[RESOLU] antispam Peut-on marquer les emails

ccnet

@sauzey:

Merci chris4916,

Donc il faut installer Postfix dorwarder (d’après le nom du paquet) et obligatoirement policyd et mailscanner ?
Désolé j'insiste un peu, mais les emails ne seront pas rejetés? Ils seront transmis avec une mention, par exemple spam dans l'objet ?

Merci en tout cas.

Pfsense est un firewall traitant essentiellement ce qui se passe au niveau des couches 3 et 4.
Votre besoin relève d'un traitement applicatif couche 7.
Votre problème n'a RIEN À VOIR avec Pfsense. Même si vous installez un package ce sera du paramétrage Postfix.
Un package sur Pfsense est plutôt à proscrire pour des raisons de sécurité.
Donc :
Non Pfsense ne marquera jamais un mail spam.
Postfix et d'autres outils permettent de le faire (ce que je paramètre régulièrement), mais encore une fois Pfsense n'a rien à voir et ne peut rien pour vous. D'ailleurs, c'est plutôt spamassassin, ajouté à Postfix, qui fera le travail.
Lisez les docs Postfix et Spamassassin pour faire ce travail

sauzey

Super, merci beaucoup pour ces explications.
Je vais tester Pfsense, il devrait répondre à mes attentes.
Juste pour information, il servira de MTA.

Encore merci.

sauzey

Mince le précédant post répondait à chris4916,

Ça change la donne, du coup il peut ou pas ?  ;D

Je viens de regarder les paquets dans Pfsense, et effectivement il n'y a pas d’Amavis et Spamassassin, mais en même temps plus haut nous parlions de mailscanner et policyd.
.

jdh

@sauzey :

votre question montre que votre compétence est très faible, ce qui n'est pas une tare.

Ce forum est destiné a aider ceux qui veulent accroitre leur expertise.
(Hélas, on peut tomber sur des gens qui racontent n'importe quoi …)

La réponse, très claire, à votre question est un relais mail (avant votre Exchange).
Je vous encourage à joindre les gens qui vous ont installé Exchange pour leur demander la prestation nécessaire.
(J'ai construit moi même quelques tels relais : Debian + Postfix + Amavis/Spamassasin ...)
Je doute que ces gens vous conseillerons de placer ce relais sur le firewall ...

NB : Tiens ccnet sursaute lui aussi sur les conseils stupides ...

chris4916

@sauzey:

Je viens de regarder les paquets dans Pfsense, et effectivement il n'y a pas d’Amavis et Spamassassin, mais en même temps plus haut nous parlions de mailscanner et policyd.

mailscanner=https://www.mailscanner.info/ contient un ensemble de composants pour vérifier virus et spam au niveau des mail, et donc spamassassin.

Attention cependant de bien lire cette remarque associée à ce package:

MailScanner is an e-mail security and anti-spam package for e-mail gateway systems.
This is a level3 mail scanning tool with high CPU load.

WARNING! This package bundles ClamAV that conflicts with 'Squid3', 'Dansguardian' and 'HAVP antivirus' packages! Installing these will result in a broken state.

Policyd est plutôt une couche de redirection permettant de bénéficier de différents moteurs pour vérifier virus et spam, dont Amavis qui va gérer le contrôle par clamAV (si besoin) et spamassassin.

chris4916

@ccnet:

Un package sur Pfsense est plutôt à proscrire pour des raisons de sécurité.

C'est effectivement à mon avis le seul point qui mérite un débat.

• l'impact en terme de sécurité
• la fiabilité et le suivi du développement

chris4916

@sauzey:

Juste pour information, il servira de MTA.

Utiliser pfSense juste comme MTA ou comme moyen de déployer un MTA n'est pas très adapté :

• Sur un pfSense existant ou a déployer pour fournir des fonctions de FW, on peut se poser la question de comment déployer un MTA (de préférence sur une machine à part mais, comme pour le proxy, il y a des cas ou c'est acceptable sur la même machine)
• si il y a déjà un autre FW et que le but est uniquement de disposer d'un MTA, pfSense n'est pas la bonne solution. Configurer Postfix + amavis + spamassassin n'est pas très compliqué et bien plus souple que ce que va présenter l'interface graphique de pfSense

ccnet

@sauzey:

Super, merci beaucoup pour ces explications.
Je vais tester Pfsense, il devrait répondre à mes attentes.
Juste pour information, il servira de MTA.

Encore merci.

Non, non et non !! Pfsense ne répond pas aux besoins. Vous avez besoin d'un relai SMTP avec des fonctionnalités de filtrage, de marquage et autres. Oubliez Pfsense et des packages pour ce travail. Regardez éventuellement du côté de ClearOS alias Clarkconnect, ou Artica

jdh

Pour comprendre ce qu'est un firewall (et par exemple pfSense), lire https://fr.wikipedia.org/wiki/Pare-feu_%28informatique%29 (comme d'hab wikipedia est assez complet).

Pour comprendre ce qu'est un serveur mail, lire https://fr.wikipedia.org/wiki/Serveur_de_messagerie_%C3%A9lectronique.
Bien comprendre, sur le schéma, qu'il peut y avoir plus de 2 MTA (étape 2).

Le principe du 'relais smtp' (dont ccnet et moi parlons) est décrit, avec schéma, dans http://www.akadia.com/services/sendmail_relay.html
Il faut (donc) utiliser un serveur de mail (p.e. Postfix) en y ajoutant amavis qui permetra d'utiliser clamav (antivirus) et spamassassin (antispam).
Un bon professionnel devrait être capable de vous mettre cela en place …
NB : Dans ma société actuelle, c'est une société qui a installé les Exchange, mais j'ai mis moi-même devant les relais smtp et je m'en félicite tous les jours !

Il est à noter qu'il n'existe que peu de solutions 'tout en un' comme passerelle mail :
un excellent exemple : https://www.proxmox.com/en/proxmox-mail-gateway/get-started
voir le remarquable document 'Proxmox Mail Gateway Deployement Guide'
voir l'image https://www.proxmox.com/images/proxmox/screenshots/Infrastructure_with_PMG-2013.png (qui indique bien les 2 machines distinctes entre Internet et le serveur de mail)

J'ignore quel 'imbécile' vous a dirigé vers pfsense pour marquer des mails ...
Et si vous voulez enfoncer des vis avec un marteau, suivez le spécialiste ...

sauzey

Bonjour,
J’ai pris un peu de retard pour vous répondre.
Merci déjà, même si je n’en demandais pas tant, un OUI ou un NON m’était largement suffisant.
Pour n’offenser personne, je ne demandais pas conseil.
Mais pour la petite histoire (vu qu’il y a débat) je ne connaissais pas Pfsense, ce logiciel me semble être un jolie couteau suisse, je pense que c’est le mot juste, un couteau suisse remplis plusieurs fonction, sur chaque élément qu’il présente  il ne fera jamais aussi bien que les outils individuels.
Et pour le cas de Pfsense j’en serai le seul juge.

Merci à chris4916 qui a répondu à ma question. Sans préjugé sans haine etc…

jdh

Les choses (claires et réelles) à retenir sont

• pfSense est un firewall.
• pfsense n'est pas et ne sera pas un serveur de mail, et ne 'tagerra' pas de mails

En informatique, les couteaux suisses n'existent pas : quand une machine fait tout et trop, elle le fait mal.
Il y a donc 2 règles essentielles :

• mettre en place le bon outil,
• connaitre (à fond) la bonne utilisation d'un outil.
  Cela suppose de connaitre la situation.
  Et il n'y a rien de plus dangereux que d'utiliser (mal) le mauvais outil …

Concernant ce fil,

• il est regrettable que vous n'ayez pas utilisé le formulaire, donc on ne connait pas précisément le contexte
• ccnet et moi, nous vous avons clairement répondu, (et moi dès le premier fil)
• objectivement, chris4916 vous a répondu 'qu'avec un marteau on pouvait enfoncer des vis' (pour rester dans les outils)

Il va falloir que ces choses changent car ce genre de fil devient intolérable.

sauzey

j'ai 2 minutes à perdre, je reprend ma question en utilisant le formulaire.

Contexte : Bonjour (j’aurais dû ajouter "pas de contexte")

Besoin : une réponse (je viens de le rajouter, il n’était pas dans mon 1er post)

Schéma :
Je schématise : emails venant de la toile    >>    réception (plutôt transition) Pfsense - décision du marquage -  peu importe la décision  >>    Exchange

Question : J’aimerai savoir s'il est possible de marquer les emails, détecté en t’en que spam et ensuite, qu’il les transfère au serveur de messagerie ?

Pistes imaginées : Exemple de marquage : dans l'objet de l'email : SPAM!!!

Recherches : Pour le moment la question n’est pas la méthode de détection mais vraiment dans la partie de tagger un email et de le transmettre.

Logs et tests : Merci

En espérant que ça vous face plaisir Monsieur le premier ministre.

Suite à cette événement j’espère que vous ne créerait pas une loi, dite GAYSSOT.

chris4916

@sauzey: n'oublie pas de modifier le titre du premier message de ton post pour le marqué comme [RESOLU] si tu considère avoir obtenu une réponse à ta question  ;)

baalserv

Bonsoir,

Je ne suis pas venu depuis plusieurs jours et n'ai pas suivi le fil.

Une réponsse hors sujet pour une question dans laquelle le but est de détourner pf de sa raison d'être  ;) mais qui je pense devrai répondre à la vrai question (latente et mal formuler) de l'utilisateur : COmment mettre un filtre anti-spam devant exchange avec une distrib toute faite et une belle interface graphique ?

==> Si je ne dis pas bétise il existe toujours : SME

Mais je dis cela sans strictement rien connaitre ni des besoins réel ni de l'infra ni des contraintes (car non exposer dans ce fil de 2 pages) donc je suis surement à côté ^^

chris4916

@baalserv:

Une réponsse hors sujet pour une question dans laquelle le but est de détourner pf de sa raison d'être  ;) mais qui je pense devrai répondre à la vrai question (latente et mal formuler) de l'utilisateur : COmment mettre un filtre anti-spam devant exchange avec une distrib toute faite et une belle interface graphique ?

==> Si je ne dis pas bétise il existe toujours : SME

Il y a effectivement d'autres solutions et si le besoin est uniquement un MTA filtrant, pfSense n'est pas la solution, pas plus que SME à mon avis. une plate-forme Linux avec Webmin si le coté interface graphique est indispensable (bien que je n'aime pas du tout cette approche) me parait plus efficace.

Si le besoin est également de disposer d'un firewall, compte tenu du nombre important de modules offerts par pfSense, il y a 2 écoles:

• les adeptes du firewall ni ne fait que firewall (pour être plus précis, les adeptes de pfSense basé sur ce qui est actuellement intégré à pfSense)
• ceux qui vont accepter, en fonction de leur besoin, de déployer des packages (add-on) supplémentaires avec pfSense.

Il est évident que dans la section française du forum, il n'y a pas de place pour la deuxième solution et n'importe quel commentaire dans cette direction est fortement et presque systématiquement rejeté. J'écris presque parce que si on regarde attentivement, l'emploi du formulaire  permet de faire oublier, parfois, qu'on évoque un sujet hérétique  ;D ;D ;D

Plus sérieusement, je ne suis pas contre l'idée qu'un pare-feu ne devrait idéalement servir que de pare-feu (c'est exactement ce que je fais dans mes propres déploiements) mais le minimum me semble être, plutôt que ce rejet systématique et dogmatique, d'expliquer les risques encourus lorsqu'il y en a.
Et il serait également bien d'aller porter cette bonne parole dans la section anglaise et auprès le staff pfSense pour lutter contre cette ouverture vers des packages.

Du coup, proposer SME, ça ressemble à "pas de ça chez moi": il ne faut pas déployer d'autres services que le pare-feu avec pfSense mais si tu veux le faire avec SME, tant que ce n'est pas ici, n'hésite pas  8)
Car SME, intègre également un pare-feu…  :P

Alors pourquoi ce serait bien avec cette solution et pas avec pfSense ? A cause de l'approche "package" qui ne fait pas partie du noyau en terme de développement de pfSense ?
C'est un argument qui me parait tout à fait recevable et certainement à prendre en compte et à discuter...  si discussion il y avait  ::)

Joyeux Noël  :)

ccnet

Si discussion il y avait

C'est pousser le bouchon trop loin.
https://forum.pfsense.org/index.php?topic=90750.0

jdh

Quelle est la logique de

• 'moi je ne les utilise pas' mais 'toujours dire que des packages existent' : j'attends un débutant répondre pourquoi un discours comme ça
• 'pas de formulaire' mais 'ça donne des infos'.

Ce fil est un exemple, s'il en fallait :
l'initiateur du fil, par ignorance (totale),

• ne comprend pas que, pour marquer un mail, il faut déjà le recevoir et donc il faut un serveur de mail
• ne comprend pas que, pour marquer un mail, en sus du serveur de mail, il faut analyser les mails, d'où spamassassin
• et vous vous l'envoyer vers les packages (sans même savoir si on peut y arriver puisque vous ne le faites pas !)
• et vas y sur le forum anglais … (sous entendu le forum français est peuplé de crétins ... sauf moi)

A propos de forum anglais (ou autres), la plupart des fils avec postfix+mail scanner ne comporte que le post initial !
Il y a, néanmoins, un très long fil sur le sujet, par le concepteur du package postfix, donc addict : https://forum.pfsense.org/index.php?topic=40622.0
mais je cite juste un post récent (page 42)@doktornotor:

@MadCatZA:

Unless I am understanding wrong, how would I filter my mail now without PostFix?

On your mailserver perhaps? I don't get the idea of running postfix, spam filters and co. on a firewall… Regardless, take this with pfSense developers, I'm not one.

NB : doktornotor affiche 6683 posts, respect !

Les bons conseils à donner sont ceux 'des bonnes pratiques' et non ceux d'un (hypothétique) preuve du concept.
Bref, vous vous obstinez à perturber les réponses.
Et c'est très regrettable face à des débutants ou ignorants …

chris4916

@jdh:

Quelle est la logique de

• 'moi je ne les utilise pas' mais 'toujours dire que des packages existent' : j'attends un débutant répondre pourquoi un discours comme ça

simplement parce que certains utilisateurs sont potentiellement intéressés à utiliser pfSense en tant que UTM et qu'il est beaucoup plus, à mon avis qui n'est pas le tien, bien sûr, utile d'expliquer ce qu'il est possible de faire ou pas,  afin que chacun puisse prendre une décision en connaissance de cause plutôt que d'adopter une position dogmatique (et je ne parle même pas de la manière d'asséner celle-ci)

• et vas y sur le forum anglais … (sous entendu le forum français est peuplé de crétins ... sauf moi)

Ce n'est pas un sous-entendu mais pas non plus ce que formules ou fais mine de croire. Ce que je dis très clairement : sur le forum anglais, je ne rencontre jamais de positions inflexibles comme celle que tu tiens systématiquement ou presque. Même ceux qui sont plutôt opposés à l'option UTM le font de manière le plus souvent courtoise et argumentée et il est du coup possible d'y trouver des informations qui aident à prendre une décision.

Et je ne rentre pas non plus, comme tu essaies de le faire croire, dans un duel "tous des crétins sauf moi".
Je partage souvent les points de vue techniques de certains ici, dont ccnet  ;)

Force est de constater, par ceux qui parcourent à la fois les sections françaises et anglaises, que la section française est particulièrement pauvre en information car il n'y a presque jamais aucun débat technique:

• si pas de formulaire il faudrait surtout ne pas répondre jusqu'à ce qu'il y ait un formulaire
• si le sujet est relatif à un package il faut répondre, ou plutôt laisser les personnes "légitimes" répondre : "pas de package, on l'a déjà dit plein de fois !"

L'objectif étant probablement non pas un forum d'échange mais une sorte de knowledge base.

NB : doktornotor affiche 6683 posts, respect !

La pertinence des réponses n'est absolument pas lié au nombre de posts  ;D  mais en l’occurrence, doktomotor, avec qui j'échange de temps en temps, connaît bien son sujet. Et tu as donc noté, puisque tu as bien sûr lu ce long post, que doktormotor, bien que, à titre personnel pas intéressé à utiliser le FW pour autre chose que du firewall, participe de manière constructive à ce topic autour de compréhension de la problématique des utilisateurs et des difficultés de mise en œuvre. Il en est de même, de sa part, sur de nombreux sujets, comme par exemple ceux relatif au proxy.

Bref, vous vous obstinez à perturber les réponses.

;)
Je sais bien que tu vis chacune de mes interventions comme une sorte de compétition, même si je ne comprends pas vraiment pourquoi  ::)

C'est sûr que si je m'abstenais d'intervenir ou que je me contente d'écrire "ccnet à toujours raison", ça rendrait, de ton point de vue, les choses beaucoup plus simples => demande d'une section française "pour les pros" dont tu serais le modérateur  8)

Plus sérieusement, dans une version constructive du forum, expliquer quel est le risque de faire tourner un MTA sur le firewall serait bien plus efficace et didacticiel  ;)

baalserv

Bonjour,

@Chris :

Je n'interviendrai pas dans le débat sans fin entre toi et JDH (car totalement inutile et non constructif^^) mais je vais tout de même te répondre  :)

@chris4916:

Du coup, proposer SME, ça ressemble à "pas de ça chez moi": il ne faut pas déployer d'autres services que le pare-feu avec pfSense mais si tu veux le faire avec SME, tant que ce n'est pas ici, n'hésite pas  8)
Car SME, intègre également un pare-feu…  :P

Alors pourquoi ce serait bien avec cette solution et pas avec pfSense ? A cause de l'approche "package" qui ne fait pas partie du noyau en terme de développement de pfSense ?
C'est un argument qui me parait tout à fait recevable et certainement à prendre en compte et à discuter...  si discussion il y avait  ::)

Joyeux Noël  :)

Premièrement dire : Va le faire ailleur mais pas içi ! (avec une solution que tu semble considérer comme idoine) C'est mal me connaitre car ce n'est pas mon style du tout  :-\

Deusio : Quand à Sme je vais déveloper plus bas  ;)

@chris4916:

Il y a effectivement d'autres solutions et si le besoin est uniquement un MTA filtrant, pfSense n'est pas la solution, pas plus que SME à mon avis. une plate-forme Linux avec Webmin si le coté interface graphique est indispensable (bien que je n'aime pas du tout cette approche) me parait plus efficace.

Ha … parce que SME n'est pas une plate-forme Linux avec Webmin ?  :o

Oui SME propose un mode serveur+GW offrant alors des services de routages et FW mais également d'un mode serveur only  ;)

Sme est basé sur CentOs et est construit avec un système d'ebay et template apportant cloisonnement et sécurité. Sme à été conçu pour offrir des services de serveurs (Mails, fichiers, dhcp, dns, ldap, ...) , contrairement à pf qui lui est conçu pour offrir des services de fw avant tout.

Sme est de faite beaucoup plus adapter que pf pour ce type de besoins.

Ma proposition est bien plus honète que tu ne me le prète et donne une piste à explorer  ;)

Ce travail peut être fait directement par exchange ou par une machine tierce ou autre ... mais ce n'est surement pas le job d'un fw

Cdt

chris4916

@baalserv:

Je n'interviendrai pas dans le débat sans fin entre toi et JDH (car totalement inutile et non constructif^^) mais je vais tout de même te répondre  :)

En effet, quasiment systématiquement, quel que soit ce que je poste ou presque, ça se termine avec jdh dans un (non) débat stérile, inutile et non constructif.
Dommage  ::)

@baalserv:

Premièrement dire : Va le faire ailleur mais pas içi ! (avec une solution que tu semble considérer comme idoine) C'est mal me connaitre car ce n'est pas mon style du tout  :-\

Oh non pas du tout. Je n'aime pas vraiment SME.
Si j'avais à choisir aujourd'hui une solution ce type (c'est à dire UTM), avec une contrainte forte qui serait une interface graphique, j'irai plutôt vers une plate-forme Zentyal antérieure à 4.1  ;D

@baalserv:

Deusio : Quand à Sme je vais déveloper plus bas  ;)

@chris4916:

Il y a effectivement d'autres solutions et si le besoin est uniquement un MTA filtrant, pfSense n'est pas la solution, pas plus que SME à mon avis. une plate-forme Linux avec Webmin si le coté interface graphique est indispensable (bien que je n'aime pas du tout cette approche) me parait plus efficace.

Ha … parce que SME n'est pas une plate-forme Linux avec Webmin ?  :o

pas à ma connaissance mais je peux me tromper.
quand tu écris "webmin", tu penses à ça ? (juste pour éviter une confusion supplémentaire)

@baalserv:

Oui SME propose un mode serveur+GW offrant alors des services de routages et FW mais également d'un mode serveur only  ;)

Effectivement, je ne pensais pas du tout, au moment où je formulais ma remarque, et dans le cadre de "pas de MTA sur pfSense", à ce mode de déploiement "SME sans FW"  :-[

[quote]Sme est basé sur CentOs et est construit avec un système d'ebay et template apportant cloisonnement et sécurité. Sme à été conçu pour offrir des services de serveurs (Mails, fichiers, dhcp, dns, ldap, …) , contrairement à pf qui lui est conçu pour offrir des services de fw avant tout.

Ma proposition est bien plus honète que tu ne me le prète et donne une piste à explorer  ;)

Certainement. pfSense + SME "server" est une solution viable dans le mode "server only" et ma remarque ne s'applique bien sûr plus avec cet objectif de MTA filtrant supporté par SME en mode "server only".

Le point récurent est vraiment celui des packages que pfSense (ou plutôt des développeurs) met à disposition, sans cependant intégrer les fonctionnalités dans le développement de base.
Ce serait bien sûr beaucoup plus simple si l'équipe pfSense ne permettait absolument aucun changement aux fonctionnalités intégrées. Pas de menu package, rien dans le wiki. Que du FW et rien que du FW  ;D
Mais ce n'est pas le cas car le besoin, pour certaines infrastructures, de déployer une solution autant que possible "tout en un" est évident et même l'équipe de pfSense ne peut résister à s'ouvrir à ce type d'intégration.

Du coup, la position (que je qualifie de dogmatique lorsqu'elle n'est pas étayée  ;)) qui consiste à ne dire que "pas de ça sur pfSense" est difficile a tenir sans argument technique car celui qui va consulter la doc en ligne de pfSense va même y trouver des préconisations en terme de hardware en cas de déploiement de package.
Le forum de pfSense fait une large place à ces add-ons et l'interface de pfSense intègre cette option, avec une liste des packages et de leur description.

Il me semble qu'il serait beaucoup plus constructif du coup d'expliquer et d'argumenter au lieu de renvoyer systématique la personne qui pose la question dans ses pénates.
Ta solution alternative rentre dans ce cadre, même si il n'y a pas vraiment d’explications du "pourquoi ce n'est pas faisable avec pfSense".

Nous avons essayé d'échanger il y a quelques mois autour de ce sujet (à propos du proxy HTTP) mais la discussion tourne rapidement court  :( sans que, de mon point de vue, un argumentaire fort soit mis en avant pour justifier qu'il ne faut surtout pas, et ce systématiquement, aller dans cette direction de déploiement d'un package sur pfSense.

Et la réponse n'est pas aussi simple que ça, sauf si le point qui prévaut est de dire que de toute manière c'est mal développé et mal maintenu  ;D