On 06/27/2011 12:01 PM, Jérôme Nicolle wrote:
Question dérivée, quel est le risque d'avoir un MX en v6 sans le support de cette base de réputation, sachant que le trafic mail en v6 est à l'heure actuelle quasi nul ? Tu crois que les malfaiseurs de mail s'engouffreraient dans la brèche ?
Les malfaisants sont généralement technophiles & réactifs. S'ils voient qu'ils peuvent s'engouffrer en IPv6 et/ou foutre en l'air une base de réputation, je doute qu'ils s'abstiennent.
Quelle part de SPAM ton système de réputation élimine t il ?
L'objet de notre base de réputation n'est pas de bloquer les spams mais de protéger la plateforme d'hébergement mail. L'écart sémantique est faible mais explique un certain nombre de choix.
De 20 à 80% des connexions sont rejetés (20% quand c'est calme, 80% quand on se fait massivement attaquer) à la connexion. Sur le reste, une part non négligeable correspond à des connexions bidon (typiquement, des attaques dictionnaires, de la vérification de liste d'adresses et/ou du sender-verify) mais je n'ai pas de chiffrage précis.
Et c'est précisement lors de ces "attaques" (on s'est retrouvé à multiples reprises à plus de 20K connexions/s, les pointes de 5 à 6K connexions/s sont quasi-quotidiennes) que se trouve l'intérêt de la base : les IPs sont bloquées à tour de bras et les MXes continuent à répondre normalement aux autres serveurs.
(d'ailleurs, par réputation, on entends bien "confiance quasi aveugle en une autorité qui blackliste arbitrairement et dé-blackliste sous forme de racket" ?)
Si le fait de demander à ce que le trafic mail sortant d'un serveur soit raisonnablement propre constitue un racket, alors oui, c'en est.
Non, comme le disait Aurélien, nous gérons notre propre base de réputation : le volume de mail est suffisant et nous permet de bloquer en fonction du trafic mail réellement reçu. C'est rarement pris en compte mais rares sont les blacklistes qui tiennent compte du trafic mail "global" (les RBLs dépendent généralement des plaintes qui leur sont remontées et n'ont pas de visibilité sur le volume de mails).
En outre, les blacklistes sont émises sur des durées inférieures à 24 heures (quelques minutes au début et, au pire, le blocage se fait jusqu'à la nuit (creux du traffic mail)) mais sont reconduites tant que le problème perdure. La seule exception est lorsque le blocage est manuel (nous avons un administrateur système irascible) auquel cas il faut nous contacter pour résoudre le problème.
François --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
