Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa
Archives de la liste
- From: Laurent Spagnol <adresse@cachée>
- To: Guillaume S <adresse@cachée>, adresse@cachée, Luc Didry <adresse@cachée>
- Subject: Re: [sympa-fr] Question sur le spam
- Date: Wed, 2 Feb 2022 09:42:42 +0100
Bonjour,
Le 01/02/2022 à 21:29, Guillaume S a écrit :
Bonjour
La solution newsletter me semble très intéressante contre des spammers qui auraient usurpé l'adresse d'un modérateur.
Je pose quand même une question, pourquoi ne pas utiliser des signatures DKIM? Au bout du bout il me semble qu'on garantit avec l'identité de l'émetteur.
Pourquoi ne pas signer DKIM ? Excellente question !
Sur le papier, c'est pas très difficile à mettre en place.
Ca se complique avec les serveurs de liste (le nôtre n'est pas réservé aux seuls utilisateurs de notre domaine). A quel endroit signer ? A la soumission, à la sortie du domaine, par le MTA, par l'anti-spam, le serveur de liste ?
On externalise certains services dans des boites privées. En général, ils sont nuls comme des planches en messagerie et ça tourne vite au dialogue de sourds. C'est déjà compliqué avec SPF, alors DKIM dans ces conditions: autant s'acheter un fouet et une cagoule en latex !
Ca fait des années que je martèle que le "forward inter-domaines" est le "mal absolu" qu'il faut absolument bannir ... Faire de la vérif protocolaire avec le forward (ou les "fausses" listes de diffusion basées sur des tables d'aliases de MTA) est un casse tête. Dans ces conditions, on colle des des rustines partout pour satisfaire les VIP et le bousin finit par devenir une passoire.
Le protocole SMTP est un vieux truc à l'épreuve des bombes.
Mais la montée en puissance des campagnes de SPAM/Phishing/Malwares nous a obligé à y ajouter des tas de mécanismes censés lutter contre l'usurpation d'adresses (SPF, DKIM, DMARC, ...).
Ces mécanismes seraient efficaces s'il étaient adoptés ET implémentés correctement par tout le monde, or c'est très loin d'être le cas.
L'expérience m'a appris une chose: quand on ne maîtrise pas à fond un de ces mécanismes ou qu'on ne contrôle pas tous les serveurs de son domaine, le mieux est de s'en passer. Une erreur de conf aura des conséquences plus ou moins fâcheuses, le pire étant qu'on ne s'en rend pas compte immédiatement.
Je pourrai donner l'exemple d'un organisme prestigieux qui a une déclaration SPF sur son SLD mais dont certaines de ses composantes satellites mettent en place leur propres MTA de sortie sans être répertoriés. Ca pourrit la vie des admins qui se battent avec les VIP (ils ne comprennent pas pourquoi des mails légitimes sont rejetés ou passent en indésirables) !
L'autre argument est que si DKIM (tous les mécanismes de sécu protocolaires en fait) permet effectivement d'authentifier un mail, il ne peut rien contre les comptes piratés ou ceux créés spécialement pour diffuser de la merde. Les cochonneries envoyés via Gmail, par exemple, passent justement tous les contrôles (merci à OLEtools/Rspamd qui permet de bloquer 100% des macros malicieuses inconnues des bases de signatures virales).
Mon avis personnel est que SPF est déjà très efficace.
Je contrôle tous les serveurs de mon domaine donc j'ai une déclaration SPF. Avec "~all" à la fin car je sais que tout le monde ne respecte pas les bonnes pratiques de soumission. Bien évidemment, mes MX font la vérification SPF.
SPF ne servira plus à grand chose quand les spammeurs auront tous compris la différence entre les adresses d'enveloppe et d'entête. DKIM, sera un plus dans ce contexte car forcer l'alignement des 2 a des conséquences fâcheuses sur les listes de diffusion.
Il ne faut pas perdre de vue qu'on est pas "seul au monde" et bien comprendre les interactions de SPF/DKIM/DMARC sur des mails qui peuvent transiter par plusieurs domaines.
Mais dans l'immédiat, entre l'ajout d'une couche que je ne maîtrise pas (je l'avoue), le fait que ce n'est pas généralisé, pas toujours correctement implémenté chez ceux qui le font, les services externalisés, la faible valeur ajoutée par rapport à SPF et les effets de bord que ça peut avoir ... je préfère m'abstenir !
Sinon pour notre part, dans un autre domaine, on a fait un script js qui rend illisible dans le source de la page les liens mais par un clique on a un mailto propre. Il faut que le robot interprète le script pour interpréter l'adresse. Ce sera certainement un jour possible mais ça demande un investissement et peut-etre même de l'IA.
<TROLL>L'IA, c'est le mal absolu aussi</TROLL>
Je doute que les spammers vont faire cet effort.
Pas si sûr ;)
Ils mettent les moyens quand ils ciblent quelque-chose de précis (et c'est de plus en plus fréquent).
Cdlt,
LS
Merci pour votre échange.
Cordialement
Guillaume
Le 1 février 2022 15:12:33 GMT+01:00, Laurent Spagnol <adresse@cachée> a écrit :
Bonjour,
Nos listes sont configurées de la façon suivante (je précise qu'on ne
signe pas DKIM):
- type "newsletter" -> (les "grosses listes"), le post est limité aux
modérateurs ("modéré même pour les modérateurs" -> le message est rejeté
si l'expéditeur n'est pas un modérateur, le robot envoie une demande
confirmation si même si l'expéditeur est un modérateur = on ne peut pas
spammer avec une adresse usurpée
- type "groupe de travail" -> seuls les abonnés peuvent poster = il faut
disposer de la liste des abonnés pour pouvoir poster sur la liste
- type "adresse générique" -> tout le monde peut poster
On a donc réduit le nombre de type de listes aux 3 cas le plus courants.
Il y a des réglages sépcifiques à chaque type de liste. Ensuite, on
ajuste les réglages au cas par cas selon les besoins (mais c'est assez
rare).
Le truc, c'est donc:
- de valider l'adresse de l'expéditeur par une demande de confirmation
(dans le cas "newsletter")
- d'éviter la fuite des adresses d'abonnés dans le cas "groupe de
travail")
Dans tous les cas, une liste d'abonnés ne doit JAMAIS être publique, et
est à minima accessible seulement aux abonnés. Sauf pour le type
"newsletter" ou l'info n'est accessible qu'aux modérateurs.
Cdlt,
LS
Le 01/02/2022 à 14:51, Luc Didry a écrit :
Bonjour à toutes et à tous, et particulièrement à celles et ceux qui
ont beaucoup de listes.
J’ai une petite question concernant le spam des listes ou des
propriétaires de listes. À Framasoft, nous utilisons la
protection qui
transforme le `@` des adresses mails en `AT`, mais dans le cas
du lien
mailto « Contacter le propriétaire », ça flingue le lien : mon Kmail
ne prend pas du tout l’adresse, un autre logiciel dit que l’adresse
est invalide, etc.
Bref, on se pose la question de passer au mode de protection
javascript, mais vu que les outils ont bien évolués depuis la
création
de Sympa, il est très certainement très facile de créer un
script qui
va interpréter le js pour récupérer les adresses.
Bref :
- quel mode de protection utilisez-vous ? (paramètre
`spam_protection`, on peut choisir `at`, `javascript` ou `none`)
- est-ce que vous avez des soucis de spam massif sur vos listes
ou les
adresses de propriétaires de listes ?
Merci pour vos réponses 🙂
-- Laurent Spagnol
Administrateur GNU/Linux
Responsable du pôle système
Service réseau et télécom
Direction du Numérique
Université de Reims
Campus du Moulin de la Housse
Bâtiment 3
BP 1039 - 51687 Reims cedex 2
Plan d'accès: https://www.openstreetmap.org/#map=19/49.24423/4.06244
<https://www.openstreetmap.org/#map=19/49.24423/4.06244>
Tel: +33 3 26 91 88 32
Fax: +33 3 26 91 31 87
https://numerique.univ-reims.fr <https://numerique.univ-reims.fr>
--
Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
--
Laurent Spagnol
Administrateur GNU/Linux
Responsable du pôle système
Service réseau et télécom
Direction du Numérique
Université de Reims
Campus du Moulin de la Housse
Bâtiment 3
BP 1039 - 51687 Reims cedex 2
Plan d'accès: https://www.openstreetmap.org/#map=19/49.24423/4.06244
Tel: +33 3 26 91 88 32
Fax: +33 3 26 91 31 87
https://numerique.univ-reims.fr
-
[sympa-fr] Question sur le spam,
Luc Didry, 01/02/2022
-
Re: [sympa-fr] Question sur le spam,
Laurent Spagnol, 01/02/2022
-
Re: [sympa-fr] Question sur le spam,
Guillaume S, 01/02/2022
- Re: [sympa-fr] Question sur le spam, Luc Didry, 02/02/2022
- Re: [sympa-fr] Question sur le spam, Laurent Spagnol, 02/02/2022
-
Re: [sympa-fr] Question sur le spam,
Luc Didry, 02/02/2022
-
Re: [sympa-fr] Question sur le spam,
Laurent Spagnol, 02/02/2022
- Re: [sympa-fr] Question sur le spam, Luc Didry, 02/02/2022
-
Re: [sympa-fr] Question sur le spam,
Laurent Spagnol, 02/02/2022
-
Re: [sympa-fr] Question sur le spam,
Guillaume S, 01/02/2022
-
Re: [sympa-fr] Question sur le spam,
Laurent Spagnol, 01/02/2022
Archives gérées par MHonArc 2.6.19+.