[sympa-fr] Re: anti-spoofing mail & bonnes pratiques

[adresse@cachée]

DUVAL Olivier wrote:

Bonjour,

 

            Peut-être hors de propos : pour parer au spoofing (usurpation) d’email, comment procédez-vous au niveau de SYMPA ou du MTA ?

            Pour les newsletters, j’ai mis l’auto-modération par les propriétaires des newsletters, mais en ce qui concerne les listes de diffusion, quelles techniques (simples ?) avez-vous appliquées au niveau de SYMPA (scénarios, … ?), ou au niveau du MTA ?

Bonjour

C'est une question d'importance. Plusieurs précautions sont à mettre en place. Parce que les principaux usurpateur d'email sont les spammeurs, la première est d'avoir un bon moteur anti-spam dans le MTA qui alimente le serveur de listes. Il est d'usage que ces moteurs antispam rejettent un certains nombre de spam et tague avec une entête spécifique  indiquant un score qui caractérise la probabilité que le message soit un spam pour les autres messages.

Les utilisateurs peuvent filtrer les messages selon le score. Sympa peut faire de même et en utilisant une règle systématique pour tout les scénario send on peut soit faire un reject, reject,quiet ou un request_auth selon le score. Ci dessous je donne un exemple qui se base sur le scoring fait par j-chkmail que nous utilisons. On pourra adapter à spamassasin ou a tout autre serveur de filtrage facilement  :

match([header->X-j-chkmail-Score],/j\-chkmail score \: xxxx/) smtp -> request_auth
match([header->X-Spam-Flag],/YES/)   smtp -> request_auth
equal([is_bcc],'1')     smtp -> request_auth

Ces règles figurent dans le fichier include.send.header placé dans el répertoire ~sympa/etc/scenari , elles sont donc incluses automatiquement au début de tout scénario send. (Le test is_bcc est aussi une assez bonne pour l'anti-spam)

Cette configuration présente un inconvéniant : le serveur sympa ainsi configuré fait des réponses automatique à des messages dont le From est usurpé. En conséquence, nous cuorrons le risque d'être blacklisté par certains service style spamhaus. Nous prenons ce risque en connnaissance de cause.

Une autre méthode pour lutter spécifiquement contre le spoofing (et non contre le spam) serait d'utiliser le même méchanisme pour tester la validité SPF et DKIM. cette fois, le test pourrait être fait à l'envers : "si le status DKIM est OK, ne pas demander d'authentification request_auth". Pour le moment, la méthode consiste à installer un milter dans le MTS qui valide les signatures dkim et ajoute une entête spécifique pour ces messages, puis à insérer dans les scénario des règles pour exempter du chamlenge email les messages dont la signature dkim est valide.

Les mêmes stratégies peuvent être appliquées aux autres services de Sympa en particulier l'abonnement.

Serge Aumont