[gull] Les systèmes anti-spam à DNS

[Julien Escario]

> Je gere deux domaines en dynamic dns derriere une connexion adsl. Le
> probleme, c'est que certains serveurs mails blacklistent a priori toutes
> les adresses IP des ISP connus. J'ai mis en place SPF sur mes
> descriptions de domaines DNS pour essayer de rendre mon serveur mail
> plus "presentable".

Hmmm, en émission alors ? Cela consiste simplement à installer un enregistrement 
DNS. C'est un début mais je m'interresse particulièrement à la réception.

> A l'epoque, SPF m'avait semble elegant et pas du tout proprietaire, au
> contraire. Le site web de l'epoque sentait plus l'amateurisme (au bon
> sens du terme). Il y a eu une polemique quand SPF a ete ajoute au
> CallerId de MS pour creer SenderId. Puis, ils sont repartis de la
> premiere proposition. D'apres wikipedia, il est en passe d'etre promu au
> rang de RFC par l'IETF, ce qui est plutot une bonne reference.
> 
> http://en.wikipedia.org/wiki/Sender_Policy_Framework

Autant pour moi. Effectivement, tout ça semble trés ouvert : code en GPL, site 
sous GFDL, etc ...

>>Techniquement parlant, en réception les deux nécessitent un
>>patch pour la plupart des MTA ainsi que l'authentification
>>SMTP (ESMTP).
> 
> 
> Je crois que ce qui est important, c'est que le plugin existe.
> Aujourd'hui, ils sont souvent simple a installer.
> Je ne crois pas que SPF necessite ESMTP.

Non, fondamentatelement, ESMTP n'est pas nécessaire mais si le système passe un 
jour en "coupable par défaut", alors nous aurons un problème pour les envois 
depuis l'extérieur du LAN. Cas typique : je me balade avec un laptop dans la 
rue, couverte par Wifi/WiMAX/EDGE/UMTS (rayer les technos auquelles vous ne 
donnez pas d'avenir). Si j'essaie d'envoyer un e-mail à l'aide de mon MTA 
installé sur mon portable, ca ne marchera pas, je serais considéré comme 
spammeur. D'où l'utilité d'avoir un ESMTP dont le nom est dans la liste des 
"authorized senders".

> En resume, SPF consiste a publier dans le champ TXT de son record DNS la
> liste des adresses qui ont le droit d'envoyer des mails pour le domaine
> (par ex. smtp.mondomaine.org ou une adresse ip). Lorsqu'il recoit un
> mail, le MTA verifie que l'adresse ip a l'origine de la connexion fait
> bien partie de la liste autorisee pour le domaine de l'expediteur.
> L'idee est que ca permet de filtrer immediatement les spams expedies
> avec de fausses adresses mails d'expediteurs et que si le spammeur doit
> devoiler son vrai nom de domaine, il est plus facile de creer des
> blacklist fiables, voire de lancer une enquete dans le monde reel a
> partir des informations WHOIS.

Dans la phase actuelle de dévelloppement, cela fonctionne plutôt comme une 
whitelist dynamique : si l'hôte est dans la liste, l'e-mail passe tout droit.
Personnellement, je pense plutot rajouter des règles à mon spamassassin.
Sachant que chaque mail peut posséder 4 états SPF (sauf erreur) :
fail (le domaine définit strictement les hotes autorisés et l'expéditeur n'est 
pas dans la liste)
softfail (le domaine définit les hôtes autorisés sans les limiter et 
l'expéditeur n'est pas la liste)
neutral (le domaine n'a pas précisé les hotes autorisés)
pass (le domaine a précisé les hotes autorisés et l'expéditeur est dans la liste)

Il suffit ensuite de fabriquer les règles adéquates dans spamassassin et 
d'augmenter leur score au fur et à mesure du déploiement de SPF.

> Ce n'est bien sur qu'une reponse partielle au pb du spam.

Bien entendu. Mais tant qu'à investir du temps à installer ça, autant choisir la 
bonne solution, c'était l'idée de mon message. Visiblement, SPF a l'air le plus 
interressant dans l'immédiat.

Je ne peux même pas dire si une technologie particulière va l'emporter parce que 
la situation semble évoluer mais trés lentement. Si effectivement, une 
technologie l'emporte, je pense qu'il est important pour le monde du libre de 
d'assurer que ce sera la solution la plus ouverte (à défaut de totalement ouverte).
D'accord, SPF est ouvert mais est-ce qu'il appartient à quelqu'un (=brevet), 
permettant à cette entité de retourner sa veste une fois qu'il aura été 
largement adopté ?

Julien