Re: Bloquer un TLD sous Postfix
Vincent Lefevre a écrit :
> On 2018-04-05 22:01:34 +0200, daniel huhardeaux wrote:
>> Le 05/04/2018 à 20:39, Daniel Caillibaud a écrit :
>>> [....]
>>>
>>> Sinon, pour le blindage de ton smtp, vaut mieux se fier au domaine de
>>> l'ip qui t'appelle, avec comme base
>>> - obliger le smtp qui t'appelle à avoir une ip avec un reverse
>>> - que le reverse soit dans les dns et qu'il pointe bien vers cette ip (même
>>> si le reverse n'est pas le même que le domaine du helo)
>>> - que le domaine annoncé dans le helo pointe bien vers l'ip qu'il utilise
>>> [...]
>>
>> Je plussoie en y rajoutant
>>
>> - postgrey
>
> C'est ennuyeux, sauf s'il y a la possibilité de n'activer le
> greylistage que pour les mails douteux, i.e. après d'autres
> vérifications.
>
>> - DKIM (opendkim)
>
> Certains le déconseillent. Je crois, à cause des mailing-lists qui
> peuvent casser la signature. Du coup, ça ne sert plus à grand chose,
> car certains spams ont des signatures DKIM valides.
>
Bonjour,
Je n'utilise pas postfix, mais ce que je fais doit pouvoir être
transposé à postfix sans trop de difficultés.
1/ serveur mail sous Sendmail + Procmail
2/ greylist avec SPF :
- blackliste d'autorité les mails avec usurpation de domaine ;
- score avec les RBL + spamassassin ;
- geoip (pour virer d'autorité certains pays lors de phases de spam
prolongées)
3/ spamassasin
4/ clamav
Par dessus, j'ai un "greeting delay" configuré dans sendmail et je
refuse un mail en provenance de serveur sans reverse DNS.
Je suis à peu près tranquille avec ça. Quelques merdouilles arrivent
encore à passer, mais elles sont rares (moins d'une dizaine par jour qui
arrivent taguées SPAM par spamassassin, donc immédiatement gérées par
procmail qui les balance en indésirable).
Aucun de mes contacts ne s'est jamais plaint de ne pas réussir à
m'envoyer un mail.
Bien cordialement,
JKB
Reply to: