Après « Le pouvoir de nuisance des silos de mail » (également paru sur le Framablog sous le titre « Être un géant du mail, c’est faire la loi… »), après « Fournisseurs d’emails, arrêtez de faire de la merde ! (#PasMonCaca) » et « I don’t want any spam ! », voici la suite de mes aventures avec les spams et les géants du mail.
Attention ! Cet article est erroné ! Tout est de ma faute ! Franck m’a fait remarquer à juste titre que j’avais des erreurs dans mon enregistrement SPF (des adresses IPv6 en /18 à la place de /128). C’était clairement ça qui a fait que Google a accepté du spam.
Je laisse tout de même l’article, par honnêteté.
Son titre était « Être un géant du mail, c’est faire de la merde avec les spams »
Coucou, vous envoyez du spam
Nous avons reçu récemment chez Framasoft un mail de notre registraire de nom de domaine Gandi disant qu’on avait envoyé du spam depuis le domaine framalistes.org.
Jusque-là, rien de bien étrange, il arrive fréquemment que des spammeurs ciblent des listes de diffusions hébergées chez nous et notre antispam n’est pas infaillible (aucun ne l’est).
J’investigue donc et me rends sur la page des archives de la liste.
Pas d’archives. Ok, ce n’est pas aberrant, on a bien le droit de les désactiver.
Je regarde donc la liste des abonnées.
Ah, étrange : c’est une liste à nous, l’association Framasoft.
Et pas juste à nous : réservée (pour éviter que des gens se fassent passer pour nous avec une adresse qui pourrait sembler officielle), avec juste 4 membres de l’équipe technique en abonnés.
Si c’est flou, c’est qu’il y a un loup
Là, je commence à être suspicieux.
Je recherche l’adresse mail de la personne qui a reçu le spam dans les fichiers journaux des serveurs de mails (nous avons plusieurs serveurs qui envoient du mail, pour répartir la charge).
Résultat : rien, zéro, nada, que tchi, peau de balle.
Read the headers, Luke
Bon, là, il faut plonger dans la bouillie d’en-têtes du spam.
Je n’avais pas commencé par là parce que c’est un méli-mélo pas agréable à lire et que c’est encore fortement le matin.
Bref, je m’y mets.
Ah : ça ne vient pas de chez nous.
Mais alors, comment ce spam a-t-il bien pu être accepté ?
On a bien un enregistrement SPF pour dire quels sont les serveurs autorisés à envoyer des mails venant du domaine framalistes.org, un enregistrement DKIM pour l’empreinte publique de la clé qui signe les mails et une politique DMARC qui dit que si un mail n’est pas autorisé via SPF ou que la signature ne correspond pas, il faut le rejeter sans ménagement.
Bref, on est normalement en mode « coupez tout ce qui dépasse ».
Le spam a été accepté pour une raison fort étrange : Google dit que le serveur qui l’a envoyé était bien autorisé dans notre politique SPF.
Received-SPF: pass (google.com: domain of info@framalistes.org designates 2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX as permitted sender) client-ip=2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX;Je ne sais pas si c’est Google qui a fait de la merde ou s’il a été victime d’un empoisonnement de son cache DNS mais voilà : si l’enregistrement SPF qui est dans la zone DNS chez Gandi avait été respecté, ça ne serait pas arrivé.
Conclusion
J’ai encore perdu du temps à cause d’un géant du mail et la fusion du titre de mes 3 articles précédents était trop tentante pour ne pas en faire un nouvel article 😁
Bonjour,
Merci pour ce témoignage très clair et pédagogique.
Vous avez pris soin d’aller au bout du problème, beaucoup y renoncent (ou ne savent pas le faire, ou ne le font pas, ou…).
Question : est-ce que Google offre un outil pour signaler ce genre de chose, les traite, et y répond ?
Bien cordialement,
Marc
> Vous avez pris soin d’aller au bout du problème
Pas trop le choix :
1. je suis payé pour ça ;
2. quand c’est le registraire ou l’hébergeur qui nous prévient d’un truc comme ça, on regarde, car on pourrait tout à fait se faire virer par le registraire ou l’hébergeur.
Gandi m’encourage à contacter la personne qui a signalé le spam. Je vais voir avec elle.
Quant à Google, vu que c’est quelque chose qui sort de l’ordinaire (que ce soit eux qui ne respectent pas le SPF), je doute d’arriver à quelque chose : il faudrait que je trouve un humain à qui parler et Google automatise quasiment tout. Je risque donc de ne pas trouver la case qui va bien pour signaler le problème.
Bonjour,
Je pense que Google ne se trompe pas et qu’il y a surtout une erreur dans votre liste d’include _spf.framasoft.org, en effet deux ipv6 ont un mauvais netmask :
Dig nous renvoie :
_spf.framasoft.org. 1604 IN TXT « v=spf1 mx a ip4:157.90.106.10/32 ip6:2a01:4f8:251:59a6::10/128 ip4:144.76.131.213/32 ip6:2a01:4f8:141:3421::213/18″ » ip4:176.9.118.242/32 ip6:2a01:4f8:151:730a::2/18 ip4:176.9.249.11/32 ip6:2a01:4f8:121:42df::11/128″ » ip4:46.4.82.235/32 ip6:2a01:4f8:202:2281::2/128 ip4:88.99.213.22/32 ip6:2a01:4f8:10a:3e15::2/128″ » ip4:136.243.103.54/32 ip6:2a01:4f8:171:c27::2/128 ip4:176.9.199.8/32 ip6:2a01:4f8:10b:3120::8/128 -all »
On trouve 2a01:4f8:141:3421::213/18 et 2a01:4f8:151:730a::2/18. Cela devrait être des /128 sinon cela fait beaucoup de monde à pouvoir envoyer en IPV6, non ?
Argh 😅
Merci infiniment ! C’était sans aucun doute ça la source du problème 😞
Je tiens à te féliciter pour ton œil de lynx : j’ai bien évidemment relu mon enregistrement SPF pour le vérifier, mais je n’ai rien remarqué.
De rien, content d’avoir d’aidé à nouveau 😉
Pour info, je t’avais filé un coup de main fin 2014/2015 pour la mise en place de BackupPC via SaltStack, ça commence à dater tout ça !
Ah oui, ça date ! On est passés à Borgbackup avec Borgmatic maintenant, c’est plus efficace.