Le Thu, 28 Jul 2005 09:12:49 +0000, Samuel a écrit:

> Tout ça permet quand même de faire du ménage pendant la transaction
> smtp. Après rien ne vaut un anti-spam qui travaille sur le corps du
> message. Je suis en train de mettre en place Exim4 avec SA-Exim qui permet
> couper net l'échange DATA en fonction du score de SA ... l'avantage
> étant que le serveur d'en face reste avec sa 'merde' sur les bras.

Aie!
J'avais discuté de cette possibilité il y a un ou deux ans sur des
forums anglophone -en particulier je voulais faire un filtrage sur les
headers -jusqu'au premier double saut de ligne à partir du DATA- et j'en
avais conclus que ce n'est pas une bonne idée :

a) ça viole les RFCs

b) Si c'est un vrai MTA en face, l'arrêt n'étant pas prévu dans les
RFCs il va probablement réémettre un nombre de fois conséquent "sa
merde" et l'économie de BP (voir point 3) et de temps machine va vite se
transformer en dépense

c) le fonctionnement même de TCP/IP fait que de toute façon il y a de
forte chance que tu reçoive tout les paquets même si tu ne traite qu'une
partie du premier. Donc de toute façon pour la BP c'est rappé (les virus
et autres spams se chiffrent rarement en MB).

> Actuellement je me dirige aussi avec Exim4 vers une fonction intéressante
> : le callout ... durant le début de la transaction smtp le serveur
> vérifie 'en live' l'existence de l'adresse mail présentée par le
> client. Je crois que certains gros serveur n'aiment pas cette
> fonctionalité (aol etc ... mais à vérifier).

Et c'est la merde si en face tu as du filtrage pour une raison ou une
autre (greylisting par exmple, car toi tu vas renvoyé un code 5xx parce
que tu as reçu du 4xx)

> Voilà en gros ce que je suis en train de mettre en place. Le seul filtre
> où j'ai un gros doute c'est l'obligation d'avoir un reverse DNS ... mais
> si je ne mets pas ça en place ... je ne peux plus filtrer sur le reverse
> donc pour moi c'est un moindre mal.

> De plus ne pas oublier de désactiver *tous* les filtres pour 'postmaster'
> et 'abuse'.

Yep. Sauf pour les quelques domaines que j'ai mis *manuellement* [1] avec
amour dans mon access

Eric.

PS : la on est franchement HS, donc XPost et Fu2

[1] ie ce n'est pas une erreur, je ne veux plus les entendre.

Bonjour,

Merci pour tes infos qui m'éclairent sur mes erreurs.

Eric Razny a écrit :
> Le Thu, 28 Jul 2005 09:12:49 +0000, Samuel a écrit :
>>Tout ça permet quand même de faire du ménage pendant la transaction
>>smtp. Après rien ne vaut un anti-spam qui travaille sur le corps du
>>message. Je suis en train de mettre en place Exim4 avec SA-Exim qui permet
>>couper net l'échange DATA en fonction du score de SA ... l'avantage
>>étant que le serveur d'en face reste avec sa 'merde' sur les bras.
>
> Aie!
> J'avais discuté de cette possibilité il y a un ou deux ans sur des
> forums anglophone -en particulier je voulais faire un filtrage sur les
> headers -jusqu'au premier double saut de ligne à partir du DATA- et j'en
> avais conclus que ce n'est pas une bonne idée :
> a) ça viole les RFCs

Je l'avais remarqué en effet.

> b) Si c'est un vrai MTA en face, l'arrêt n'étant pas prévu dans les
> RFCs il va probablement réémettre un nombre de fois conséquent "sa
> merde" et l'économie de BP (voir point 3) et de temps machine va vite se
> transformer en dépense

Vu tout seul comme cela en effet, cependant on peut aussi coupler cette
fonctionalité avec une mise en blacklist journalière qui permet de se
débarasser pour une journée du serveur ou de l'adresse mail de
l'expéditeur (d'ailleurs je pense qu'il faudrait mettre 7 jours pour
avoir plus de chance qu'il n'y ait pas d'autres tentatives de renvoi).
C'était juste un début de piste ... je ne sais pas si c'est valable ...
c'est vrai que de mettre ça en place pour les serveurs comcast par
exemple, c'est tentant.

> c) le fonctionnement même de TCP/IP fait que de toute façon il y a de
> forte chance que tu reçoive tout les paquets même si tu ne traite qu'une
> partie du premier. Donc de toute façon pour la BP c'est rappé (les virus
> et autres spams se chiffrent rarement en MB).

Il existe aussi l'option 'teegrube' (pas sûr du mot) qui permet de
garder un flux entrant au débit souhaité ... je pense que la pile IP
devrait s'y adapter.

>>Actuellement je me dirige aussi avec Exim4 vers une fonction intéressante
>>: le callout ... durant le début de la transaction smtp le serveur
>>vérifie 'en live' l'existence de l'adresse mail présentée par le
>>client. Je crois que certains gros serveur n'aiment pas cette
>>fonctionalité (aol etc ... mais à vérifier).
>
> Et c'est la merde si en face tu as du filtrage pour une raison ou une
> autre (greylisting par exmple, car toi tu vas renvoyé un code 5xx parce
> que tu as reçu du 4xx)

*sauf erreur de ma part* je crois qu'exim peut être configuré pour
renvoyer un 5xx *ou* un 4xx en fonction qu'il reçoit lui-même un 4xx
*ou* un 5xx avec l'option 'callout'
Mais il est vrai que tu m'éclaires sur un problème auquel je n'avais pas
pensé.

> PS : la on est franchement HS, donc XPost et Fu2

il me semblait bien aussi, je n'osais pas prendre l'initiative ;-)

Merci encore pour tes conseils.
Samuel.