Bonsoir,
Je recherce une solution contre le SPAM qui est de plus en plus envahissant. Jusqu'a présent j'avais une adresse spammée et mes autres adresses n'en recevaient pas, mais ça change :(
De plus, je me dis que la solution actuelle de filtrage avec des outils comme spamassassin ou bogofilter (que j'utilise) ne sont pas viables sur le long terme. Je cherche une autre solution.
Une idée serait de filtrer les emails en fonction de mon carnet d'adresses. Le majeur problème que cela pose c'est que :
- mon carnet d'adresse ne contient pas tous mes contacts. Une solution serait de les ajouter automatiquement et c'est assez facile.
- de nouvelles personnes ne peuvent pas me contacter directement.
J'envisagais donc une solution complémentaire. Tout message d'un auteur inconnu au carnet d'adresses sera traité à part. Un message de réponse sera automatiquement renvoyé pour confirmer que la personne veut bien me contacter et que ce n'est pas un spammeur. Il sera demandé un peu comme sur les mailing lists de répondre au message et un cookie permettra alors d'ajouter cette personne au carnet d'adresse.
Le problème que je vois est double :
- beaucoup de mails seront envoyés dans le cas du spam et cela me gêne de contribuer a la saturation des serveurs mail.
- il arrive que les spammeurs mettent une vraie adresse de quelqu'un qui n'a rien à foir ans l'en tête From. Je les spammerai donc a mon tour :(
Le problème me semble très difficile a résoudre de cette manière. Avez vous des idées ? Un système qui fonctionne ?
Bogofilter (ou équivalent) c'est bien mais il arrive qu'il y ait des faux positifs, même si ils sont peu nombreux. Et comme je ne regarde pas les spam car j'en reçois trop, je ne les vois pas passer sauf occasionellement. De plus un certain nombre de spams ne sont pas filtrés.
De plus je me demande dans quelle mesure le SPAM est inévitable et pourrait être évité avec un meilleur protocole que SMTP qui n'a pas été conçu adns cette optique. Par exemple il se semble que Jammber a des JEP (ou c'est plutôt des XEP maintenant non ?) qui permettent d'éviter le SPAM.
J'ai l'impression que le problème du SMTP c'est l'absence d'authentification de l'expéditeur. Je me demande dans quelle mesure le protocole SMTP ne pourrait pas être amélioré pour prendre en compte cela. Ou si ce n'est pas possible, pourquoi ne pas créer un nouveau protocole construit avec ces objectifs ?
Cela ne me semble pas impossible et pas forcément difficile non plus, car comme je l'ai dit, Jabber semble avoir des outils de ce coté. Je ne comprend pas pourquoi une telle extension n'a pas encore été proposée et adoptée par l'IETF.
Bien sûr, on pourra me répondre que je n'ai qu'a abandonner le SMTP pour passer à Jabber. C'est une bonne réponse sauf qu'actuellement, Jabber n'est pas assez mature pour remplacer les emails. Sauf peut être si quelqu'un développe un plugin pour claws-mail :)
Mildred
# Authentification, oui mais non
Posté par Uriel Corfa . Évalué à 4.
Le probleme est que les mails ne sont pas geres par un organisme mondial, comme l'est msn par exemple. Impossible d'envoyer anonymement un message via msn messenger. Mais comme SMTP est fait pour permettre a n'importe quel utilisateur de n'importe quel serveur, il est impossible de gerer l'authentification de tout le monde...
Une solution mise en place par pas mal de filtres antispam est de rejeter tout ce qui provient de serveurs mails tournant sur des ip de particuliers (connexions ADSL par exemple). Ce n'est pas un moyen fiable : on trouve encore, avec un peu de recherche, des serveurs SMTP publics qui autorisent le relaying, et avec l'amelioration des debits ADSL les gens hebergeant un serveur chez eux (http + ftp + smtp souvent, avec un nom de domaine associe a leur ip maison) sont de plus en plus nombreux et se font jeter par le filtre.
A mon avis, on n'est pas pres de trouver une solution. Ou alors ca sera au detriment de l'interoperabilite des serveurs mails (on peut imaginer un systeme de "relations de confiance" entre deux serveurs, mais ca revient au meme que mon paragraphe precedent) ou de la qualite du service mail. Ou alors il faudra trouver une solution chapeautee par un organisme unique, mais c'est un peu devier du but original des emails :)
[^] # Re: Authentification, oui mais non
Posté par briaeros007 . Évalué à 4.
ca consiste a dire 'oki je te vois, mais je peux pas te traiter maintenant , reviens plus tard'.
Le serveur , quand il vois ca, si il est bien concu, il attend et renvoie.
Le spammeur, vu que son but c'est envoyer le plus de courrier possible , il zappe et continue son truc.
C'est pas l'arme absolue, mais ca marche pas trop mal.
[^] # Le grey listing, oui mais non
Posté par Olivier Guerrier . Évalué à 5.
(en résumé, grey listing = solution temporaire)
[^] # Re: Le grey listing, oui mais non
Posté par briaeros007 . Évalué à 3.
Aussi celles qui s'amusent à te bl parce que 'tu as un nom de domaine dynamique et ca nous plait pas' ou encore 'tu utilise pas le smtp de ton fai et ca nous plait pas'.
Ps le spam est (était) en diminution début janvier, sans qu'on puisse vraiment l'expliciter :
http://www.techworld.com/security/news/index.cfm?newsID=7735
[^] # Re: Authentification, oui mais non
Posté par Gof (site web personnel) . Évalué à 5.
> mondial, comme l'est msn par exemple.
Jabber n'est pas géré par un organisme mondial, et pourtant, le spoofing des message n'est pas possible.
(Car il y a une vérification des serveur avec le DNS. Et le DNS, lui, est géré par un organisme mondial)
[^] # Re: Authentification, oui mais non
Posté par benoar . Évalué à 1.
C'est vrai qu'il y a quelques problèmes de centralisation de la responsabilité de qui a le droit d'avoir un nom de domaine ou pas, et puis aussi les problèmes d'impartialité (l'ICANN est très pro-américaine).
Mais il doit bien y avoir moyen de créer un organisme à peu près indépendant ... non ? (pas comme Microsoft qui essaye d'imposer son système pour les mails ...)
# anti-SPAM
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 4.
- greylist, vire 80% des SPAMs. postfix-policyd est très efficace quand il est tuné pour blacklister sur les helo.
- RBLs sur les IPs dynamiques, en vire beaucoup.
ensuite finir avec MailScanner et DCC, Pyzor, Razor, les URIBLs
Sinon utilises http://www2.uucpssh.org/ - on propose une solution antispam efficace.
[^] # Re: anti-SPAM
Posté par liberforce (site web personnel) . Évalué à 3.
Bin on a ça si on essaie de s'inscrire: http://www2.uucpssh.org/uucp/signup
[^] # Re: anti-SPAM
Posté par blackshack . Évalué à 2.
# White List Email
Posté par MrLapinot (site web personnel) . Évalué à 1.
[^] # Re: White List Email
Posté par Mildred (site web personnel) . Évalué à 2.
# Solution simple
Posté par moo2 . Évalué à -1.
[^] # Re: Solution simple
Posté par manatlan (site web personnel) . Évalué à 4.
J'ai un "email public" (on le trouve en clair partout sur le web) ...
je reçois énormément de spam, mais au final j'en est très très peu dans ma BAL ... beaucoup sont automatiquement marqué comme spam par gmail ...
Après, si tu veux pas les lire dans un client mail, tu peux toujours les popper dans un vieux client lourd ... le résultat sera pareil : quasi plus de spams
# Active Spam Killer
Posté par ナイコ (site web personnel) . Évalué à 2.
# Why your anti spam method doesn't work
Posté par lom (site web personnel) . Évalué à 4.
( ) technical (x) legislative ( ) market-based ( ) vigilante
approach to fighting spam. Your idea will not work. Here is why it won't work. (One or more of the following may apply to your particular idea, and it may have other flaws which used to vary from state to state before a bad federal law was passed.)
(x) Spammers can easily use it to harvest email addresses
(x) Mailing lists and other legitimate email uses would be affected
( ) No one will be able to find the guy or collect the money
( ) It is defenseless against brute force attacks
( ) It will stop spam for two weeks and then we'll be stuck with it
(x) Users of email will not put up with it
( ) Microsoft will not put up with it
( ) The police will not put up with it
( ) Requires too much cooperation from spammers
( ) Requires immediate total cooperation from everybody at once
(x) Many email users cannot afford to lose business or alienate potential employers
( ) Spammers don't care about invalid addresses in their lists
( ) Anyone could anonymously destroy anyone else's career or business
Specifically, your plan fails to account for
( ) Laws expressly prohibiting it
( ) Lack of centrally controlling authority for email
( ) Open relays in foreign countries
( ) Ease of searching tiny alphanumeric address space of all email addresses
( ) Asshats
( ) Jurisdictional problems
( ) Unpopularity of weird new taxes
( ) Public reluctance to accept weird new forms of money
(x) Huge existing software investment in SMTP
( ) Susceptibility of protocols other than SMTP to attack
( ) Willingness of users to install OS patches received by email
( ) Armies of worm riddled broadband-connected Windows boxes
( ) Eternal arms race involved in all filtering approaches
(x) Extreme profitability of spam
( ) Joe jobs and/or identity theft
( ) Technically illiterate politicians
( ) Extreme stupidity on the part of people who do business with spammers
(x) Dishonesty on the part of spammers themselves
(x) Bandwidth costs that are unaffected by client filtering
( ) Outlook
and the following philosophical objections may also apply:
(x) Ideas similar to yours are easy to come up with, yet none have ever been shown practical
( ) Any scheme based on opt-out is unacceptable
( ) SMTP headers should not be the subject of legislation
( ) Blacklists suck
(x) Whitelists suck
( ) We should be able to talk about Viagra without being censored
( ) Countermeasures should not involve wire fraud or credit card fraud
( ) Countermeasures should not involve sabotage of public networks
( ) Countermeasures must work if phased in gradually
( ) Sending email should be free
( ) Why should we have to trust you and your servers?
( ) Incompatiblity with open source or open source licenses
( ) Feel-good measures do nothing to solve the problem
( ) Temporary/one-time email addresses are cumbersome
( ) I don't want the government reading my email
( ) Killing them that way is not slow and painful enough
Furthermore, this is what I think about you:
(x) Sorry dude, but I don't think it would work.
( ) This is a stupid idea, and you're a stupid person for suggesting it.
( ) Nice try, assh0le! I'm going to find out where you live and burn your house down!
# Via les DNS
Posté par zyphos . Évalué à 1.
>>- il arrive que les spammeurs mettent une vraie adresse de
>>quelqu'un qui n'a rien à foir ans l'en tête From. Je les spammerai
>> donc a mon tour :(
Une solution serait de passer par OpenSPF, solution qui consiste à mettre dans le DNS du domaine originaire de courrier, les hôtes (HOSTS) autorisés à envoyer du courrier en utilisant ce domaine.
Ceci se fait via l'ajout d'un enregistrement TXT (record).
Le seul problème est que les hébergeurs de DNS ne supportent pas tous l'ajout du champ TXT. (Comme OVH par exemple)
OpenSPF
http://www.openspf.org/
# La seule solution vraiment efficace...
Posté par gyhelle . Évalué à 2.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.