Moi aussi je peux faire de la merde avec les mails 😑

Après « Le pouvoir de nuisance des silos de mail » (égale­ment paru sur le Frama­blog sous le titre « Être un géant du mail, c’est faire la loi… »), après « Four­nis­seurs d’emails, arrê­tez de faire de la merde ! (#PasMonCaca) » et « I don’t want any spam ! », voici la suite de mes aven­tures avec les spams et les géants du mail.


Atten­tion ! Cet article est erroné ! Tout est de ma faute ! Franck m’a fait remarquer à juste titre que j’avais des erreurs dans mon enre­gis­tre­ment SPF (des adresses IPv6 en /18 à la place de /128). C’était clai­re­ment ça qui a fait que Google a accepté du spam.

Je laisse tout de même l’ar­ticle, par honnê­teté.

Son titre était « Être un géant du mail, c’est faire de la merde avec les spams »


Coucou, vous envoyez du spam

Nous avons reçu récem­ment chez Frama­soft un mail de notre regis­traire de nom de domaine Gandi disant qu’on avait envoyé du spam depuis le domaine frama­listes.org.

Jusque-là, rien de bien étrange, il arrive fréquem­ment que des spam­meurs ciblent des listes de diffu­sions héber­gées chez nous et notre anti­spam n’est pas infaillible (aucun ne l’est).

J’in­ves­tigue donc et me rends sur la page des archives de la liste.
Pas d’ar­chives. Ok, ce n’est pas aber­rant, on a bien le droit de les désac­ti­ver.

Je regarde donc la liste des abon­nées.
Ah, étrange : c’est une liste à nous, l’as­so­cia­tion Frama­soft.
Et pas juste à nous : réser­vée (pour éviter que des gens se fassent passer pour nous avec une adresse qui pour­rait sembler offi­cielle), avec juste 4 membres de l’équipe tech­nique en abon­nés.

Si c’est flou, c’est qu’il y a un loup

Là, je commence à être suspi­cieux.
Je recherche l’adresse mail de la personne qui a reçu le spam dans les fichiers jour­naux des serveurs de mails (nous avons plusieurs serveurs qui envoient du mail, pour répar­tir la charge).

Résul­tat : rien, zéro, nada, que tchi, peau de balle.

Read the headers, Luke

Bon, là, il faut plon­ger dans la bouillie d’en-têtes du spam.
Je n’avais pas commencé par là parce que c’est un méli-mélo pas agréable à lire et que c’est encore forte­ment le matin.
Bref, je m’y mets.

Ah : ça ne vient pas de chez nous.
Mais alors, comment ce spam a-t-il bien pu être accepté ?
On a bien un enre­gis­tre­ment SPF pour dire quels sont les serveurs auto­ri­sés à envoyer des mails venant du domaine frama­listes.org, un enre­gis­tre­ment DKIM pour l’em­preinte publique de la clé qui signe les mails et une poli­tique DMARC qui dit que si un mail n’est pas auto­risé via SPF ou que la signa­ture ne corres­pond pas, il faut le reje­ter sans ména­ge­ment.

Bref, on est norma­le­ment en mode « coupez tout ce qui dépasse ».

Le spam a été accepté pour une raison fort étrange : Google dit que le serveur qui l’a envoyé était bien auto­risé dans notre poli­tique SPF.

Received-SPF: pass (google.com: domain of info@framalistes.org designates 2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX as permitted sender) client-ip=2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX;

Je ne sais pas si c’est Google qui a fait de la merde ou s’il a été victime d’un empoi­son­ne­ment de son cache DNS mais voilà : si l’en­re­gis­tre­ment SPF qui est dans la zone DNS chez Gandi avait été respecté, ça ne serait pas arrivé.

Conclu­sion

J’ai encore perdu du temps à cause d’un géant du mail et la fusion du titre de mes 3 articles précé­dents était trop tentante pour ne pas en faire un nouvel article 😁

7 réflexions au sujet de “Moi aussi je peux faire de la merde avec les mails 😑”

  1. Bonjour,
    Merci pour ce témoignage très clair et pédagogique.
    Vous avez pris soin d’aller au bout du problème, beaucoup y renoncent (ou ne savent pas le faire, ou ne le font pas, ou…).
    Question : est-ce que Google offre un outil pour signaler ce genre de chose, les traite, et y répond ?
    Bien cordialement,
    Marc

    Répondre
    • > Vous avez pris soin d’aller au bout du problème

      Pas trop le choix :
      1. je suis payé pour ça ;
      2. quand c’est le registraire ou l’hébergeur qui nous prévient d’un truc comme ça, on regarde, car on pourrait tout à fait se faire virer par le registraire ou l’hébergeur.

      Gandi m’encourage à contacter la personne qui a signalé le spam. Je vais voir avec elle.
      Quant à Google, vu que c’est quelque chose qui sort de l’ordinaire (que ce soit eux qui ne respectent pas le SPF), je doute d’arriver à quelque chose : il faudrait que je trouve un humain à qui parler et Google automatise quasiment tout. Je risque donc de ne pas trouver la case qui va bien pour signaler le problème.

      Répondre
  2. Bonjour,

    Je pense que Google ne se trompe pas et qu’il y a surtout une erreur dans votre liste d’include _spf.framasoft.org, en effet deux ipv6 ont un mauvais netmask :

    Dig nous renvoie :
    _spf.framasoft.org. 1604 IN TXT « v=spf1 mx a ip4:157.90.106.10/32 ip6:2a01:4f8:251:59a6::10/128 ip4:144.76.131.213/32 ip6:2a01:4f8:141:3421::213/18″  » ip4:176.9.118.242/32 ip6:2a01:4f8:151:730a::2/18 ip4:176.9.249.11/32 ip6:2a01:4f8:121:42df::11/128″  » ip4:46.4.82.235/32 ip6:2a01:4f8:202:2281::2/128 ip4:88.99.213.22/32 ip6:2a01:4f8:10a:3e15::2/128″  » ip4:136.243.103.54/32 ip6:2a01:4f8:171:c27::2/128 ip4:176.9.199.8/32 ip6:2a01:4f8:10b:3120::8/128 -all »

    On trouve 2a01:4f8:141:3421::213/18 et 2a01:4f8:151:730a::2/18. Cela devrait être des /128 sinon cela fait beaucoup de monde à pouvoir envoyer en IPV6, non ?

    Répondre

Laisser un commentaire