2014-05-16 13:00 GMT+02:00 Francois Petillon <fantec@proxad.net>:
On 05/16/2014 12:28 PM, François wrote:
> Le soucis c'est plus quand ils se font voler leur password mail (il
> semblerait que ce soit plutôt lié à leur machine qu'à la sécurité du
> transport).

Ou à l'inscription sur des sites web en utilisant le même mot de passe
que le compte mail et en utilisant le compte mail en question comme
adresse de contact. Vu que les spammeurs ont des compétences en piratage
de site web, ils récupèrent une base abonnés avec des emails et des mots
de passe...

> Dans ce cas, on se retrouve à se prendre des mail report avec
> un User-Agent: SquirelMail qui est un des webmail que l'on propose...

Pas de SMTP en mode authentifié ?

Si mais justement, on se retrouve avec des credentials valides, d'où la difficulté.
 

> Et c'est pour cette seconde catégorie qu'il est difficile pour nous de
> lutter : on pourrait mettre un anti-spam en sortie, mais niveau neutralité,
> on a vu mieux.

Résumons : on savez que vos utilisateurs se font compromettre leurs
comptes, vous savez que ces comptes compromis sont utilisés pour
balancer du spam mais, pour être parfaitement neutre, il n'est pas
question d'essayer de bloquer ce qui semble anormal ?

Et les destinataires des spams en question, ils sont censés en penser
quoi de votre neutralité ?

Le problème c'est que tout faux positif en envoi de mail est problématique, car le membre qui envoit son mail pensera (légitimement) que celui-ci est en cours de delivery.
 

> Du coup, on a pensé à faire des filtres genre, si le From est pas géré par
> nous, on bloque. Sauf que parfois, les spammeurs utilisent
> compte@compte.lautre.net qui est le mail générique du membre.. Donc ça
> passerait à travers.

Dans votre cas, le gros intérêt des webmails est que vous avez accès au
carnet d'adresse. Si un utilisateur se met à envoyer un ratio conséquent
de mails sur des adresses qui ne font pas partie du carnet d'adresse, il
y a probablement quelque chose à creuser.

Sauf si le spammer se connecte directement au SMTP authentifié...
Certains de nos membres envoient beaucoup de mails, donc le seuil est difficile à définir (en smtp j'entends, on a déjà des seuils avec le sendmail des serveurs web).

Donc en gros on est condamnés à lire des spam report pour voir que, zut tel compte envoit du spam, faut locker. C'est donc pas très synchrone.


> Des idées pour lutter contre le spam sortant pour une situation comme
> celle-ci?

Quotas pour limiter la volumétrie des comptes abusifs, monitoring de
l'utilisation des comptes pour trouver les comptes compromis, filtrage
antispam en sortie.

Comme je disais, compte abusif, c'est pas facile à définir.
Le monitoring c'est pas idiot, par contre l'antispam en sortie, comme je disais, je vois pas comment régler les faux positifs. Ou alors ça vient juste mettre un flag suspicieux ...

Merci en tout cas!
 

François
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

François