Table des matières
Spamhaus
Comprendre l'utilisation fine des lestes noires de ce projet nécessite quelques mots d’explication. L'essentiel de la documentation se trouve sur le site officiel du projet. En voici un extrait:
Les différentes listes proposées
Ces listes sont mises à jour journellement.
- Spamhaus Block List (SBL) est une liste d'adresses IP sources de SMAP. La liste est mise à jour journellement. Cette liste est mise à jour toutes les 5 minutes.
- Spamhaus Exploits Block List (XBL) est une liste d'adresses IP d'hôtes compromis par des exploits tiers.
- Policy Blocklist (PBL) lste les adresses IP qui ne devraient pas être attribuées à des MX. Typiquement, les adresses IP que les fournisseurs de services internet attribuent à leurs clients: “Any IP space that should not be sending email directly to the Internet should be listed in PBL.”.
- Domain Blocklist (DBL) liste les domaines de mauvaise réputation. Contrairement aux autres listes, celle-ci ne contient aucune adresse IP, seulement des noms de domaines.
- Zero Reputation Domain (ZRD) contient une liste de domaines récemment découverts par les recherches de spamhaus. Pratiquement, des domaines créés il y a moins de 24 heures.
- Combined Spam Sources (CSS) est dédiée au trafic SMTP et répertorie uniquement les détections basées sur le port 25. Les déclencheurs potentiels d'une détection incluent les e-mails non sollicités, une mauvaise hygiène des listes de diffusion marketing ou l'envoi d'e-mails malveillants en raison de comptes ou de systèmes de gestion de contenu (CMS) compromis. Les adresses IPv4 (/32) et IPv6 (/64) sont répertoriées dans le CSS1).
- Don't Route Or Peer Lists (DROP) répertorie le trafic IP le plus dangereux. Il s'agit d'un avertissement « abandonner tout le trafic », contenant des plages d'adresses IP si dangereuses pour les internautes que Spamhaus en offre l'accès gratuit à quiconque souhaite ajouter cette couche de protection2).
Dans la pratique, les listes SBL, CSS, XBL, DROP et PBL sont combinées dans la liste zen.
Les codes de retour
La réponse à une interrogation d'une liste noire spamhaus est une valeur numérique mise sous la forme d'une IPv4. En voici les conventions générales:
| Code de retour | Description |
|---|---|
| 127.0.0.0/24 | Liste d'adresses IP bloquées (liste «zen» |
| 127.0.1.0/24 | Liste de domaines bloqués |
| 127.0.2.0/24 | Listes des domaines qui n'ont encore aucune réputation (domaines créés dans les 24 dernières heures) |
| 127.255.255.0/24 | Erreurs |
Détail des domaines bloqués dans DBL
| Codes de retour | Raison |
|---|---|
| 127.0.1.2 | Domaine connu pour une activité de «spam» |
| 127.0.1.4 | Domaine connu pour une activité de «phishing» |
| 127.0.1.5 | Domaine connu pour une distribution de «malwares» |
| 127.0.1.6 | «Botnet Command & Control»3) |
| 127.0.1.102 | Domaine légitime, mais compromis pour l'envoi de ≤spams» |
| 127.0.1.104 | Domaine légitime, mais compromis pour l'envoi de «phishing» |
| 127.0.1.105 | Domaine légitime, mais compromis pour l'envoi de «malwares» |
| 127.0.1.106 | Domaine légitime, mais compromis dans un «botnet» |
| 127.0.1.255 | On a cherché à interroger cette liste à propos d'une adresse IP |
Détail des adresses IP bloquées dans zen
Zen étant une combinaison de plusieurs listes, le code retourné indique la liste d'origine d'une adresse bloquée.
| Code | Liste |
|---|---|
| 127.0.0.2 | SBL |
| 127.0.0.3 | CSS |
| 127.0.0.9 | DROP |
| 127.0.0.4 | XBL |
| 127.0.0.10 | PBL (maintenue par les ISP) |
| 127.0.0.11 | PBL (maintenue par Spamhaus) |
| 127.0.0.30 | BCL |
La proposition officielle
Spamhaus propose une configuration type pour Postfix en ajoutant des restrictions sur l'en-tête RCEPT TO: We recommend putting these lines at the top of the smtpd_recipient_restrictions section.
smtpd_recipient_restrictions =
...
reject_rbl_client zen.spamhaus.org=127.0.0.[2..11],
reject_rhsbl_sender dbl.spamhaus.org=127.0.1.[2..99],
reject_rhsbl_helo dbl.spamhaus.org=127.0.1.[2..99],
reject_rhsbl_reverse_client dbl.spamhaus.org=127.0.1.[2..99],
warn_if_reject reject_rbl_client zen.spamhaus.org=127.255.255.[1..255]
...
Les «smtpd_recipient_restrictions» sont des restrictions d'accès que le serveur SMTP de Postfix applique dans le contexte d'une commande RCPT TO4). Il faudra reprendre ces recommandations dans le contexte général des restrictions d'accès.
- reject_rbl_client rejette un e-mail lorsque l’adresse IP du client est blacklistée.
- reject_rhsbl_sender rejette un e-mail lorsque le domaine MAIL FROM est blacklisté.
- reject_rhsbl_helo rejette le mail lorsque le MX émetteur ne respecte pas le protocole de présentation EHLO ou ELHO.
- reject_rhsbl_reverse_client rejette le mail lorsque une recherche RDNS sur l'IP ne correspond pas au nom de domaine annoncé
- warn_if_reject reject_rbl_client Cette ligne sert à éviter le blocage en cas de renvoi d'un code d'erreur, mais ajoute un «warning» dans les logs