PHWinfo - Afficher un message - Re: Reverse DNS et relais messagerie pb cornelien

28/07/2005, 15h59

Le Thu, 28 Jul 2005 09:12:49 +0000, Samuel a écrit:

> Tout ça permet quand même de faire du ménage pendant la transaction
> smtp. Après rien ne vaut un anti-spam qui travaille sur le corps du
> message. Je suis en train de mettre en place Exim4 avec SA-Exim qui permet
> couper net l'échange DATA en fonction du score de SA ... l'avantage
> étant que le serveur d'en face reste avec sa 'merde' sur les bras.

Aie!
J'avais discuté de cette possibilité il y a un ou deux ans sur des
forums anglophone -en particulier je voulais faire un filtrage sur les
headers -jusqu'au premier double saut de ligne à partir du DATA- et j'en
avais conclus que ce n'est pas une bonne idée :

a) ça viole les RFCs

b) Si c'est un vrai MTA en face, l'arrêt n'étant pas prévu dans les
RFCs il va probablement réémettre un nombre de fois conséquent "sa
merde" et l'économie de BP (voir point 3) et de temps machine va vite se
transformer en dépense

c) le fonctionnement même de TCP/IP fait que de toute façon il y a de
forte chance que tu reçoive tout les paquets même si tu ne traite qu'une
partie du premier. Donc de toute façon pour la BP c'est rappé (les virus
et autres spams se chiffrent rarement en MB).

> Actuellement je me dirige aussi avec Exim4 vers une fonction intéressante
> : le callout ... durant le début de la transaction smtp le serveur
> vérifie 'en live' l'existence de l'adresse mail présentée par le
> client. Je crois que certains gros serveur n'aiment pas cette
> fonctionalité (aol etc ... mais à vérifier).

Et c'est la merde si en face tu as du filtrage pour une raison ou une
autre (greylisting par exmple, car toi tu vas renvoyé un code 5xx parce
que tu as reçu du 4xx)

> Voilà en gros ce que je suis en train de mettre en place. Le seul filtre
> où j'ai un gros doute c'est l'obligation d'avoir un reverse DNS ... mais
> si je ne mets pas ça en place ... je ne peux plus filtrer sur le reverse
> donc pour moi c'est un moindre mal.

> De plus ne pas oublier de désactiver *tous* les filtres pour 'postmaster'
> et 'abuse'.

Yep. Sauf pour les quelques domaines que j'ai mis *manuellement* [1] avec
amour dans mon access

Eric.

PS : la on est franchement HS, donc XPost et Fu2

[1] ie ce n'est pas une erreur, je ne veux plus les entendre.

28/07/2005, 15h59	#1
Eric Razny Messages: n/a Hébergeur:	Re: Reverse DNS et relais messagerie pb cornelien Le Thu, 28 Jul 2005 09:12:49 +0000, Samuel a écrit: > Tout ça permet quand même de faire du ménage pendant la transaction > smtp. Après rien ne vaut un anti-spam qui travaille sur le corps du > message. Je suis en train de mettre en place Exim4 avec SA-Exim qui permet > couper net l'échange DATA en fonction du score de SA ... l'avantage > étant que le serveur d'en face reste avec sa 'merde' sur les bras. Aie! J'avais discuté de cette possibilité il y a un ou deux ans sur des forums anglophone -en particulier je voulais faire un filtrage sur les headers -jusqu'au premier double saut de ligne à partir du DATA- et j'en avais conclus que ce n'est pas une bonne idée : a) ça viole les RFCs b) Si c'est un vrai MTA en face, l'arrêt n'étant pas prévu dans les RFCs il va probablement réémettre un nombre de fois conséquent "sa merde" et l'économie de BP (voir point 3) et de temps machine va vite se transformer en dépense c) le fonctionnement même de TCP/IP fait que de toute façon il y a de forte chance que tu reçoive tout les paquets même si tu ne traite qu'une partie du premier. Donc de toute façon pour la BP c'est rappé (les virus et autres spams se chiffrent rarement en MB). > Actuellement je me dirige aussi avec Exim4 vers une fonction intéressante > : le callout ... durant le début de la transaction smtp le serveur > vérifie 'en live' l'existence de l'adresse mail présentée par le > client. Je crois que certains gros serveur n'aiment pas cette > fonctionalité (aol etc ... mais à vérifier). Et c'est la merde si en face tu as du filtrage pour une raison ou une autre (greylisting par exmple, car toi tu vas renvoyé un code 5xx parce que tu as reçu du 4xx) > Voilà en gros ce que je suis en train de mettre en place. Le seul filtre > où j'ai un gros doute c'est l'obligation d'avoir un reverse DNS ... mais > si je ne mets pas ça en place ... je ne peux plus filtrer sur le reverse > donc pour moi c'est un moindre mal. > De plus ne pas oublier de désactiver tous les filtres pour 'postmaster' > et 'abuse'. Yep. Sauf pour les quelques domaines que j'ai mis manuellement [1] avec amour dans mon access Eric. PS : la on est franchement HS, donc XPost et Fu2 [1] ie ce n'est pas une erreur, je ne veux plus les entendre.