Outils pour utilisateurs

Outils du site


Spamhaus

Comprendre l'utilisation fine des lestes noires de ce projet nécessite quelques mots d’explication. L'essentiel de la documentation se trouve sur le site officiel du projet. En voici un extrait:

Les différentes listes proposées

Ces listes sont mises à jour journellement.

Ne pas utiliser de DNS public/ouverts, ces listes risquent de renvoyer un code d'erreur. Voir la documentation officielle à ce sujet.
  • Spamhaus Block List (SBL) est une liste d'adresses IP sources de SMAP. La liste est mise à jour journellement. Cette liste est mise à jour toutes les 5 minutes.
  • Spamhaus Exploits Block List (XBL) est une liste d'adresses IP d'hôtes compromis par des exploits tiers.
  • Policy Blocklist (PBL) lste les adresses IP qui ne devraient pas être attribuées à des MX. Typiquement, les adresses IP que les fournisseurs de services internet attribuent à leurs clients: “Any IP space that should not be sending email directly to the Internet should be listed in PBL.”.
  • Domain Blocklist (DBL) liste les domaines de mauvaise réputation. Contrairement aux autres listes, celle-ci ne contient aucune adresse IP, seulement des noms de domaines.
  • Zero Reputation Domain (ZRD) contient une liste de domaines récemment découverts par les recherches de spamhaus. Pratiquement, des domaines créés il y a moins de 24 heures.
  • Combined Spam Sources (CSS) est dédiée au trafic SMTP et répertorie uniquement les détections basées sur le port 25. Les déclencheurs potentiels d'une détection incluent les e-mails non sollicités, une mauvaise hygiène des listes de diffusion marketing ou l'envoi d'e-mails malveillants en raison de comptes ou de systèmes de gestion de contenu (CMS) compromis. Les adresses IPv4 (/32) et IPv6 (/64) sont répertoriées dans le CSS1).
  • Don't Route Or Peer Lists (DROP) répertorie le trafic IP le plus dangereux. Il s'agit d'un avertissement « abandonner tout le trafic », contenant des plages d'adresses IP si dangereuses pour les internautes que Spamhaus en offre l'accès gratuit à quiconque souhaite ajouter cette couche de protection2).

Dans la pratique, les listes SBL, CSS, XBL, DROP et PBL sont combinées dans la liste zen.

Les codes de retour

La réponse à une interrogation d'une liste noire spamhaus est une valeur numérique mise sous la forme d'une IPv4. En voici les conventions générales:

Code de retourDescription
127.0.0.0/24Liste d'adresses IP bloquées (liste «zen»
127.0.1.0/24Liste de domaines bloqués
127.0.2.0/24Listes des domaines qui n'ont encore aucune réputation (domaines créés dans les 24 dernières heures)
127.255.255.0/24Erreurs

Détail des domaines bloqués dans DBL

Codes de retourRaison
127.0.1.2Domaine connu pour une activité de «spam»
127.0.1.4Domaine connu pour une activité de «phishing»
127.0.1.5Domaine connu pour une distribution de «malwares»
127.0.1.6«Botnet Command & Control»3)
127.0.1.102Domaine légitime, mais compromis pour l'envoi de ≤spams»
127.0.1.104Domaine légitime, mais compromis pour l'envoi de «phishing»
127.0.1.105Domaine légitime, mais compromis pour l'envoi de «malwares»
127.0.1.106Domaine légitime, mais compromis dans un «botnet»
127.0.1.255On a cherché à interroger cette liste à propos d'une adresse IP

Détail des adresses IP bloquées dans zen

Zen étant une combinaison de plusieurs listes, le code retourné indique la liste d'origine d'une adresse bloquée.

CodeListe
127.0.0.2SBL
127.0.0.3CSS
127.0.0.9DROP
127.0.0.4XBL
127.0.0.10PBL (maintenue par les ISP)
127.0.0.11PBL (maintenue par Spamhaus)
127.0.0.30BCL

La proposition officielle

Spamhaus propose une configuration type pour Postfix en ajoutant des restrictions sur l'en-tête RCEPT TO: We recommend putting these lines at the top of the smtpd_recipient_restrictions section.

smtpd_recipient_restrictions =
    ...
    reject_rbl_client zen.spamhaus.org=127.0.0.[2..11],
    reject_rhsbl_sender dbl.spamhaus.org=127.0.1.[2..99],
    reject_rhsbl_helo dbl.spamhaus.org=127.0.1.[2..99],
    reject_rhsbl_reverse_client dbl.spamhaus.org=127.0.1.[2..99],
    warn_if_reject reject_rbl_client zen.spamhaus.org=127.255.255.[1..255]
    ...

Les «smtpd_recipient_restrictions» sont des restrictions d'accès que le serveur SMTP de Postfix applique dans le contexte d'une commande RCPT TO4). Il faudra reprendre ces recommandations dans le contexte général des restrictions d'accès.

  • reject_rbl_client rejette un e-mail lorsque l’adresse IP du client est blacklistée.
  • reject_rhsbl_sender rejette un e-mail lorsque le domaine MAIL FROM est blacklisté.
  • reject_rhsbl_helo rejette le mail lorsque le MX émetteur ne respecte pas le protocole de présentation EHLO ou ELHO.
  • reject_rhsbl_reverse_client rejette le mail lorsque une recherche RDNS sur l'IP ne correspond pas au nom de domaine annoncé
  • warn_if_reject reject_rbl_client Cette ligne sert à éviter le blocage en cas de renvoi d'un code d'erreur, mais ajoute un «warning» dans les logs
Spamhaus: Dernière modification le: 30/05/2025 à 09:14 par prof