Renforcement du captcha - anti-spam

Salut,
Bon vu qu’on se fait spammer à fond par le biais du site web, j’ai décidé de mettre un captcha image à la place du captcha math. J’ai mis un texte pour conseiller au mal-voyant d’utiliser l’email.

J’ai aussi ajouté les catégories pour que les mails partent tout de suite vers le bon groupe de travail.

https://arn-fai.net/contact

A+,
ljf

Bon ça n’a pas marché, mais le bot choisi toujours la dernière catégorie…

Je viens de comprendre pourquoi on a un bot qui fait ça. Je pense que ça utilise la case « M’envoyer une copie » pour spammer d’autres mails…

Faut bloquer ça mais j’ai vu aucune option évidente dans Drupal pour ça…

Ah mais c’est pas con ça ! Qu’est ce que ça envoie au fait ?

J’ai regardé pour un anti-spam pour discourse il y a ca :

Si je comprends bien ce qu’on voit sur github, c’est un plugin pour que
notre discourse puisse utiliser leur service qui -bien que gratuit dans
le cas d’un site non commercial- reste hébergé chez eux.
Ou est-ce-que je me trompe ?

=> Dans ce cas, est-ce vraiment ce que vous voulez mettre en place ?

J’ai l’impression que seul le plugin est « open-source » et que nous
n’aurons pas la visibilité sur le code qui tourne sur leurs serveurs.
(mais je peux me tromper)
De plus, la partie privée de notre forum sera-t-elle également scannée
par akismet ? Cela signifierait que les efforts que nous faisons pour
protéger nos données seraient mis à mal.
=> à discuter donc, mais il me semble que cela irait à l’encontre de nos
principes.(particulièrement celui de garder la main sur nos données)

… Quand je lis:

« Every 10 minutes, a background job runs that looks for new posts. All
new posts are sent to Akismet to determine if they are spam or not. »
(https://meta.discourse.org/t/discourse-akismet-anti-spam/109337)

… J’ai peur que cela soit clairement le cas.

Amicalement. Legaume.

En voulant corriger une faute d’orthographe dans mon précédent message (que j’avais envoyé par mail) j’ai accédé exceptionnellement au forum.
J’ai eu un moment de flottement en voyant que l’icône de umatrix montrait qu’il avait détecté certaines requêtes « tierces »
Je n’arrive pas à prendre de copie d’écran avec le menu déroulant de umatrix ouvert pour vous montrer. Mais je me suis rendu compte que -d’ors et déjà- le discourse d’ARN avait fait faire des requêtes à mon navigateur en direction d’amazon AWS et de cloudfront.

Après vérification, il semblerait que ce soit uniquement sur ce fil de discussion. Sans doute à cause du contenu du post de Gautgaut ?
J’ai trouvé également une autre page: WiGig - 60 GHz - turfu - arn?
Celle-ci se connecte à generation-nt.
Et umatrix n’a même pas bloqué ces requêtes, ni dans un cas ni dans l’autre.

J’imagine que ce ne sont pas des cas isolés sur notre forum et qu’on peut en trouver d’autres.

Il faut sans doute que je m’habitue à ce genre de chose … ou pas:
je pense continuer avec la mailing-list !

En tous cas, cette histoire d’API akismet ne me plaît pas énormément, je préfère les autres outils d’ARN: Des outils sous notre contrôle, des données sur nos serveurs, et pas de connections en arrière plan à des serveurs qui ne sont pas sur notre infra ou sur l’infra d’associations soeurs.

Ceci-dit, je sais que le spam est un problème compliqué à résoudre et je n’ai malheureusement pas de meilleure proposition à faire en ce domaine.

Le forum se faisait tellement spammer ?

Je te suis totalement sur le fait qu’on doit trouver une solution auto-hébergée; autonome et open-source. Je n’avais pas regardé en détail, mais si effectivement des requetes sont faites vers un autre serveur, alors c’est niet.

Un autre problème c’est que akismet ne bloque pas les messages préventivement. C’est-à-dire que les messages continueraient à etre forwardés sur les mailing lists. Ce n’est qu’au bout de 10 minutes que les messages entrant sont filtrés en spam automatiquement. De la meme manière que @scapharnaum fait actuellement manuellement. Donc pas de grand intéret dans l’état.

Franchement chez moi j’ai le filtre anti-spam de thunderbird qui fonctionne à merveille après lui avoir indiqué une dizaine de fois des messages qui sont des SPAMs et des SPAMs qui sont des messages. Et je crois que c’est entièrement local. Il faudrait simplement un truc comme ca.

Salut,

Je viens de faire une mise à jour du forum+serveur \o/
Du coup pour info, les mails entrants sont gérés par un « module » qui s’appelle mail-receiver… et si je comprends bien c’est du postfix (https://github.com/discourse/mail-receiver/blob/master/Dockerfile).

Du coup il y a peut être moyen de filtrer un peu les mails entrant en durcissant les règles du « /etc/postfix/main.cf » mais comme ça se passe dans un docker faut que je regarde ce qui est faisable. Ça tombe bien ça fait quelques jours que je joue avec postfix et dovecot

Cool!
Si on pouvait ne serait-ce que bloquer les mails qui ne sont pas en Francais, ca règlerait une grosse partie du problème.

Je viens de faire : ‹ smtpd_client_restrictions = reject_rbl_client zen.spamhaus.org ›
Prévenez moi si vous constatez quelque chose d’anormal

Dans le cas du formulaire de contact ça ne va pas marcher car le spam vient de notre formulaire de contact donc de notre serveur mail.

Il suffirait de dénoncer notre serveur mail
Quel est l’IP qui apparaît comme envoyeur (celui du serveur ou celui du bot) ?
Est-ce que vous pensez que ça vaut le coup que j’essaie d’écrire un formulaire dont le nom des champs est dynamique ?

Si jamais vous pensez que c’est utile j’ai écris un truc en php (bon c’est la première fois que je fais du php ) envoi.txt (792 Octets) saisie.txt (651 Octets)

Sinon comme ljf semble dire que le bot de spam prends toujours la dernière catégorie on ne pourrait pas rajouter un section « Je suis un bot » en dernière position ?

J’ai essayé ça a marché pour la moitié des spams.

Il semble qu’on a plus trop de soucis, je clos ce sujet

Ce sujet a été automatiquement fermé après 7 jours. Aucune réponse n’est permise dorénavant.