Filtre anti spam sur mutualisé

Le spam est une science inexacte.
Entre les certainement blancs (ham) et noirs (spam certain) il y a tous les plus ou moins gris.
Par exemple
> -------- Forwarded Message --------
> Subject: REMISE
> Date: Sat, 08 Jun 2019 23:27:31 GMT
> From: Guerrier Stephanie rennes.fr>
> To: barassxn@orange.fr


> BONJOUR
>
> MADAME MONSIEUR
>
> Vérifier en PJ, Vous êtes nominés a la FᗡJgrâce a votre adresse électronique.
>
> Vous êtes nominés a la FᗡJ pour bénéficier d'une valeur de Trois Cent Cinquante Mille Euro
>
> Vérifier en PJ, il est inscrit l'adresse du notaire M.MEITE FABRICE.
> Très Cordialement,
>
avec une image jointe de 1.6 mégabyte aborant des logos de la FDJ, d'un huissier, etc. qu'un humain ne va pas discuter, c'est du spam gros lourdingue.

Le mail provient de 1rennes.frrennes.fr 195.221.67.130 pour du vrai.

> Received: from messatv11.1rennes.frrennes.fr (messatv11.1rennes.frrennes.fr [195.221.67.130])
> by * (Postfix) with ESMTP
> for <*>; Sun, 9 Jun 2019 01:27:44 +0200 (CEST)
> ...
> Received: from [192.168.87.6] (Forwarded-For: 192.168.87.250) by
> messmta6.in.1rennes.frrennes.fr (mshttpd); Sat, 08 Jun 2019 23:27:31 GMT
> From: "Guerrier Stephanie" rennes.fr>
> Message-ID: <2e5bf31779819621.5cfc4463@1rennes.fr>rennes.fr>
> Date: Sat, 08 Jun 2019 23:27:31 GMT
> X-Mailer: Oracle Communications Messenger Express 7u4-18.01 64bit (built
> Jul 15 2010)

Blacklister sur base des adresses IP, ça ne marche pas quand les comptes sont hackés. Ac-Rennes n'est pas sur les listes noires.

C'est pour ça que OVH avec ses zillions de clients hackés ou négligents se fait continuellement blacklister des IP de ses mutus.

OVH utilise Vade Retro pour son identification du spam, c'est un bon outil qui fait l'analyse du contenu du mail et rend un diagnostic spam ou pas spam. Dans la zone grise, quel que soit le moteur de détection, il y a des faux positifs à minimiser absolument, et des faux négatifs qui sont quand même moins graves qu'un faux positif.

Là où je mets un grand mauvais point à OVH, c'est que les spams sont effacés silencieusement. Ils devrait être bloqués en temps réel avant de franchir la porte d'entrée, au cours de la transaction SMTP.
Mail extérieur non accepté en entrée -> message d'erreur sous la responsabilité du système extérieur qui n'a pas pu envoyer son mail vers OVH. Au cas où c'est une détection incorrecte l'expéditeur reçoit un message d'erreur.
Spam extérieur accepté en entrée -> on est dans le KK. On fait quoi ? (1) Prévenir l'expéditeur est un 2è spam "backscatter". (2) Prévenir le destinataire, non c'est un spam. (3) Mettre dans /dev/null c'est vraiment nul au cas où ce n'était justement pas un spam. Trois mauvaises solutions.

Je comprends bien que la lutte contre le spam est difficile, là ou je suis surpris c'est de recevoir des mails marqués par Ovh, ou par Vade Retro si je comprends bien, comme étant du spam et que j'en reçois de plus en plus, exemple
> X-Ovh-Remote: 128.199.61.165 (201956.focusdessocietes.com)
> X-Ovh-Tracer-Id: 4752986458153874678
> X-VR-SPAMSTATE: SPAM
> X-VR-SPAMSCORE: 500
> X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrgeduuddrudehfedgleekucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuqfggjfdpvefjgfevmfevgfenuceurghilhhouhhtmecuhedttdenucgohfhorhgsihguuggvnhfkphculdehtddtmd
> X-Ovh-Spam-Status: SPAM
> X-Ovh-Spam-Reason: vr: SPAM; dkim: disabled; spf: disabled
> X-Ovh-Message-Type: SPAM
X-Spam-Tag: YES

gggruggvucftvghtrhhoucdtuddrgeduuddrudehfedgleekucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuqfggjfdpvefjgfevmfevgfenuceurghilhhouhhtmecuhedttdenucgohfhorhgsihguuggvnhfkphculdehtddtmd

Ca veut dire :
Vade Retro 01.411.153#98 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; ^ForbiddenIp (500)
Le Forbidden IP a certainement une signification.

L'adresse IP 128.199.61.165 propriété de DigitalOcean Singapour semble se trouve en Hollande, mais telle n'est pas la question.

Il y a une seule dénonciation recensée par abuseipdb: https://www.abuseipdb.com/check/128.199.61.165

Bonjour,
Comment fais-tu pour lire, l'illisible [quote]
gggruggvucftvghtrhhoucdtuddrgeduuddrudehfedgleekucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuqfggjfdpvefjgfevmfevgfenuceurghilhhouhhtmecuhedttdenucgohfhorhgsihguuggvnhfkphculdehtddtmd
[/quote]

Je viens de créer un filtre mais il ne semble pas possible de mettre plusieurs conditions dans le même filtre, l'équivalent du "ou" et non pas du "et"

Comment fais-tu pour lire, l'illisible

Si je divulgue je pourrais avoir des ennuis. Donc je ne divulgue pas.
J'ai trouvé en quelques soirées d'hiver, en ayant le code crypté et son équivalent décrypté.
Tuyau: découpe la chaîne de caractères cryptée par paquets de 4 caractères, qui correspondent à 2 caractères décryptés.

https://api.partner.vadesecure.com/

pourquoi des ennuis?

https://api.partner.vadesecure.com/

C'est une bonne idée, ça , tu as un login "partner" ?

je vais continuer à faire des modulo 17

ah non, vu ça sur le net
c'est confidentiel ce truc?

Sais pas, mais ici l'API demande un login pour générer une API key.

> ... a certainement une signification.

quelques décodages:
```text
pas de score spam:
Vade Retro 01.412.78#65 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500;

Vade Retro 01.412.170#68 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; @!Recipients (-100)
Vade Retro 01.412.94#127 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; ^A301-01 (15)
Vade Retro 01.412.29#113 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; ^SpamIp (300);HamHeaderField Header Scoring (-10)
Vade Retro 01.411.153#98 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; ^ForbiddenIp (500)
Vade Retro 01.411.138#124 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; *Purchase (10)
Vade Retro 01.411.112#27 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; ^A301-01 (15)
Vade Retro 01.411.77#27 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; ^SpamEmail (300);incorrect tag (20);incorrect tag (20)
Vade Retro 01.411.31#74 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; *Account (20)
Vade Retro 01.411.31#64 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; ^Phishing-IIPSummer (512)
Vade Retro 01.411.29#19 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; ^SpamAlias (300);^SpamAlphaAlias (300)
Vade Retro 01.410.69#66 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; ^Phishing-R403-12 (300)
Vade Retro 01.410.24#120 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; ^SpamIp (300)
Vade Retro 01.409.76#47 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; Notification (10000)
Vade Retro 01.408.168#35 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; ^ForbiddenHdr (500)
Vade Retro 01.408.95#116 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; *Account (20)
Vade Retro 01.408.95#115 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; ^ForbiddenHdr (500)
Vade Retro 01.407.80#95 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 500; ^ForbiddenHdr (500)
Vade Retro 01.407.25#157 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 300; SpamIp_rt (300)
Vade Retro 01.406.75#106 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 300; ^SpamIp (300)
Vade Retro 01.405.44#55 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 300; Phishing-IIP_rt (607)
Vade Retro 01.404.66#31 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 300; ^Phishing-IIP (607)
Vade Retro 01.402.01#122 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 300; ^SpamDomain (300)
Vade Retro 01.402.01#71 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 300; Hdr 2984 (300)
Vade Retro 01.401.65#136 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 300; ^Phishing-IpNetwork (300)
Vade Retro 01.399.76#139 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 300; Hdr 4293 (600)
Vade Retro 01.399.60#46 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 300; @!Recipients (-100)
Vade Retro 01.395.33#96 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 300; ^A301-01 (15)
Vade Retro 01.395.33#95 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 300; ^A301-01 (15)
Vade Retro 01.394.21#04 AS+AV+AP+RT Profile: OVH,CHECKCE; Bailout: 300; Empty subject (10)
Vade Retro 01.394.21 AS+AV+AP+RT Profile: OVH; Bailout: 300; ^ForbiddenHdr (500)
Vade Retro 01.369.37#26 AS+AV+AP Profile: RENATER; Bailout: 300; *+Scamy-Money-en (300)
```

Bonjour,

Désolé de réveiller ce thread s'il est traité ailleurs, mais le sujet me semble le plus proche de mon problème : serveur mutualisé, gérant mon domaine personnel, mailbox saturée de spams depuis quelques mois (plusieurs centaines par jour, 99% pour du porno russe) et aucun blocage sur le serveur alors que **tous** les mails sont flaggés [SPAM].

Comment puis-je affiner les réglages de l'antispam, en ajoutant les IP fautives par exemple ?

Merci d'avance pour toute aide !