Moi aussi je peux faire de la merde avec les mails 😑

par

AprĂšs « Le pouvoir de nuisance des silos de mail » (Ă©galement paru sur le Framablog sous le titre « Être un gĂ©ant du mail, c’est faire la loi  »), aprĂšs « Fournisseurs d'emails, arrĂȘtez de faire de la merde ! (#PasMonCaca) » et « I don’t want any spam ! », voici la suite de mes aventures avec les spams et les gĂ©ants du mail.

Attention ! Cet article est erroné ! Tout est de ma faute ! Franck m’a fait remarquer Ă  juste titre que j’avais des erreurs dans mon enregistrement SPF (des adresses IPv6 en /18 Ă  la place de /128). C’était clairement ça qui a fait que Google a acceptĂ© du spam.

Je laisse tout de mĂȘme l’article, par honnĂȘtetĂ©.

Son titre Ă©tait « Être un gĂ©ant du mail, c’est faire de la merde avec les spams »

Coucou, vous envoyez du spam

Nous avons reçu rĂ©cemment chez Framasoft un mail de notre registraire de nom de domaine Gandi disant qu’on avait envoyĂ© du spam depuis le domaine framalistes.org.

Jusque-lĂ , rien de bien Ă©trange, il arrive frĂ©quemment que des spammeurs ciblent des listes de diffusions hĂ©bergĂ©es chez nous et notre antispam n’est pas infaillible (aucun ne l’est).

J’investigue donc et me rends sur la page des archives de la liste.
Pas d’archives. Ok, ce n’est pas aberrant, on a bien le droit de les dĂ©sactiver.

Je regarde donc la liste des abonnées.
Ah, Ă©trange : c’est une liste Ă  nous, l’association Framasoft.
Et pas juste Ă  nous : rĂ©servĂ©e (pour Ă©viter que des gens se fassent passer pour nous avec une adresse qui pourrait sembler officielle), avec juste 4 membres de l’équipe technique en abonnĂ©s.

Si c’est flou, c’est qu’il y a un loup

LĂ , je commence Ă  ĂȘtre suspicieux.
Je recherche l’adresse mail de la personne qui a reçu le spam dans les fichiers journaux des serveurs de mails (nous avons plusieurs serveurs qui envoient du mail, pour rĂ©partir la charge).

Résultat : rien, zéro, nada, que tchi, peau de balle.

Read the headers, Luke

Bon, lĂ , il faut plonger dans la bouillie d’en-tĂȘtes du spam.
Je n’avais pas commencĂ© par lĂ  parce que c’est un mĂ©li-mĂ©lo pas agrĂ©able Ă  lire et que c’est encore fortement le matin.
Bref, je m’y mets.

Ah : ça ne vient pas de chez nous.
Mais alors, comment ce spam a-t-il bien pu ĂȘtre accepté ?
On a bien un enregistrement SPF pour dire quels sont les serveurs autorisĂ©s Ă  envoyer des mails venant du domaine framalistes.org, un enregistrement DKIM pour l’empreinte publique de la clĂ© qui signe les mails et une politique DMARC qui dit que si un mail n’est pas autorisĂ© via SPF ou que la signature ne correspond pas, il faut le rejeter sans mĂ©nagement.

Bref, on est normalement en mode « coupez tout ce qui dépasse ».

Le spam a Ă©tĂ© acceptĂ© pour une raison fort Ă©trange : Google dit que le serveur qui l’a envoyĂ© Ă©tait bien autorisĂ© dans notre politique SPF.

Received-SPF: pass (google.com: domain of info@framalistes.org designates 2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX as permitted sender) client-ip=2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX;

Je ne sais pas si c’est Google qui a fait de la merde ou s’il a Ă©tĂ© victime d’un empoisonnement de son cache DNS mais voilà : si l’enregistrement SPF qui est dans la zone DNS chez Gandi avait Ă©tĂ© respectĂ©, ça ne serait pas arrivĂ©.

Conclusion

J’ai encore perdu du temps Ă  cause d’un gĂ©ant du mail et la fusion du titre de mes 3 articles prĂ©cĂ©dents Ă©tait trop tentante pour ne pas en faire un nouvel article 😁

7 rĂ©flexions au sujet de “Moi aussi je peux faire de la merde avec les mails 😑”

  1. Bonjour,
    Merci pour ce témoignage trÚs clair et pédagogique.
    Vous avez pris soin d’aller au bout du problĂšme, beaucoup y renoncent (ou ne savent pas le faire, ou ne le font pas, ou
).
    Question : est-ce que Google offre un outil pour signaler ce genre de chose, les traite, et y répond ?
    Bien cordialement,
    Marc

    • > Vous avez pris soin d’aller au bout du problĂšme

      Pas trop le choix :
      1. je suis payé pour ça ;
      2. quand c’est le registraire ou l’hĂ©bergeur qui nous prĂ©vient d’un truc comme ça, on regarde, car on pourrait tout Ă  fait se faire virer par le registraire ou l’hĂ©bergeur.

      Gandi m’encourage Ă  contacter la personne qui a signalĂ© le spam. Je vais voir avec elle.
      Quant à Google, vu que c’est quelque chose qui sort de l’ordinaire (que ce soit eux qui ne respectent pas le SPF), je doute d’arriver à quelque chose : il faudrait que je trouve un humain à qui parler et Google automatise quasiment tout. Je risque donc de ne pas trouver la case qui va bien pour signaler le problùme.

  2. Bonjour,

    Je pense que Google ne se trompe pas et qu’il y a surtout une erreur dans votre liste d’include _spf.framasoft.org, en effet deux ipv6 ont un mauvais netmask :

    Dig nous renvoie :
    _spf.framasoft.org. 1604 IN TXT « v=spf1 mx a ip4:157.90.106.10/32 ip6:2a01:4f8:251:59a6::10/128 ip4:144.76.131.213/32 ip6:2a01:4f8:141:3421::213/18″  » ip4:176.9.118.242/32 ip6:2a01:4f8:151:730a::2/18 ip4:176.9.249.11/32 ip6:2a01:4f8:121:42df::11/128″  » ip4:46.4.82.235/32 ip6:2a01:4f8:202:2281::2/128 ip4:88.99.213.22/32 ip6:2a01:4f8:10a:3e15::2/128″  » ip4:136.243.103.54/32 ip6:2a01:4f8:171:c27::2/128 ip4:176.9.199.8/32 ip6:2a01:4f8:10b:3120::8/128 -all »

    On trouve 2a01:4f8:141:3421::213/18 et 2a01:4f8:151:730a::2/18. Cela devrait ĂȘtre des /128 sinon cela fait beaucoup de monde Ă  pouvoir envoyer en IPV6, non ?

      • Je tiens Ă  te fĂ©liciter pour ton Ɠil de lynx : j’ai bien Ă©videmment relu mon enregistrement SPF pour le vĂ©rifier, mais je n’ai rien remarquĂ©.

        • De rien, content d’avoir d’aidĂ© Ă  nouveau 😉
          Pour info, je t’avais filĂ© un coup de main fin 2014/2015 pour la mise en place de BackupPC via SaltStack, ça commence Ă  dater tout ça !

Les commentaires sont fermés.