Spamhaus

Comprendre l'utilisation fine des lestes noires de ce projet nécessite quelques mots d’explication. L'essentiel de la documentation se trouve sur le site officiel du projet. En voici un extrait:

Ces listes sont mises à jour journellement.

• Spamhaus Block List (SBL) est une liste d'adresses IP sources de SMAP. La liste est mise à jour journellement. Cette liste est mise à jour toutes les 5 minutes.
• Spamhaus Exploits Block List (XBL) est une liste d'adresses IP d'hôtes compromis par des exploits tiers.
• Policy Blocklist (PBL) lste les adresses IP qui ne devraient pas être attribuées à des MX. Typiquement, les adresses IP que les fournisseurs de services internet attribuent à leurs clients: “Any IP space that should not be sending email directly to the Internet should be listed in PBL.”.
• Domain Blocklist (DBL) liste les domaines de mauvaise réputation. Contrairement aux autres listes, celle-ci ne contient aucune adresse IP, seulement des noms de domaines.
• Zero Reputation Domain (ZRD) contient une liste de domaines récemment découverts par les recherches de spamhaus. Pratiquement, des domaines créés il y a moins de 24 heures.
• Combined Spam Sources (CSS) est dédiée au trafic SMTP et répertorie uniquement les détections basées sur le port 25. Les déclencheurs potentiels d'une détection incluent les e-mails non sollicités, une mauvaise hygiène des listes de diffusion marketing ou l'envoi d'e-mails malveillants en raison de comptes ou de systèmes de gestion de contenu (CMS) compromis. Les adresses IPv4 (/32) et IPv6 (/64) sont répertoriées dans le CSS¹⁾.
• Don't Route Or Peer Lists (DROP) répertorie le trafic IP le plus dangereux. Il s'agit d'un avertissement « abandonner tout le trafic », contenant des plages d'adresses IP si dangereuses pour les internautes que Spamhaus en offre l'accès gratuit à quiconque souhaite ajouter cette couche de protection²⁾.

Dans la pratique, les listes SBL, CSS, XBL, DROP et PBL sont combinées dans la liste zen.

La réponse à une interrogation d'une liste noire spamhaus est une valeur numérique mise sous la forme d'une IPv4. En voici les conventions générales:

Zen étant une combinaison de plusieurs listes, le code retourné indique la liste d'origine d'une adresse bloquée.

Spamhaus propose une configuration type pour Postfix en ajoutant des restrictions sur l'en-tête RCEPT TO: We recommend putting these lines at the top of the smtpd_recipient_restrictions section.

smtpd_recipient_restrictions =
    ...
    reject_rbl_client zen.spamhaus.org=127.0.0.[2..11],
    reject_rhsbl_sender dbl.spamhaus.org=127.0.1.[2..99],
    reject_rhsbl_helo dbl.spamhaus.org=127.0.1.[2..99],
    reject_rhsbl_reverse_client dbl.spamhaus.org=127.0.1.[2..99],
    warn_if_reject reject_rbl_client zen.spamhaus.org=127.255.255.[1..255]
    ...

Les «smtpd_recipient_restrictions» sont des restrictions d'accès que le serveur SMTP de Postfix applique dans le contexte d'une commande RCPT TO⁴⁾. Il faudra reprendre ces recommandations dans le contexte général des restrictions d'accès.

• reject_rbl_client rejette un e-mail lorsque l’adresse IP du client est blacklistée.
• reject_rhsbl_sender rejette un e-mail lorsque le domaine MAIL FROM est blacklisté.
• reject_rhsbl_helo rejette le mail lorsque le MX émetteur ne respecte pas le protocole de présentation EHLO ou ELHO.
• reject_rhsbl_reverse_client rejette le mail lorsque une recherche RDNS sur l'IP ne correspond pas au nom de domaine annoncé
• warn_if_reject reject_rbl_client Cette ligne sert à éviter le blocage en cas de renvoi d'un code d'erreur, mais ajoute un «warning» dans les logs