le Grey Listing au COM

mercredi 5 janvier 2005
par  libes
popularité : 21%

le SIC à mis en place un nouveau systeme de lutte anti spam (pour ceux qui n’auraient pas suivi, le SPAM ce sont les messages commerciaux non sollicités viagra, rolex, penis etc... qui envahissent nos boites de mails)

- ce systeme appelé GreyListing Liste Grise a l’avantage de faire chuter le taux de SPAM de plus de 90%
- il a le désavantage d’induire un délai de plusieurs dizaines de minutes dans la réception du mail (uniquement pour des sites exterieurs aux notres)

le logiciel utilisé

Avec notre serveur de messagerie sous postfix, le système de greylisting est géré par postgrey Fonctionnement sans probleme après plusieurs semaines d’installation, avec les valeurs par défaut :

  • 5 minutes de durée de refus pour un meme triplet qui se présente
  • 30 jours de rétention des triplets qui se sont deja présentés dans la base locale —delay=N greylist for N seconds (default : 300) —max-age=N delete entries older than N days since

Principe du GreyListing

Le principe de base est décrit ici :
- le principe du greylisting

En quelques mots, le GreyListing repose sur le principe suivant :
- la majorité des spammeurs font du Fire and Forget, ce qui signifie qu’ils envoient des milliers de mails à la chaine vers de nombreux serveurs de mail, à partir de PC ayant un serveur de messagerie temporaire et non officiel. Ils ne respectent pas le standard SMTP qui indique qu’en cas d’échec de transmission, le serveur émetteur DOIT réemettre son mail.

L’étude faite par E. Harris montre que ces spammeurs ne réemmettent quasiment jamais leur mails à destination de leur correspondants.

Partant de ce principe, le GreyListing consiste a ce que notre serveur de mails REFUSE TOUS les mails que nous recevons, en premiere approximation, et attende une réémission de la part du serveur emetteur, avant de l’accepter définitivement.

En effet, en cas de refus du serveur de mail destinataire, la norme de messagerie SMTP prévoie que l’emetteur RE-EMETTE son mail

Deux cas se présentent alors :

  • soit le serveur emetteur est un "bon" serveur officiel et sérieux, respectueurs des RFC sur SMTP et il re-emet son mail...
    • Dans ce cas là, lors du 2ème envoi, notre serveur de messagerie l’accepte et vous recevez le mail normalement. Entre la premiere et la 2eme tentative, il s’est écoulé un délai de 5 à 30mn en moyenen environ (avec un écart type important..on constate de temps en temps des délais assez longs)

 [1]

  • soit l’émetteur ne re-emet pas son mail ! et c’est donc probablement un spammeur ! le 1er mail non réémis est alors perdu abandonné !!

Ce filtrage a été testé avec succes dans un grand nombre d’université. Il n’est pas sans conséquence

- ** d’une part le taux de SPAM reçu chute de 90% ... il ne passe, si vous avez suivi, que les SPAM de SPAMMEURS "professionnels" qui RE-EMETTENT leur mails

** d’autre part : le refus du mail induit un Time Lag dans la réception du mail puisque notre serveur refuse, le mail est stocké sur le serveur de mail d’origine entre 5 et 30minute maximum avant qu’il ne soit re-émis vers chez nous et accepté.

Lors de la réception d’un mail qui a été greylisté vous verrez apparaitre dans les entetes du mail la notion suivante X-Greylist : delayed 2015 seconds by postgrey-1.17 at com1 ; Wed, 05 Jan 2005 00:33:21 CET

indiquant que ce mail a été retenu (GreyListé) 33minutes sur le serveur d’origine avant qu"’il n’ait été re-émis et accepté

Doit-on grey-lister tous les sites ?

Si besoin un systeme de liste blanche permet d’accepter les mails provenant de sites connus, sans les soumettre au systeme de de rétention par la liste grise... On met donc en liste blanche les sites "amis" (univ-mrs.fr, cnrs.fr etc...

si vous constatez trop de retard de la part de certains sites avec lesquels vous communiquez regulierement, je pourrai les mettre en liste blanche.

exemple : de tracage dans notre serveur de mail

Jan 5 11:11:55 com1 postfix/smtpd[31849] : NOQUEUE : reject : RCPT from zaqdb737cc1.zaq.ne.jp[219.115.124.193] : 450  : Recipient address rejected : Greylisted for 300 seconds (see http://isg.ee.ethz.ch/tools/postgre...) ;

on voit ici que le mail refusé que beker aurait du recevoir, provient de BarbaraAxelrod@andrivon.com et m’a tout l’air d’etre une adresse de spammeur. Ce mail risque de ne pas etre re-émis, et donc ne sera jamais reçu.

 [2]


[1] ==> exemple des délais dans ma mailbox traitement du fichier /var/mail/libes sur com1

X-Greylist : delayed 1274 seconds by postgrey-1.17 at com1 ; Wed, 05 Jan 2005 00:16:53 CET ligne 1 : time= 1274 X-Greylist : delayed 1217 seconds by postgrey-1.17 at com1 ; Wed, 05 Jan 2005 17:42:22 CET ligne 2 : time= 1217 X-Greylist : delayed 1544 seconds by postgrey-1.17 at com1 ; Thu, 06 Jan 2005 13:13:01 CET ligne 3 : time= 1544 X-Greylist : delayed 1022 seconds by postgrey-1.17 at com1 ; Mon, 10 Jan 2005 18:18:12 CET ligne 4 : time= 1022 X-Greylist : delayed 1700 seconds by postgrey-1.17 at com1 ; Mon, 17 Jan 2005 16:30:38 CET ligne 5 : time= 1700

temps total de retention = 6757 pour 5 messages moyenne de retention = 1351.4 secondes = 22minutes

[2] A noter qu’il ya un systeme de liste blanche qui permet d’accepter les mails provenant de sites connus, sans passer donc par le systeme de liste grise... si vous constatez trop de retard de la part de certains sites avec lesquels vous communiquez regulierement, je pourrai les mettre en liste blanche.