de telle sorte que le courrier destiné à d'autres réseaux sera supprimé (l'accès relais sera refusé) à moins que ce courrier ne soit authentifié. Mieux encore, utilisez des serveurs de messagerie séparés pour le courrier entrant et sortant, n'autorisez aucun relais du tout pour les messages entrants et n'autorisez aucun accès non authentifié aux messages sortants.
Si votre logiciel le permet, vous devez également filtrer les messages en fonction de l'utilisateur authentifié; si l'adresse d'expéditeur du courrier ne correspond pas à l'utilisateur qui s'est authentifié, elle doit être rejetée. Ne mettez pas silencieusement à jour l'adresse de l'expéditeur; l'utilisateur doit être conscient de l'erreur de configuration.
Vous devez également enregistrer le nom d'utilisateur utilisé pour envoyer du courrier ou y ajouter un en-tête d'identification. De cette façon, si un abus se produit, vous avez des preuves et savez quel compte a été utilisé pour le faire. Cela vous permet d'isoler les comptes compromis et les utilisateurs problématiques, et est particulièrement utile pour les fournisseurs d'hébergement partagé.
Vous voulez être certain que le courrier sortant de votre réseau est réellement envoyé par vos utilisateurs (authentifiés), pas par des robots ou des personnes de l'extérieur. Les détails de la façon dont vous effectuez cette opération dépendent exactement du type de système que vous administrez.
Généralement, le blocage du trafic de sortie sur les ports 25, 465 et 587 (SMTP, SMTP/SSL et soumission) pour tout sauf vos serveurs de messagerie sortants est une bonne idée si vous êtes un réseau d'entreprise. C'est ainsi que les robots exécutant des programmes malveillants sur votre réseau ne peuvent pas envoyer de spam à partir de votre réseau, ni pour ouvrir des relais sur Internet, ni directement au MTA final pour obtenir une adresse.
Les hotspots sont un cas particulier car leur courrier légitime provient de nombreux domaines différents, mais (à cause de SPF, entre autres), un serveur de messagerie "forcé" est inapproprié et les utilisateurs doivent utiliser le serveur SMTP de leur propre domaine pour envoyer du courrier. Ce cas est beaucoup plus difficile, mais l'utilisation d'une adresse IP ou d'une plage IP publique spécifique pour le trafic Internet de ces hôtes (pour protéger la réputation de votre site), la limitation du trafic SMTP et l'inspection approfondie des paquets sont des solutions à envisager.
Historiquement, les spambots ont émis du spam principalement sur le port 25, mais rien ne les empêche d'utiliser le port 587 dans le même but, donc changer le port utilisé pour le courrier entrant est d'une valeur douteuse. Cependant, l'utilisation du port 587 pour la soumission du courrier est recommandée par RFC 2476 , et permet une séparation entre la soumission du courrier (au premier MTA) et le transfert du courrier (entre les MTA) lorsque cela n'est pas évident de la topologie du réseau ; si vous avez besoin d'une telle séparation, vous devez le faire.
Si vous êtes un FAI, un hôte VPS, un fournisseur de colocation ou similaire, ou si vous fournissez un point d'accès à l'usage des visiteurs, le blocage du trafic SMTP de sortie peut être problématique pour les utilisateurs qui envoient du courrier en utilisant leur propre domaine. Dans tous les cas, à l'exception d'un point d'accès public, vous devez demander aux utilisateurs qui ont besoin d'un accès SMTP sortant car ils exécutent un serveur de messagerie de le demander spécifiquement. Faites-leur savoir que les plaintes d'abus aboutiront à la fin de cet accès pour protéger votre réputation.
Les adresses IP dynamiques et celles utilisées pour l'infrastructure de bureau virtuel ne devraient jamais avoir d'accès SMTP sortant, sauf au serveur de messagerie spécifique que ces nœuds sont censés utiliser. Ces types d'adresses IP devraient apparaissent également sur les listes noires et vous ne devez pas tenter de vous faire une réputation. En effet, il est extrêmement improbable qu'ils exécutent un MTA légitime.
SpamAssassin est un filtre de messagerie qui peut être utilisé pour identifier le spam en fonction des en-têtes et du contenu des messages. Il utilise un système de notation basé sur des règles pour déterminer la probabilité qu'un message soit du spam. Plus le score est élevé, plus le message est susceptible d'être un spam.
SpamAssassin dispose également d'un moteur bayésien qui peut analyser les échantillons de spam et de jambon (e-mail légitime) qui y sont réinjectés.
La meilleure pratique pour SpamAssassin n'est pas de rejeter le courrier, mais de le placer dans un dossier indésirable ou spam. Des MUA (agents utilisateurs de messagerie) tels qu'Outlook et Thunderbird peuvent être configurés pour reconnaître les en-têtes que SpamAssassin ajoute aux e-mails et les classer de manière appropriée. Les faux positifs peuvent se produire et se produisent, et bien qu'ils soient rares, quand cela arrive au PDG, vous en entendrez parler. Cette conversation ira beaucoup mieux si le message a été simplement livré dans le dossier Courrier indésirable plutôt que rejeté catégoriquement.
SpamAssassin est presque unique en son genre, bien que quelques alternatives existent .
sa-update
.Les DNSBL (anciennement connus sous le nom de RBL ou listes de trous noirs en temps réel) fournissent des listes d'adresses IP associées au spam ou à d'autres activités malveillantes. Ceux-ci sont gérés par des tiers indépendants sur la base de leurs propres critères. Par exemple, quelques DNSBL ont des politiques de radiation draconiennes qui rendent très difficile le retrait d'une personne accidentellement inscrite. D'autres se retirent automatiquement de la liste après que l'adresse IP n'a pas envoyé de spam pendant une certaine période, ce qui est plus sûr. La plupart des DNSBL sont gratuits à utiliser.
Les services de réputation sont similaires, mais prétendent fournir de meilleurs résultats en analysant plus de données pertinentes pour une adresse IP donnée. La plupart des services de réputation nécessitent un paiement d'abonnement ou un achat de matériel ou les deux.
Il existe des dizaines de DNSBL et de services de réputation, bien que certains des plus connus et utiles que j'utilise et recommande sont:
Listes conservatrices:
Listes agressives:
Comme mentionné précédemment, plusieurs dizaines d'autres sont disponibles et peuvent répondre à vos besoins. Une de mes astuces préférées est de rechercher l'adresse IP qui a livré un spam qui a traversé plusieurs DNSBL pour voir lequel d'entre eux l'aurait rejeté.
SPF (Sender Policy Framework; RFC 4408 et RFC 6652 ) est un moyen d'empêcher l'usurpation d'adresse e-mail en déclarant quels hôtes Internet sont autorisés à livrer du courrier pour un nom de domaine donné.
-all
pour rejeter tous les autres.DKIM (DomainKeys Identified Mail; RFC 6376 ) est une méthode d'intégration de signatures numériques dans les messages électroniques qui peut être vérifiée à l'aide de clés publiques publiées dans le DNS. C'est grevé de brevets aux États-Unis, ce qui a ralenti son adoption. Les signatures DKIM peuvent également se casser si un message est modifié en transit (par exemple, les serveurs SMTP peuvent parfois reconditionner des messages MIME).
La liste grise est une technique où le serveur SMTP émet un rejet temporaire pour un message entrant, plutôt qu'un rejet permanent. Lorsque la remise est réessayée dans quelques minutes ou heures, le serveur SMTP accepte alors le message.
La liste grise peut arrêter certains logiciels de spam qui ne sont pas assez robustes pour faire la différence entre les rejets temporaires et permanents, mais n'aide pas avec le spam envoyé à un relais ouvert ou avec un logiciel de spam plus robuste. Il introduit également des retards de livraison que les utilisateurs ne tolèrent pas toujours.
Nolisting est une méthode de configuration de vos enregistrements MX de sorte que l'enregistrement de priorité la plus élevée (numéro de préférence le plus bas) ne dispose pas d'un serveur SMTP en cours d'exécution. Cela repose sur le fait que de nombreux logiciels de spam n'essaient que le premier enregistrement MX, tandis que les serveurs SMTP légitimes essaient tous les enregistrements MX par ordre croissant de préférence. Certains logiciels anti-spam tentent également d'envoyer directement à l'enregistrement MX de priorité la plus basse (numéro de préférence le plus élevé) en violation de RFC 5321 , de sorte qu'il peut également être défini sur une adresse IP sans serveur SMTP. Cela est considéré comme sûr, mais comme pour tout, vous devez d'abord tester soigneusement.
Placez une appliance de filtrage anti-spam telle que Cisco IronPort ou Barracuda Spam & Virus Firewall (ou d'autres appliances similaires) devant votre serveur SMTP existant pour prendre une grande partie du travail de réduire le spam que vous recevez. Ces appliances sont préconfigurées avec des DNSBL, des services de réputation, des filtres bayésiens et les autres fonctionnalités que j'ai couvertes, et sont mises à jour régulièrement par leurs fabricants.
Si c'est trop pour vous (ou votre personnel informatique surmené), vous pouvez toujours demander à un fournisseur de services tiers de gérer votre courrier électronique pour vous. Des services tels que Google Postini , Symantec MessageLabs Email Security (ou autres) filtreront les messages pour vous. Certains de ces services peuvent également gérer des exigences réglementaires et juridiques.
La première chose que les utilisateurs finaux devraient faire pour lutter contre le spam est:
NE RÉPONDEZ PAS AU SPAM.
Si cela vous semble drôle, ne cliquez pas sur le lien du site Web et n'ouvrez pas la pièce jointe. Peu importe à quel point l'offre semble attrayante. Ce viagra n'est pas si bon marché, vous n'allez pas vraiment obtenir de photos nues de personne, et il n'y a pas 15 millions de dollars au Nigeria ou ailleurs, sauf pour l'argent pris par des gens qui did répondre au spam.
Si vous voyez un message spam, marquez-le comme indésirable ou spam selon votre client de messagerie.
NE PAS marquer un message comme indésirable/spam si vous vous êtes réellement inscrit pour recevoir les messages et que vous souhaitez simplement arrêter de les recevoir. Au lieu de cela, désabonnez-vous de la liste de diffusion en utilisant la méthode de désabonnement fournie.
Vérifiez régulièrement votre dossier Courrier indésirable/Spam pour voir si des messages légitimes ont été transmis. Marquez-les comme non indésirables/non spam et ajoutez l'expéditeur à vos contacts pour éviter que leurs messages ne soient marqués comme spam à l'avenir.
J'ai géré plus de 100 environnements de messagerie distincts au fil des ans et j'ai utilisé de nombreux processus pour réduire ou aider à éliminer le spam.
La technologie a évolué au fil du temps, donc cette réponse passera en revue certaines des choses que j'ai essayées dans le passé et détaillera la situation actuelle.
Quelques réflexions sur la protection ...
En ce qui concerne le spam entrant ...
Mon approche actuelle:
Je suis un ardent défenseur des solutions de spam basées sur les appliances. Je veux rejeter au périmètre du réseau et enregistrer les cycles CPU au niveau du serveur de messagerie. L'utilisation d'une appliance offre également une certaine indépendance par rapport à la solution réelle de serveur de messagerie (agent de distribution de courrier).
Je recommande appareils Barracuda Spam Filter pour un certain nombre de raisons. J'ai déployé plusieurs dizaines d'unités, et l'interface Web, le partage de l'esprit de l'industrie et la nature des appareils de configuration et d'oublie en font un gagnant. La technologie dorsale intègre de nombreuses techniques répertoriées ci-dessus.
Console d'état Barracuda Spam & Virus Firewall 300
Nouvelle approche:
J'ai expérimenté avec Barracuda's Cloud-based Email Security Service au cours du mois dernier. Ceci est similaire à d'autres solutions hébergées, mais est bien adapté aux petits sites, où une appliance coûteuse est prohibitive. Pour un coût annuel nominal, ce service fournit environ 85% de ce que fait l'appliance matérielle. Le service peut également être exécuté en tandem avec une appliance sur site pour réduire la bande passante entrante et fournir une autre couche de sécurité. C'est aussi un joli tampon qui peut spouler le courrier en cas de panne de serveur. Les analyses sont toujours utiles, bien qu'elles ne soient pas aussi détaillées que celles d'une unité physique.
Console Barracuda Cloud Email Security
Dans l'ensemble, j'ai essayé de nombreuses solutions, mais étant donné l'ampleur de certains environnements et les demandes croissantes de la base d'utilisateurs, je veux la ou les solutions les plus élégantes disponibles. Il est certainement possible d'adopter l'approche à plusieurs volets et de "faire rouler la vôtre", mais j'ai bien fait avec une sécurité de base et une bonne surveillance de l'utilisation de l'appareil Barracuda. Les utilisateurs sont très satisfaits du résultat.
Remarque: Cisco Ironport est également très bien ... Juste plus coûteux.
En partie, j'approuve ce que les autres ont dit; en partie, je ne le fais pas.
Cela fonctionne très bien pour moi, mais vous devez passer du temps à former le filtre bayésien avec du jambon et du spam.
ewwhite peut sentir que son jour est passé, mais je ne suis pas d'accord. Un de mes clients m'a demandé l'efficacité de mes différents filtres, voici donc les statistiques approximatives de juillet 2012 pour mon serveur de messagerie personnel:
Donc, environ 44 000 n'ont jamais réussi à passer par la liste grise; si je n'avais pas eu de liste grise et si j'avais accepté tout cela, ils auraient tous eu besoin d'un filtrage anti-spam, utilisant tous le CPU et la mémoire, et en fait la bande passante.
Edit: puisque cette réponse semble avoir été utile à certaines personnes, j'ai pensé mettre les statistiques à jour. J'ai donc relancé l'analyse sur les journaux de messagerie à partir de janvier 2015, 2,5 ans plus tard.
Les chiffres ne sont pas directement comparables, car je ne sais plus comment je suis arrivé aux chiffres de 2012, donc je ne peux pas être sûr que les méthodologies étaient identiques. Mais je suis convaincu que je n'ai pas eu à exécuter un filtrage des spams coûteux en calcul sur un tas de contenu à l'époque, et je ne le fais toujours pas, en raison de la liste grise.
Ce n'est pas vraiment une technique anti-spam, mais elle peut réduire la quantité de rétrodiffusion à laquelle vous devez faire face, si vous êtes joe-jobbed. Vous devez l'utiliser à la fois à l'intérieur et à l'extérieur, c'est-à-dire: vous devez vérifier l'enregistrement SPF de l'expéditeur pour les e-mails entrants et accepter/rejeter en conséquence. Vous devez également publier vos propres enregistrements SPF, répertoriant entièrement toutes les machines autorisées à envoyer des messages comme vous, et verrouillez toutes les autres avec -all
. Les enregistrements SPF qui ne se terminent pas par -all
Sont complètement inutiles.
Les RBL sont problématiques, car on peut y accéder sans faute de sa part, et il peut être difficile d'en descendre. Néanmoins, ils ont une utilisation légitime dans la lutte contre le spam, mais je suggérerais fortement qu'aucun RBL ne devrait jamais être utilisé comme un test clair pour l'acceptation du courrier. La façon dont spamassassin gère les RBL - en utilisant plusieurs, chacun contribuant à un score total, et c'est ce score qui prend la décision d'accepter/rejeter - est bien meilleure.
Je ne parle pas du service commercial, je veux dire que mon serveur de messagerie a une adresse qui coupe toutes mes listes grises et filtrage du spam, mais qui au lieu de livrer à la boîte de réception de n'importe qui, elle va dans un dossier accessible en écriture dans /var
, Qui est automatiquement élagué tous les soirs des e-mails de plus de 14 jours.
J'encourage tous les utilisateurs à en profiter, par exemple en remplissant des formulaires d'e-mail qui nécessitent une adresse e-mail validable, où vous allez recevoir un e-mail que vous devez conserver, mais dont vous ne souhaitez plus jamais entendre ou lors de l'achat de fournisseurs en ligne qui vendront et/ou spammeront probablement leur adresse (en particulier ceux hors de portée des lois européennes sur la confidentialité). Au lieu de donner sa véritable adresse, un utilisateur peut donner l'adresse de la boîte de dépôt et regarder dans la boîte de dépôt uniquement lorsqu'il attend quelque chose d'un correspondant (généralement une machine). Quand il arrive, elle peut le retirer et le sauvegarder dans sa propre collection de courrier. Aucun utilisateur n'a besoin de regarder dans la boîte de dépôt à tout autre moment.
J'utilise un certain nombre de techniques qui réduisent le spam à des niveaux acceptables.
Retard d'acceptation des connexions de serveurs mal configurés. La majorité du spam que je reçois provient de spambots fonctionnant sur un système infecté par un malware. Presque tous ces éléments ne passent pas la validation rDNS. Un délai d'environ 30 secondes avant chaque réponse oblige la plupart des Spambots à abandonner avant d'avoir transmis leur message. Appliquer cela uniquement aux serveurs qui échouent rDNS évite de pénaliser les serveurs correctement configurés. Certains expéditeurs en masse ou automatisés légitimes mal configurés sont pénalisés, mais livrent avec un délai minimal.
La configuration de SPF pour tous vos domaines protège vos domaines. La plupart des sous-domaines ne doivent pas être utilisés pour envoyer des e-mails. La principale exception concerne les domaines MX qui doivent pouvoir envoyer des courriers par eux-mêmes. Un certain nombre d'expéditeurs légitimes délèguent le courrier en vrac et automatisé à des serveurs qui ne sont pas autorisés par leur politique. Le report plutôt que le rejet basé sur SPF leur permet de corriger leur configuration SPF, ou vous de les mettre sur liste blanche.
Exiger un nom de domaine complet (FQDN) dans la commande HELO/EHLO. Le spam utilise souvent un nom d'hôte non qualifié, des littéraux d'adresse, des adresses IP ou un TLD (domaine de premier niveau) non valide. Malheureusement, certains expéditeurs légitimes utilisent des TLD invalides, il peut donc être plus approprié de différer dans ce cas. Cela peut nécessiter une surveillance et une liste blanche pour activer le courrier.
DKIM aide à la non-répudiation, mais n'est pas autrement très utile. D'après mon expérience, il est peu probable que le spam soit signé. Le jambon est plus susceptible d'être signé, il a donc une certaine valeur dans la notation du spam. Un certain nombre d'expéditeurs légitimes ne publient pas leurs clés publiques ou ne configurent pas leur système de manière incorrecte.
La liste grise est utile pour les serveurs qui présentent des signes de mauvaise configuration. Les serveurs correctement configurés finiront par passer, donc j'ai tendance à les exclure de la liste grise. Il est utile pour les freemailers greylist car ils ont tendance à être utilisés occasionnellement pour le spam. Le délai donne à certaines entrées du filtre anti-spam le temps d'attraper le spammeur. Il a également tendance à dévier les spambots car ils ne réessayent généralement pas.
Les listes noires et les listes blanches peuvent également vous aider.
Le logiciel de filtrage anti-spam est assez bon pour trouver du spam, bien que certains y parviendront. Il peut être difficile d'obtenir le faux négatif à un niveau raisonnable sans trop augmenter le faux positif. Je trouve que Spamassassin capture la plupart des Spam qui y parviennent. J'ai ajouté quelques règles personnalisées, qui correspondent à mes besoins.
Les maîtres de poste doivent configurer les adresses d'abus et de maître de poste requises. Reconnaissez les commentaires que vous obtenez à ces adresses et agissez en conséquence. Cela permet à d'autres de vous aider à vous assurer que votre serveur est correctement configuré et qu'il n'est pas à l'origine du spam.
Si vous êtes développeur, utilisez les services de messagerie existants plutôt que de configurer votre propre serveur. D'après mon expérience, la configuration des serveurs pour les expéditeurs de courrier automatisés est susceptible d'être mal configurée. Consultez les RFC et envoyez des e-mails correctement formatés à partir d'une adresse légitime dans votre domaine.
Les utilisateurs finaux peuvent faire un certain nombre de choses pour réduire le spam:
Les propriétaires de domaine/FAI peuvent vous aider en limitant l'accès Internet sur le port 25 (SMTP) aux serveurs de messagerie officiels. Cela limitera la capacité des Spambots à envoyer sur Internet. Cela aide également lorsque les adresses dynamiques renvoient des noms qui ne passent pas la validation rDNS. Encore mieux est de vérifier que l'enregistrement PTR des serveurs de messagerie réussit la valorisation rDNS. (Vérifiez les erreurs typographiques lors de la configuration des enregistrements PTR pour vos clients.)
J'ai commencé à classer les e-mails en trois catégories:
La seule solution la plus efficace que j'ai vue consiste à utiliser l'un des services de filtrage de courrier externe.
J'ai de l'expérience avec les services suivants chez des clients actuels. Je suis sûr qu'il y en a d'autres. Chacun d'eux a fait un excellent travail dans mon expérience. Le coût est raisonnable pour les trois.
Les services présentent plusieurs avantages considérables par rapport aux solutions locales.
Ils arrêtent la plupart (> 99%) du spam AVANT qu'il ne frappe votre connexion Internet et votre serveur de messagerie. Compte tenu du volume de spam, il s'agit de beaucoup de données qui ne se trouvent pas sur votre bande passante et pas sur votre serveur. J'ai implémenté un de ces services une douzaine de fois et chacun a entraîné une amélioration notable des performances du serveur de messagerie.
Ils effectuent également un filtrage antivirus, généralement dans les deux sens. Cela atténue le besoin d'avoir une solution "mail anti-virus" sur votre serveur, et garde également le virii complètement
Ils font également un excellent travail pour bloquer le spam. En 2 ans de travail dans une entreprise utilisant MXLogic, je n'ai jamais eu de faux positif, et je peux compter les spams légitimes qui sont passés d'une part.
Il n'y a pas deux environnements de messagerie identiques. La création d'une solution efficace nécessitera donc beaucoup d'essais et d'erreurs autour des nombreuses techniques disponibles, car le contenu des e-mails, du trafic, des logiciels, des réseaux, des expéditeurs, des destinataires et bien d'autres encore variera énormément d'un environnement à l'autre.
Cependant, je trouve que les listes de blocage (RBL) suivantes sont bien adaptées au filtrage général:
Comme déjà indiqué, SpamAssassin est une excellente solution lorsqu'il est configuré correctement, assurez-vous simplement d'installer autant de modules complémentaires Perl dans CPAN que possible, ainsi que Razor, Pyzor et DCC. Postfix fonctionne très bien avec SpamAssassin et il est beaucoup plus facile à gérer et à configurer qu'EXIM par exemple.
Enfin, bloquer les clients au niveau IP à l'aide de fail2ban et iptables ou similaire pendant de courtes périodes (disons un jour à une semaine) après certains événements tels que le déclenchement d'un hit sur un RBL pour comportement abusif peut également être très efficace. Pourquoi gaspiller des ressources à parler à un hôte infecté par un virus connu?