Journal Email jetable pour combattre le spam

Posté par  .
Étiquettes : aucune
-11
7
mai
2010
Le principe des adresses e-mails temporaires est de plus en plus à la mode : une adresse générée aléatoirement (ou pas), et valide quelques heures seulement. Ca m'a donné envie d'essayer... En fait ce n'est rien de très complexe à faire : Un serveur sous Linux, du PHP, du bash, une base MySQL pour stocker les adresses mails jetables et les vraies adresses où rediriger les mails, et bien sûr l'indispensable Postfix.

Eeeeeh voilààààà, Nessscafééé caappuuucciii... euh non... un système d'email jetable qui tourne !

Pour la petite pub, l'adresse est http://www.mail-temporaire.fr

Peut-être qu'un jour je me déciderai à publier les sources...

  • # Oui mais...

    Posté par  (site web personnel) . Évalué à 10.

    La question est de savoir comment faire confiance à ce genre de services ?

    Parce que le gestionnaire du site peut être mal intentionné et intercepter des courriels qui malgré tout peuvent contenir de l'information personnelle.

    De plus, c'est un moyen sympa de récupérer un tas d'adresses courriels valides.

    • [^] # Re: Oui mais...

      Posté par  . Évalué à 2.

      Ce n'est pas faux, j'ai aussi tendance à ne pas vraiment faire confiance. M'enfin dans le cas présent à la base c'était juste pour le fun, le côté technique me paraissait amusant. Les adresses collectées ne quittent pas le serveur MySQL. Et bien sûr la base est déclarée à la CNIL, même si dans le fond je ne pense pas que ça serve vraiment à grand chose.

      • [^] # Re: Oui mais...

        Posté par  . Évalué à 4.

        Combien de temps tu es censé garder la base mysql pour ne plus être juridiquement responsable de ce qui aura été fait avec les emails?

      • [^] # Re: Oui mais...

        Posté par  (Mastodon) . Évalué à 3.

        Ce que tu en fais est une chose, mais tu peux aussi te faire hacker ton site, et le butin consistera en une belle liste d'adresses qui ne voulaient pas se faire spammer !

        Cela dit, je garde l'astuce, il se pourrait que je m'en monte un pour mon usage personnel... c'est sûrement la meilleure chose à faire d'ailleurs.

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Oui mais...

      Posté par  (site web personnel) . Évalué à 6.

      Use http://www.yopmail.com/

      Cela ne redirige pas vers ton adresse mail mais vers leur propre webmail qui est ouvert à tous.

      Donc ton adresse mail n'est diffusée à personne par contre tout le monde peut voir le mail qui t'a été envoyé. Cela dit pour certains service, ce n'est pas trop gênant.

      L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

  • # En même temps…

    Posté par  (site web personnel) . Évalué à 10.

    En même temps, le spam n'est pas un problème à l'échelle d'une personne, même en publiant son adresse à tout va, les volumes sont largement assez faibles pour pouvoir les traiter avec un bon bayésien.

    Par ailleurs, les adresses plussés sont un bon moyen de lutter contre la peste. Explication :
    1. le service pouet te demande ton adresse : tu lui fournis <moi+pouet@chezmoi.name> ;
    2. ils envoient du courrier à cette adresse : ton serveur <chezmoi.name>, sans que tu aies à lui demander quoi que ce soit de spécifique, met tout ça dans ta boîte /moi/ ;
    3. pouet vend ton adresse à un vilain spammeur ;
    4. tu reçoit du spam adressé à <moi+pouet@> : tu sais qui a vendu ton adresse à un vilain spammeur, et tu sais la bloquer.

    • [^] # Re: En même temps…

      Posté par  . Évalué à 4.

      A moins que les spammeurs virent les '+...' des adresses ?

      • [^] # Re: En même temps…

        Posté par  . Évalué à 3.

        Pour cela, il faudrait contrôler toutes les adresses à la main. Si je crée des adresses du type "moi.pour.amazon@chez.moi", "moi.compte.fnac@chez.moi", à moins de contrôler chaque adresse une par une, difficile de deviner ce qu'il faut retirer. Et puis sur des centaines d'adresses, les spammeurs ne vont pas s'emmerder pour la moule qui a pris la peine de protéger sa vie privée.

        • [^] # Re: En même temps…

          Posté par  (site web personnel) . Évalué à 3.

          Tu fais une redirection vers ta vraie boite mail. Tu auras des « de: spammer ; À : moi.pour.amazon@chez.moi » et comme ça tu devineras assez vite qui a vendu ton adresse.

    • [^] # Re: En même temps…

      Posté par  . Évalué à 9.

      Il y a pas mal de sites qui n'acceptent pas le '+' dans les mails. Le meilleur système que j'ai trouvé, c'est d'acheter un nom de domaine et de faire des alias en pouet@domaine.com qui redirigent sur ma boite perso. En cas de spam, je supprime l'alias.

      • [^] # Re: En même temps…

        Posté par  . Évalué à 4.

        c'est exactement ce que je fais :-)

        à chaque fois que je me crée un compte sur un nouveau site, je me crée un alias site@mondomaine.

        et pour l'instant, ça marche plutôt bien.
        j'ai trashé juste 1 alias, et les gros sites ne revendent visiblement pas mes mails.
        pas de spam sur amazon@mondomaine, fnac@mondomaine ou supernews@mondomaine :-)

        • [^] # Re: En même temps…

          Posté par  (site web personnel) . Évalué à 3.

          Jadis Gandi acceptait de rediriger tous les mails reçus qui ne correspondent pas à une règle vers une adresse par défaut. Alors je faisais comme toi. Dommage, c'était bien pratique.

          • [^] # Re: En même temps…

            Posté par  . Évalué à 2.

            Ça marche toujours, enfin, si tu n'as pas supprimé la règle depuis qu'il n'est plus possible de la créer.

            Comme ça les seules redirections à faire c'est vers les sites qui ont revendu notre adresse pour qu'ils reçoivent les spams qui nous étaient adressés (ouais, je sais, c'est pas bien, mais c'est pas pire que de vendre des adresses de gens qui ont bien coché l'option disant que l'on ne veut pas que son adresse soit diffusée).

      • [^] # Re: En même temps…

        Posté par  (site web personnel) . Évalué à 4.

        Un système qui refuse une adresse avec un « + » dedans, c'est un système bogué, à signaler.

        • [^] # Re: En même temps…

          Posté par  (Mastodon) . Évalué à 7.

          Oui, c'est une erreur de rejeter une adresse avec un '+', mais en pratique, quand on s'en rend compte, c'est qu'on a besoin de s'inscrire maintenant, donc signaler le problème et attendre une éventuelle résolution, c'est rarement une option.

          Le principe de l'adressage avec le '+' est très bon, mais c'est le symbole lui-même qui est souvent problématique. Solution simple : utiliser autre chose que le '+'. Sur mon serveur, je peux utiliser le '_' exactement de la même façon, et je n'ai jamais vu de site web rejeter mon adresse.

          • [^] # Re: En même temps…

            Posté par  (site web personnel) . Évalué à -1.

            mais c'est le symbole lui-même qui est souvent problématique

            Tu veux dire : mais ce sont les logiciels ou les sites web qui sont souvent problématiques avec ce symbole.

            Pour l'_, c'est bien, jusqu'au jour où tu as un utilisateur qui doit utiliser ses deux premiers prénoms.

            • [^] # Re: En même temps…

              Posté par  (Mastodon) . Évalué à 4.

              Tu veux dire : mais ce sont les logiciels ou les sites web qui sont souvent problématiques avec ce symbole.

              Ça ne marche pas, point. Que le problème vienne du site web ou d'autre, ça ne change strictement rien, en pratique, le '+' n'est pas utilisable.

              • [^] # Re: En même temps…

                Posté par  . Évalué à 2.

                Ça ne marche pas, point. Que le problème vienne du caractère '+' ou d'autre chose, ça ne change strictement rien, en pratique, le site Web n'est pas utilisable.

                THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

              • [^] # Re: En même temps…

                Posté par  (site web personnel) . Évalué à 1.

                Tout, ça change, puisque ce n'est pas au même de régler le problème.

                • [^] # Re: En même temps…

                  Posté par  (Mastodon) . Évalué à 6.

                  Faudrait parfois redescendre de ton nuage et revenir dans le monde réel.

                  Tu peux dire et répéter autant que tu veux que le '+' est un symbole valide dans une adresse email, ça ne changera rien au fait qu'un grand nombre de sites vont le rejeter. Ils ont tord, on est d'accord, et c'est certainement à eux de changer leur validation.

                  Mais ça change quoi en pratique ? Au final, c'est quand même toujours toi qui est emmerdé parce que ton système antispam ne marche pas. Donc soit tu te passes de ta protection contre le spam, soit tu fais des concessions (l'option "ne pas s'inscrire sur un site qui refuse mon '+'" n'est pas forcément possible). Pour moi, le choix est vite fait.

        • [^] # Re: En même temps…

          Posté par  . Évalué à 2.

          Question con:
          Un site qui accepte les adresses avec + et qui revend ses adresses à une boîte à spam.
          Qu'est qui empêche la boîte à spam de tenter toutes les combinaisons:
          moi+pouet@chezmoi.name
          moipouet@chezmoi.name
          moi.pouet@chezmoi.name
          mpouet@chezmoi.name
          ...

          • [^] # Re: En même temps…

            Posté par  (site web personnel) . Évalué à 5.

            parce que ça couterait plus cher de s'acharner et envoyer 5 fois plus de mails...

            ... pour que 3% de gens en plus soient touchés !

            • [^] # Re: En même temps…

              Posté par  . Évalué à 3.

              Tu veux dire que les boîtes à spam payent la bande passant en fonction du trafic alors qu'elle représentent déjà la majorité des mails échangés ?

              Y doivent vraiment se faire des couilles en or.

              • [^] # Re: En même temps…

                Posté par  (site web personnel) . Évalué à 3.

                Les boites à spam font payer leurs 'campagnes de publicité' en fonction du nombre de mail vers des adresses qui existent. Elles ont donc intérêt à n'envoyer les mails que sur des adresses qui fonctionnent bien.
                C'est d'ailleurs pour ça que souvent les spams comporte une petite phrase disant ''Si vous ne souhaitez plus recevoir de mail, cliquer sur ce lien, ça nous montrera que votre adresse existe et qu'en plus vous êtes assez c** pour lire vos spams''

      • [^] # Re: En même temps…

        Posté par  . Évalué à 3.

        Sinon, il y a les adresses secondaire chez Yahoo!. Tu as ton adresse normale (tux@yahoo.com) et une liste d'adresse secondaire qui ont une même racine, différente de ton adresse normale (ex tuxmb-), et tu peux créer 200 alias avec ça (ex: tuxbm-linuxfr@yahoo.com, tuxmb-pouet@yahoo.com,...) et les supprimer quand tu veux.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: En même temps…

          Posté par  . Évalué à 2.

          Gmail (on est vendredi, j'ai le droit) supporte le + de base.

          Un mail envoyé à toto+sitedespam@gmail.com tombera dans la boite de toto@gmail.com. Et je crois même que ça affecte automatiquement le label sitedespam au mail.

          Rien à créer, rien à supprimer.

          • [^] # Re: En même temps…

            Posté par  . Évalué à 2.

            Je ne connaissais pas, mais, contrairement à yahoo, si on vire ce qu'il y a après le +, ont tombe sur une boite mail valide.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: En même temps…

            Posté par  . Évalué à 2.

            Je ne connaissais pas !

            Simplement MERCI !

          • [^] # Re: En même temps…

            Posté par  (site web personnel) . Évalué à 3.

            Postfix prend en charge le + de base.

            Rien à créer, rien à supprimer, sauf qu'on peut décider de supprimer le courrier qui arrive sur une adresse plussée de base, avec un ~/.forward+truc contenant une redirection vers /dev/null, par exemple.

    • [^] # Re: En même temps…

      Posté par  . Évalué à 4.

      Et ça marche pratiquement cette astuce?
      Parce que depuis le temps qu'elle existe j'ai du mal à croire que les spammeurs ou les vendeurs d'adresses ne savent pas cleaner leur répertoire d'emails des \+.*[^@]

      ps: j'ai bon pour la regex?

      • [^] # Re: En même temps…

        Posté par  . Évalué à 3.

        pas mal peine de mettre un + : linuxfr.org@moimeme.name est très suffisent pour identifier clairement l'expéditeur...

      • [^] # Re: En même temps…

        Posté par  . Évalué à 1.

        Pas grave, tu peux faire la même chose avec . ou - (quand tu as ton propre domaine et que tu n'attribues pas d'adresse contenant l'un des deux caractères).

      • [^] # Re: En même temps…

        Posté par  . Évalué à 2.

        > ps: j'ai bon pour la regex?

        plutôt : m/\+[^@]+/

        avec «.*[^@]» tu matches un nombre quelconque de caractères
        jusqu'à un caractère qui n'est pas le @, c'est à dire celui juste après le + :)

    • [^] # Re: En même temps…

      Posté par  . Évalué à 2.

      À faire aussi avec les particuliers.
      Entre ceux qui font tourner les chaînes de mail, ceux qui confondent "CC" et "CCi", ceux qui se font piquer leur boîte mail avec leurs contacts dedans, ceux qui disent à Fessebook "Fouille dans ma liste de contact" et ceux qui choppent un virus qui récupère toutes les adresses qui trainent, c'est aussi une source de spam.

      Comme ça, tu files à madame Michu ton moi+michu@tonserveur.tld

      Le jour où t'as du spam dessus, t'engueules madame Michu et tu supprimes l'adresse.

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # jetable.org

    Posté par  . Évalué à 10.

    Sinon jetable.org existe depuis 2004.
    Efficace, sobre, sponsorisé par l'APINC ... que demander de plus ?

  • # blacklist des domaines

    Posté par  . Évalué à 3.

    j'utilise depuis un moment ce genre de service mais ces domaines sont de plus en plus blacklistés. Donc au final c'est l'impasse.

    Depuis je crée des comptes poubelle gmail ou hotmail (mot de passe 123456) et tout roule.

  • # Non apte à l'inscription bidon

    Posté par  (site web personnel) . Évalué à 1.

    J'ai testé une adresse mail ainsi obtenue sur jv.com, cette adresse mail est jugée invalide.
    Ils font pareil avec yopmail, les fora en phpbb3 ont un comportement similaire.

    Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

    • [^] # Re: Non apte à l'inscription bidon

      Posté par  . Évalué à 4.

      C'est une manie de pas mal de sites, surtout français : Il n'autorisent que quelques domaines qu'ils considèrent valides. Tout le reste est refusé. Certains n'acceptent même que les comptes des FAI (il y a des gens qui s'en servent ?), ils refusent même les comptes gmail, hotmail, etc. "C'est trop facile de créer un compte bidon". Mais s'ils ne comptent pas pourrir (ou vendre) mon adresse qu'est ce que ça peut leur foutre ??

      • [^] # Re: Non apte à l'inscription bidon

        Posté par  . Évalué à 2.

        Mais s'ils ne comptent pas pourrir (ou vendre) mon adresse qu'est ce que ça peut leur foutre ??
        La réponse est dans la question. Ceux qui font ça veulent utiliser les adresses à des fins financières. Qu'il le fasse réellement est une autre histoire.

  • # Peut-être qu'un jour je me déciderai à publier les sources...

    Posté par  (site web personnel) . Évalué à 9.

    ça donne envie.

    Merci pour ce journal d'un intérêt profond. Yes, you did it.

    • [^] # Re: Peut-être qu'un jour je me déciderai à publier les sources...

      Posté par  (site web personnel) . Évalué à 10.

      Pareil, en lisant le journal je me suis dit : chic, un script/tuto pour expliquer comment monter son serveur de mail jetable perso.

      Ben non c'est juste une pub pour son site, avec sa page perso qui redirige vers son site et ce journal...

      S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

    • [^] # Re: Peut-être qu'un jour je me déciderai à publier les sources...

      Posté par  . Évalué à 10.

      Il promet que les sources seront en AGPL v3 s'il atteint les 10,000$ de dons!

      ----------------> [ ]

    • [^] # Re: Peut-être qu'un jour je me déciderai à publier les sources...

      Posté par  . Évalué à 0.

      Je t'en prie, merci pour ce commentaire tout aussi stupide.

      Les sources *seront* publiées, je suis en train d'écrire un papier sur le système. L'intérêt de ce journal était surtout d'avoir votre avis et vos retours sur ce type de service, et de tester un peu plus le système en faisant un peu de pub, et ainsi voir si ça tient bien la charge. Ce genre de commentaire me motive vraiment à passer plusieurs heures à écrire l'article, et rendre les sources propres avant de les publier. Je te remercie à mon tour.

      • [^] # Re: Peut-être qu'un jour je me déciderai à publier les sources...

        Posté par  . Évalué à 5.

        C'est pas aussi évident que tu le dis là à lire le journal...

      • [^] # Re: Peut-être qu'un jour je me déciderai à publier les sources...

        Posté par  . Évalué à 3.

        Je vois pas en quoi tester le système nécessite de passer avant la publication des sources.
        Ne serait-il pas plus opportun de plus d'avoir les avis de la communauté sur les méthodes utilisées avant d'écrire un article dessus ?

        • [^] # Re: Peut-être qu'un jour je me déciderai à publier les sources...

          Posté par  . Évalué à 2.

          La technique utilisée est au final très basique : ce sont de bêtes alias gérés par Postfix dans une base MySQL, avec un champ expiré/validé qui est également vérifié par Postfix avant de forwarder ou refuser le mail, et une date de fin de validité qui est checkée par un cron régulièrement pour désactiver les adresses qui ont expiré.

          Objectivement je ne pense pas que ça change grand chose d'avoir les sources avant de tester, mais je n'ai peut être pas le bon raisonnement ? En fait le service est en place depuis quelques mois maintenant, j'ai déjà eu quelques milliers de comptes créés, et quasiment aucun retour. Par contre moi derrière, ça me permet de voir les abus potentiels, si ça tient la charge quand un mec scripte et me créé des milliers de comptes d'un coup, les tentatives d'injection SQL, etc...

  • # 10 Minute Mail

    Posté par  (site web personnel, Mastodon) . Évalué à 3.

    Le site qui va très bien pour l'usage que l'on fait généralement des adresses jetables (i.e s'inscrire à un forum qui envoie immédiatement une URL de confirmation), tout en évitant la paranoïa sur la collecte de son adresse perso (et avec le bonus de ne même pas avoir à consulter son courrier) : http://10minutemail.com/ (le domaine change régulièrement pour éviter le négrolistage blacklisting)

  • # Vous devez entrer un sujet

    Posté par  (site web personnel) . Évalué à 4.

    C'est triste ton avis sur le spam ;-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.