[gull] Les systèmes anti-spam à DNS

Grossiord Yves yves.grossiord at wanadoo.fr
Fri Jan 13 02:54:25 CET 2006


On jeu, 2006-01-12 at 17:29 +0100, Julien Escario wrote:
> Quelqu'un a t'il déjà essayé un des systèmes anti-spam basés
> sur des enregistrements DNS. Je pense à SPF, domainkeys et
> senderID.

Je gere deux domaines en dynamic dns derriere une connexion adsl. Le
probleme, c'est que certains serveurs mails blacklistent a priori toutes
les adresses IP des ISP connus. J'ai mis en place SPF sur mes
descriptions de domaines DNS pour essayer de rendre mon serveur mail
plus "presentable".

> SPF semble propriétaire, domainkeys a été mis au point par
> Yahoo qui semble avoir donné l'intégralité des droits à la
> communauté.

A l'epoque, SPF m'avait semble elegant et pas du tout proprietaire, au
contraire. Le site web de l'epoque sentait plus l'amateurisme (au bon
sens du terme). Il y a eu une polemique quand SPF a ete ajoute au
CallerId de MS pour creer SenderId. Puis, ils sont repartis de la
premiere proposition. D'apres wikipedia, il est en passe d'etre promu au
rang de RFC par l'IETF, ce qui est plutot une bonne reference.

http://en.wikipedia.org/wiki/Sender_Policy_Framework

> Techniquement parlant, en réception les deux nécessitent un
> patch pour la plupart des MTA ainsi que l'authentification
> SMTP (ESMTP).

Je crois que ce qui est important, c'est que le plugin existe.
Aujourd'hui, ils sont souvent simple a installer.
Je ne crois pas que SPF necessite ESMTP.

En resume, SPF consiste a publier dans le champ TXT de son record DNS la
liste des adresses qui ont le droit d'envoyer des mails pour le domaine
(par ex. smtp.mondomaine.org ou une adresse ip). Lorsqu'il recoit un
mail, le MTA verifie que l'adresse ip a l'origine de la connexion fait
bien partie de la liste autorisee pour le domaine de l'expediteur.
L'idee est que ca permet de filtrer immediatement les spams expedies
avec de fausses adresses mails d'expediteurs et que si le spammeur doit
devoiler son vrai nom de domaine, il est plus facile de creer des
blacklist fiables, voire de lancer une enquete dans le monde reel a
partir des informations WHOIS.

Ce n'est bien sur qu'une reponse partielle au pb du spam.

> En emission, SPF me parait plus rapide à mettre en place
> avec seulement un champ TXT dans le DNS. domainkeys
> nécessite la génération de clés, etc ...
> Votre avis sur la question ?

J'avais mis en place SPF parce que mon provider dynamic dns le
supportait et que c'etait facile et rapide.  Honnetement, je n'ai pas de
moyen d'evaluer l'efficacite du procede, mais dans mon carnet d'adresse,
il n'y a que deux ou trois domaines qui refusent mes mails et a qui je
dois les envoyer par mon ISP.

Cordialement, Yves Grossiord.







More information about the gull mailing list