[colaboration] Blocage proofpoint

Bonjour à tous,

En ce moment j’ai une nouvelle IP qui est arrivé déjà blacklisté chez proofpoint.com : https://ipcheck.proofpoint.com/. Malgré mes demandes de dé-blackliste c’est toujours le cas depuis 2 mois… Pas dramatique je fais du routage à travers mes différentes passerelles. Sauf que c’est un prestataire qui est utilisé à droite à gauche et que tout les 3-4 jours j’ajoute un nouveau domaine à ma route… Du coup dans une idée de collaboration je vous met ici la regex qui me permet de faire le routage… En gros je liste les domaines que j’ai détecté comme passant par ce prestataire et étant bloqué. Si vous en avez aussi détecté d’autres je suis preneur de contribution (je vais passer le poste en mode wiki) :

/(geodis|sifalogistics|boulanger|assurance-maladie|booking|icloud|mac|me|radiofrance|booking|sacem|fr.otis|foncia|kpmg|eiffage|mgen|zoom|ascenseurnsa)(\.[a-z]{2,3}){1,2}$/

Si vous utilisez postfix ça s’utilise comme suite :

  • Dans le /etc/postfix/main.cf :
transport_maps = regexp:/etc/postfix/transport.regexp
  • Contenu du /etc/postfix/transport.regexp
/ma-regex/		smtp:mailgw2.mondomaine.net

David

2 « J'aime »

Merci pour l’info.

Ça me fait penser à une fonctionnalité pour notre projet mutualisation : Une base de données des prestataires de protection utilisés par chaque domaine destinataire, de manière à faciliter le re-routage.

@bohwaz qu’est-ce que tu en penses ? :wink:

C’est quoi les prestataires de protection ? Les mailinblack, spamenmoins et compagnie ? Je vois pas trop le rapport avec le re-routage ?

Bref pas sûr de comprendre désolé :slight_smile:

Ah je croyais qu’on était dans le topic SM2TP pardon j’avais pas vu le message de David ^^

Alors du coup pour de vrai on peut identifier ça juste en faisant une résolution sur le MX de ces domaines destinataires.

J’ai commencé à écrire un fichier de config TOML pour le SM2TP idéal que je voudrais, et dedans j’avais mis ceci comme exemple :

# Configuration of a remote MX
# matching is done on the end of the DNS, eg. this will match ".*mailinblack\.com"
[mx."mailinblack.com"]

# Block any domain using this MX from receiving automated messages
bounce.newsletter = true
bounce.mass = true
bounce.list = true
bounce.transactional = true
bounce_message = "Ce destinataire utilise le service Mailinblack.com, qui ne peut recevoir de message automatisé."

Du coup on pourrait conserver la même logique et imaginer ceci dans ce cas :

[mx."pphosted.com"]
relay = "goz2"

Pour indiquer de relayer les messages à destination de ces MX en passant par le relais « goz2 » (exemple au hasard hein).

Ça me semble plus flexible et plus simple que de faire une BDD de prestataires par domaine, qu’il faudra tenir à jour.

Dans la même logique, on peut imaginer pouvoir changer les règles de destination selon l’AS de l’adresse IP de destination, dans le cas où le MX ne serait pas assez explicite :

# Proofpoint
[as.52129]
relay = "goz2"

(bon sauf que je viens de regarder et trouver la correspondance IP → ASN c’est pas super pratique, c’est pas très open data, faut avoir recours à un truc genre geoip)

2 « J'aime »

Du coup j’ai posté mon brouillon de fichier de config pour partager :

Pas vraiment, parce que ce type de prestataires n’est pas forcément en coupure. Par exemple quand ils utilisent des listes de blocage mais en conservant leur propre infra.

1 « J'aime »

Mais comment savoir qui utilise quelle liste ? Là il nous faut une boule de cristal quantique…

Je vais te retourner la question, comment toi tu as découvert qui utilise quel prestataire ? :wink:

Je ne pense pas à un système qui va pouvoir auto-magiquement découvrir quel prestataire utilise quelle liste de blocage, je ne parle que d’un système qui nous permette d’automatiquement partager entre nous ce que nous avons nous même découverts (en général sur la base des messages de rejet).

L’objectif est d’éviter de le faire de manière adhoc sur un forum (avec la perte de temps et d’énergie que cela implique).

Un serveur whois devrait savoir faire cette correspondance. Par exemple

whois -h whois.cymru.com 80.67.185.141                                                   
AS      | IP               | AS Name
51083   | 80.67.185.141    | GRENODE, FR

voir le blog de Stéphane Bortzmeyer pour une liste exhaustive d’outils divers et variés sur comment fonctionne internet et bgp.

Pour Proofpopint c’est facile parce qu’il répondent un message clair dans leur retour SMTP :

mxb-xxxxxxxxxxxgslb.pphosted.com refused to talk to me: 554 Blocked - see Home | Proofpoint Dynamic Reputation - IP Lookup

Mais c’est rarement le cas… Free c’est explicite aussi (et c’est auto-unban après ~x heures sans spam (c’est ça qu’est chouette, chaque destination est une nouvelle aventure dans le mail…) mais si t’es dans une blackliste IP (il y en a pas mal) tu n’as pas forcément le nom de la blackliste dans le retour SMTP… éventuellement il te dit que t’es bloqué par blackliste mais c’est bien tout…