Re: [sympa-fr] Question sur le spam

[Laurent Spagnol <adresse@cachée>]

Bonjour,

Le 01/02/2022 à 21:29, Guillaume S a écrit :
> Bonjour
> La solution newsletter me semble très intéressante contre des spammers 
> qui auraient usurpé l'adresse d'un modérateur.
> Je pose quand même une question, pourquoi ne pas utiliser des signatures 
> DKIM? Au bout du bout il me semble qu'on garantit avec l'identité de 
> l'émetteur.

Pourquoi ne pas signer DKIM ? Excellente question !

Sur le papier, c'est pas très difficile à mettre en place.

Ca se complique avec les serveurs de liste (le nôtre n'est pas réservé 
aux seuls utilisateurs de notre domaine). A quel endroit signer ? A la 
soumission, à la sortie du domaine, par le MTA, par l'anti-spam, le 
serveur de liste ?

On externalise certains services dans des boites privées. En général, 
ils sont nuls comme des planches en messagerie et ça tourne vite au 
dialogue de sourds. C'est déjà compliqué avec SPF, alors DKIM dans ces 
conditions: autant s'acheter un fouet et une cagoule en latex !

Ca fait des années que je martèle que le "forward inter-domaines" est le 
"mal absolu" qu'il faut absolument bannir ... Faire de la vérif 
protocolaire avec le forward (ou les "fausses" listes de diffusion 
basées sur des tables d'aliases de MTA) est un casse tête. Dans ces 
conditions, on colle des des rustines partout pour satisfaire les VIP et 
le bousin finit par devenir une passoire.

Le protocole SMTP est un vieux truc à l'épreuve des bombes.
Mais la montée en puissance des campagnes de SPAM/Phishing/Malwares nous 
a obligé à y ajouter des tas de mécanismes censés lutter contre 
l'usurpation d'adresses (SPF, DKIM, DMARC, ...).

Ces mécanismes seraient efficaces s'il étaient adoptés ET implémentés 
correctement par tout le monde, or c'est très loin d'être le cas.

L'expérience m'a appris une chose: quand on ne maîtrise pas à fond un de 
ces mécanismes ou qu'on ne contrôle pas tous les serveurs de son 
domaine, le mieux est de s'en passer. Une erreur de conf aura des 
conséquences plus ou moins fâcheuses, le pire étant qu'on ne s'en rend 
pas compte immédiatement.

Je pourrai donner l'exemple d'un organisme prestigieux qui a une 
déclaration SPF sur son SLD mais dont certaines de ses composantes 
satellites mettent en place leur propres MTA de sortie sans être 
répertoriés. Ca pourrit la vie des admins qui se battent avec les VIP 
(ils ne comprennent pas pourquoi des mails légitimes sont rejetés ou 
passent en indésirables) !

L'autre argument est que si DKIM (tous les mécanismes de sécu 
protocolaires en fait) permet effectivement d'authentifier un mail, il 
ne peut rien contre les comptes piratés ou ceux créés spécialement pour 
diffuser de la merde. Les cochonneries envoyés via Gmail, par exemple, 
passent justement tous les contrôles (merci à OLEtools/Rspamd qui permet 
de bloquer 100% des macros malicieuses inconnues des bases de signatures 
virales).

Mon avis personnel est que SPF est déjà très efficace.
Je contrôle tous les serveurs de mon domaine donc j'ai une déclaration 
SPF. Avec "~all" à la fin car je sais que tout le monde ne respecte pas 
les bonnes pratiques de soumission. Bien évidemment, mes MX font la 
vérification SPF.

SPF ne servira plus à grand chose quand les spammeurs auront tous 
compris la différence entre les adresses d'enveloppe et d'entête. DKIM, 
sera un plus dans ce contexte car forcer l'alignement des 2 a des 
conséquences fâcheuses sur les listes de diffusion.

Il ne faut pas perdre de vue qu'on est pas "seul au monde" et bien 
comprendre les interactions de SPF/DKIM/DMARC sur des mails qui peuvent 
transiter par plusieurs domaines.

Mais dans l'immédiat, entre l'ajout d'une couche que je ne maîtrise pas 
(je l'avoue), le fait que ce n'est pas généralisé, pas toujours 
correctement implémenté chez ceux qui le font, les services 
externalisés, la faible valeur ajoutée par rapport à SPF et les effets 
de bord que ça peut avoir ... je préfère m'abstenir !

> Sinon pour notre part, dans un autre domaine, on a fait un script js qui 
> rend illisible dans le source de la page les liens mais par un clique on 
> a un mailto propre. Il faut que le robot interprète le script pour 
> interpréter l'adresse. Ce sera certainement un jour possible mais ça 
> demande un investissement et peut-etre même de l'IA.

<TROLL>L'IA, c'est le mal absolu aussi</TROLL>

> Je doute que les 
> spammers vont faire cet effort.

Pas si sûr ;)

Ils mettent les moyens quand ils ciblent quelque-chose de précis (et 
c'est de plus en plus fréquent).

Cdlt,

LS

> Merci pour votre échange.
> Cordialement
> Guillaume
>
> Le 1 février 2022 15:12:33 GMT+01:00, Laurent Spagnol 
> <adresse@cachée> a écrit :
>
>     Bonjour,
>
>     Nos listes sont configurées de la façon suivante (je précise qu'on ne
>     signe pas DKIM):
>
>     - type "newsletter" -> (les "grosses listes"), le post est limité aux
>     modérateurs ("modéré même pour les modérateurs" -> le message est rejeté
>     si l'expéditeur n'est pas un modérateur, le robot envoie une demande
>     confirmation si même si l'expéditeur est un modérateur = on ne peut pas
>     spammer avec une adresse usurpée
>
>     - type "groupe de travail" -> seuls les abonnés peuvent poster = il faut
>     disposer de la liste des abonnés pour pouvoir poster sur la liste
>
>     - type "adresse générique" -> tout le monde peut poster
>
>     On a donc réduit le nombre de type de listes aux 3 cas le plus courants.
>     Il y a des réglages sépcifiques à chaque type de liste. Ensuite, on
>     ajuste les réglages au cas par cas selon les besoins (mais c'est assez
>     rare).
>
>     Le truc, c'est donc:
>     - de valider l'adresse de l'expéditeur par une demande de confirmation
>     (dans le cas "newsletter")
>     - d'éviter la fuite des adresses d'abonnés dans le cas "groupe de 
> travail")
>
>     Dans tous les cas, une liste d'abonnés ne doit JAMAIS être publique, et
>        est à minima accessible seulement aux abonnés. Sauf pour le type
>     "newsletter" ou l'info n'est accessible qu'aux modérateurs.
>
>     Cdlt,
>
>     LS
>
>
>     Le 01/02/2022 à 14:51, Luc Didry a écrit :
>
>         Bonjour à toutes et à tous, et particulièrement à celles et ceux qui
>         ont beaucoup de listes.
>
>         J’ai une petite question concernant le spam des listes ou des
>         propriétaires de listes. À Framasoft, nous utilisons la
>         protection qui
>         transforme le `@` des adresses mails en `AT`, mais dans le cas
>         du lien
>         mailto « Contacter le propriétaire », ça flingue le lien : mon Kmail
>         ne prend pas du tout l’adresse, un autre logiciel dit que l’adresse
>         est invalide, etc.
>
>         Bref, on se pose la question de passer au mode de protection
>         javascript, mais vu que les outils ont bien évolués depuis la
>         création
>         de Sympa, il est très certainement très facile de créer un
>         script qui
>         va interpréter le js pour récupérer les adresses.
>
>         Bref :
>         - quel mode de protection utilisez-vous ? (paramètre
>         `spam_protection`, on peut choisir `at`, `javascript` ou `none`)
>         - est-ce que vous avez des soucis de spam massif sur vos listes
>         ou les
>         adresses de propriétaires de listes ?
>
>         Merci pour vos réponses 🙂
>
>
>     -- 
>     Laurent Spagnol
>     Administrateur GNU/Linux
>
>     Responsable du pôle système
>     Service réseau et télécom
>     Direction du Numérique
>
>     Université de Reims
>     Campus du Moulin de la Housse
>     Bâtiment 3
>     BP 1039 - 51687 Reims cedex 2
>
>     Plan d'accès: https://www.openstreetmap.org/#map=19/49.24423/4.06244
>     <https://www.openstreetmap.org/#map=19/49.24423/4.06244>
>
>     Tel: +33 3 26 91 88 32
>     Fax: +33 3 26 91 31 87
>
>     https://numerique.univ-reims.fr <https://numerique.univ-reims.fr>
>
> --
> Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser 
> ma brièveté.

--
Laurent Spagnol
Administrateur GNU/Linux

Responsable du pôle système
Service réseau et télécom
Direction du Numérique

Université de Reims
Campus du Moulin de la Housse
Bâtiment 3
BP 1039 - 51687 Reims cedex 2

Plan d'accès: https://www.openstreetmap.org/#map=19/49.24423/4.06244

Tel: +33 3 26 91 88 32
Fax: +33 3 26 91 31 87

https://numerique.univ-reims.fr