CULTe : Home | Association | Reunions | Projets | Listes de diffusion | Recherche | Best of Linux-31 | Trombinoscope

(Courriels de diversion: <dynamiseront@flegmatiques-ilote.com> <sonnait@demissionnera-empoisonne.com> <navrerai@agenouillement-volez.com> <croustades@exprimait-fuyant.com> <decoloree@suppurerent-deterrerai.com> <presqu'île@duodenaux-eblouissantes.com> <encroutez@renoncee-dissipation.com> <depossederaient@admissible-scolarisation.com> <eclaboussures@suspecterent-rapatriement.com> <destitue@clame-sonnerie.com> ) 

Il existe deux outils au moins qui se rapprochent d'une solution

1. anvil
Intégré à Postfix il maintient une table statistique des ip qui demandent une connexion et permet par exemple de refuser les connexions pendant une heure à une ip qui aurait 
effectué plus de 100 demandes d'utilisateurs inexistants.

2. postgrey
Le plus classique : lorsqu'une ip demande pour la première fois un envoi a utilisateur@exemple.frle serveur réponds "utilisateur inexistant, rééssayer plus tard". Un bot de spam ne rééssaie en général pas (dans le cas décrit n'est pas précisé si c'est une unique machine ou de multiples machines qui 
tentent de moissonner le serveur postfix en testant des adresses aléatoires)
Un serveur normal réessaiera au moins 3 fois au cours de la journée, essais au cours desquels postfix 
prends la main et réceptionne le mail proprement.
Le problème décrit - de multiples essais d'envoi vers des user inexistants - ressemble a du "harvesting" standard de spammeur : la machine de spam teste des adresses aléatoires jusqu'a déterminer quelles adresses sont reconnues - root, admin, michel, etc - puis sauvegarde la liste pour la relayer vers 
d'autres bots de spam.

Anvil semble la meilleure approche :
cf. http://www.postfix.org/anvil.8.html
[...]

can  be  used  to defend against clients that
       hammer a server with either  too  many  simultaneous  ses-
       sions,  or with too many successive requests within a con-
       figurable time interval

[...]

Hope it helps,
 S.

Le 29/07/2010 00:52, Cédric a écrit :

2010/7/28 jdd<jdanield@free.fr>:
Le 28/07/2010 19:37, bernard.schoenacker@free.fr a écrit :
pourquoi ne pas passer par procmail&  co ?

c'est à dire?

http://www.linux-france.org/article/appli/procmail.html

"Procmail est un outil permettant principalement de filtrer des
messages électroniques (il ne faut pas oublier formail, livré avec
procmail, qui est un adjoint appréciable à ce dernier). Il est très
puissant et ses capacités de filtrage lui permettent de délivrer des
courriers dans différentes boîtes aux lettres, de les renvoyer, voire
d'effectuer n'importe quelle action en fonction du filtre désigné."

Pas sur que ça t'aide, car si je comprends bien, tu aimerais stopper
les "mauvaises connexions" avant que ça n'arrive à postfix... pas
évident... pour ma part, je ne connais aucune solution, à part des
règles de pare-feu qui interdit les cnx d'IP de spammeurs, mais c'est
un peu mission impossible... Tu as bien des systèmes de blacklists qui
font en sorte de rejeter les mails provenant d'ip/domaines blacklistés
(qui envoient en théorie du spam)... mais toujours pas efficace...

De toute façon, tu es obligé de traiter tous les mails envoyés à
@dodin.org, ensuite le système fonctionne comme il le doit, il rejette
les users qui n'existent pas... je ne vois pas ce que tu pourrais
faire d'autre...

a+



-----------------------------------------------------------------
Les listes de diffusion du CULTe - Pour une informatique libre
http://www.CULTe.org/listes/
Pour se desabonner:
mailto:linux-31-unsubscribe@CULTe.org?subject=Cliquez_sur_ENVOYER

Cette page fait partie des archives des listes de diffusion de l'association CULTe.

A l'intention des mechants robots qui parcourent notre site a la recherche d'adresses electroniques a cibler avec des pourriels, voici une liste d'adresses pourries.