La combinaison Postfix-amavisd nous a protégé pendant plus d’un an contre toute sorte de spam, certains parvenant tout de même à passer de temps en temps entre les mailles du filet, mais aucun faux-positif n’ayant été remarqué (ce qui à mon sens est le plus important).
Mais voici quelques semaines, le nombre de pourriels passant à travers les filtres a augmenté de manière spectaculaire, atteignant parfois plus de 100 par jour. Cette situation devenant vite intenable, nous avons cherché à adapter notre système de “défense”.
La solution résidait dans l’utilisation de bases de données RBL. Le principe est qu’à chaque connexion, Postfix interroge cette base de données pour vérifier si le serveur expéditeur est connu comme passerelle de spam ou non. Si c’est le cas, l’e-mail est tout simplement rejeté. Depuis la mise en place de cette protection, la situation s’est considérablement améliorée, comme on peut le voir sur les graphes ci-dessous:
Auparavant, la grande majorité des e-mails étaient acceptés par Postfix et transmis à amvisd pour vérification. Ce dernier ne réagissait apparemment pas suffisamment au contenu de ces e-mails pour leur attribuer un score élevé, ce qui explique le nombre croissant de spam passant au travers. Par après, on remarque clairement que le nombre d’e-mails rejetés à augmenté (entre 200 et 300 par période de 5 minutes) et qu’amavisd a beaucoup moins d’e-mails à traiter. Le résultat est un immense bonheur lorsqu’on remarque que sa mailbox n’a pas explosé pendant la nuit…
Pour info, voici la partie du fichier “/etc/postfix/main.cf” responsable de cette amélioration. On interroge ici 2 serveurs RBL, mais d’autres peuvent évidemment être ajoutés à la liste:
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination reject_non_fqdn_sender, reject_unknown_sender_domain, reject_non_fqdn_recipient reject_unknown_recipient_domain, reject_rhsbl_client blackhole.securitysage.com, reject_rhsbl_sender blackhole.securitysage.com, reject_rbl_client bl.spamcop.net reject_rbl_client zen.spamhaus.org