AprĂšs « Le pouvoir de nuisance des silos de mail » (Ă©galement paru sur le Framablog sous le titre « Ătre un gĂ©ant du mail, câest faire la loiâŠÂ »), aprĂšs « Fournisseurs d'emails, arrĂȘtez de faire de la merde ! (#PasMonCaca) » et « I donât want any spam ! », voici la suite de mes aventures avec les spams et les gĂ©ants du mail.
Attention ! Cet article est erronĂ©Â ! Tout est de ma faute ! Franck mâa fait remarquer Ă juste titre que jâavais des erreurs dans mon enregistrement SPF (des adresses IPv6 en /18
Ă la place de /128
). CâĂ©tait clairement ça qui a fait que Google a acceptĂ© du spam.
Je laisse tout de mĂȘme lâarticle, par honnĂȘtetĂ©.
Son titre Ă©tait « Ătre un gĂ©ant du mail, câest faire de la merde avec les spams »
Coucou, vous envoyez du spam
Nous avons reçu rĂ©cemment chez Framasoft un mail de notre registraire de nom de domaine Gandi disant quâon avait envoyĂ© du spam depuis le domaine framalistes.org.
Jusque-lĂ , rien de bien Ă©trange, il arrive frĂ©quemment que des spammeurs ciblent des listes de diffusions hĂ©bergĂ©es chez nous et notre antispam nâest pas infaillible (aucun ne lâest).
Jâinvestigue donc et me rends sur la page des archives de la liste.
Pas dâarchives. Ok, ce nâest pas aberrant, on a bien le droit de les dĂ©sactiver.
Je regarde donc la liste des abonnées.
Ah, Ă©trange : câest une liste Ă nous, lâassociation Framasoft.
Et pas juste Ă nous : rĂ©servĂ©e (pour Ă©viter que des gens se fassent passer pour nous avec une adresse qui pourrait sembler officielle), avec juste 4 membres de lâĂ©quipe technique en abonnĂ©s.
Si câest flou, câest quâil y a un loup
LĂ , je commence Ă ĂȘtre suspicieux.
Je recherche lâadresse mail de la personne qui a reçu le spam dans les fichiers journaux des serveurs de mails (nous avons plusieurs serveurs qui envoient du mail, pour rĂ©partir la charge).
Résultat : rien, zéro, nada, que tchi, peau de balle.
Read the headers, Luke
Bon, lĂ , il faut plonger dans la bouillie dâen-tĂȘtes du spam.
Je nâavais pas commencĂ© par lĂ parce que câest un mĂ©li-mĂ©lo pas agrĂ©able Ă lire et que câest encore fortement le matin.
Bref, je mây mets.
Ah : ça ne vient pas de chez nous.
Mais alors, comment ce spam a-t-il bien pu ĂȘtre acceptĂ©Â ?
On a bien un enregistrement SPF pour dire quels sont les serveurs autorisĂ©s Ă envoyer des mails venant du domaine framalistes.org, un enregistrement DKIM pour lâempreinte publique de la clĂ© qui signe les mails et une politique DMARC qui dit que si un mail nâest pas autorisĂ© via SPF ou que la signature ne correspond pas, il faut le rejeter sans mĂ©nagement.
Bref, on est normalement en mode « coupez tout ce qui dépasse ».
Le spam a Ă©tĂ© acceptĂ© pour une raison fort Ă©trange : Google dit que le serveur qui lâa envoyĂ© Ă©tait bien autorisĂ© dans notre politique SPF.
Received-SPF: pass (google.com: domain of info@framalistes.org designates 2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX as permitted sender) client-ip=2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX;
Je ne sais pas si câest Google qui a fait de la merde ou sâil a Ă©tĂ© victime dâun empoisonnement de son cache DNS mais voilĂ Â : si lâenregistrement SPF qui est dans la zone DNS chez Gandi avait Ă©tĂ© respectĂ©, ça ne serait pas arrivĂ©.
Conclusion
Jâai encore perdu du temps Ă cause dâun gĂ©ant du mail et la fusion du titre de mes 3 articles prĂ©cĂ©dents Ă©tait trop tentante pour ne pas en faire un nouvel article đ
Bonjour,
Merci pour ce témoignage trÚs clair et pédagogique.
Vous avez pris soin d’aller au bout du problĂšme, beaucoup y renoncent (ou ne savent pas le faire, ou ne le font pas, ouâŠ).
Question : est-ce que Google offre un outil pour signaler ce genre de chose, les traite, et y répond ?
Bien cordialement,
Marc
> Vous avez pris soin dâaller au bout du problĂšme
Pas trop le choix :
1. je suis payé pour ça ;
2. quand câest le registraire ou lâhĂ©bergeur qui nous prĂ©vient dâun truc comme ça, on regarde, car on pourrait tout Ă fait se faire virer par le registraire ou lâhĂ©bergeur.
Gandi mâencourage Ă contacter la personne qui a signalĂ© le spam. Je vais voir avec elle.
Quant Ă Google, vu que câest quelque chose qui sort de lâordinaire (que ce soit eux qui ne respectent pas le SPF), je doute dâarriver Ă quelque chose : il faudrait que je trouve un humain Ă qui parler et Google automatise quasiment tout. Je risque donc de ne pas trouver la case qui va bien pour signaler le problĂšme.
Bonjour,
Je pense que Google ne se trompe pas et qu’il y a surtout une erreur dans votre liste d’include _spf.framasoft.org, en effet deux ipv6 ont un mauvais netmask :
Dig nous renvoie :
_spf.framasoft.org. 1604 IN TXT « v=spf1 mx a ip4:157.90.106.10/32 ip6:2a01:4f8:251:59a6::10/128 ip4:144.76.131.213/32 ip6:2a01:4f8:141:3421::213/18″  » ip4:176.9.118.242/32 ip6:2a01:4f8:151:730a::2/18 ip4:176.9.249.11/32 ip6:2a01:4f8:121:42df::11/128″  » ip4:46.4.82.235/32 ip6:2a01:4f8:202:2281::2/128 ip4:88.99.213.22/32 ip6:2a01:4f8:10a:3e15::2/128″  » ip4:136.243.103.54/32 ip6:2a01:4f8:171:c27::2/128 ip4:176.9.199.8/32 ip6:2a01:4f8:10b:3120::8/128 -all »
On trouve 2a01:4f8:141:3421::213/18 et 2a01:4f8:151:730a::2/18. Cela devrait ĂȘtre des /128 sinon cela fait beaucoup de monde Ă pouvoir envoyer en IPV6, non ?
Argh đ
Merci infiniment ! CâĂ©tait sans aucun doute ça la source du problĂšme đ
Je tiens Ă te fĂ©liciter pour ton Ćil de lynx : j’ai bien Ă©videmment relu mon enregistrement SPF pour le vĂ©rifier, mais je n’ai rien remarquĂ©.
De rien, content d’avoir d’aidĂ© Ă nouveau đ
Pour info, je t’avais filĂ© un coup de main fin 2014/2015 pour la mise en place de BackupPC via SaltStack, ça commence Ă dater tout ça !
Ah oui, ça date ! On est passĂ©s Ă Borgbackup avec Borgmatic maintenant, câest plus efficace.