Re: [sympa-fr] Question sur le spam

[Guillaume S <adresse@cachée>]

Bonjour 
La solution newsletter me semble très intéressante contre des spammers qui auraient usurpé l'adresse d'un modérateur. 
Je pose quand même une question,  pourquoi ne pas utiliser des signatures DKIM? Au bout du bout il me semble qu'on garantit avec l'identité de l'émetteur.

Sinon pour notre part, dans un autre domaine, on a fait un script js qui rend illisible dans le source de la page les liens mais par un clique on a un mailto propre. Il faut que le robot interprète le script pour interpréter l'adresse. Ce sera certainement un jour possible mais ça demande un investissement et peut-etre même de l'IA. Je doute que les spammers vont faire cet effort.

Merci pour votre échange.
Cordialement 
Guillaume

Le 1 février 2022 15:12:33 GMT+01:00, Laurent Spagnol <adresse@cachée> a écrit :

Bonjour,

Nos listes sont configurées de la façon suivante (je précise qu'on ne 
signe pas DKIM):

- type "newsletter" -> (les "grosses listes"), le post est limité aux 
modérateurs ("modéré même pour les modérateurs" -> le message est rejeté 
si l'expéditeur n'est pas un modérateur, le robot envoie une demande 
confirmation si même si l'expéditeur est un modérateur = on ne peut pas 
spammer avec une adresse usurpée

- type "groupe de travail" -> seuls les abonnés peuvent poster = il faut 
disposer de la liste des abonnés pour pouvoir poster sur la liste

- type "adresse générique" -> tout le monde peut poster

On a donc réduit le nombre de type de listes aux 3 cas le plus courants. 
Il y a des réglages sépcifiques à chaque type de liste. Ensuite, on 
ajuste les réglages au cas par cas selon les besoins (mais c'est assez 
rare).

Le truc, c'est donc:
- de valider l'adresse de l'expéditeur par une demande de confirmation 
(dans le cas "newsletter")
- d'éviter la fuite des adresses d'abonnés dans le cas "groupe de travail")

Dans tous les cas, une liste d'abonnés ne doit JAMAIS être publique, et 
  est à minima accessible seulement aux abonnés. Sauf pour le type 
"newsletter" ou l'info n'est accessible qu'aux modérateurs.

Cdlt,

LS


Le 01/02/2022 à 14:51, Luc Didry a écrit :

Bonjour à toutes et à tous, et particulièrement à celles et ceux qui
ont beaucoup de listes.

J’ai une petite question concernant le spam des listes ou des
propriétaires de listes. À Framasoft, nous utilisons la protection qui
transforme le `@` des adresses mails en `AT`, mais dans le cas du lien
mailto « Contacter le propriétaire », ça flingue le lien : mon Kmail
ne prend pas du tout l’adresse, un autre logiciel dit que l’adresse
est invalide, etc.

Bref, on se pose la question de passer au mode de protection
_javascript_, mais vu que les outils ont bien évolués depuis la création
de Sympa, il est très certainement très facile de créer un script qui
va interpréter le js pour récupérer les adresses.

Bref :
- quel mode de protection utilisez-vous ? (paramètre
`spam_protection`, on peut choisir `at`, `_javascript_` ou `none`)
- est-ce que vous avez des soucis de spam massif sur vos listes ou les
adresses de propriétaires de listes ?

Merci pour vos réponses 🙂

--
Laurent Spagnol
Administrateur GNU/Linux

Responsable du pôle système
Service réseau et télécom
Direction du Numérique

Université de Reims
Campus du Moulin de la Housse
Bâtiment 3
BP 1039 - 51687 Reims cedex 2

Plan d'accès: https://www.openstreetmap.org/#map=19/49.24423/4.06244

Tel: +33 3 26 91 88 32
Fax: +33 3 26 91 31 87

https://numerique.univ-reims.fr

--
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.