Moi aussi je peux faire de la merde avec les mails 😑

Après « Le pouvoir de nuisance des silos de mail » (égale­ment paru sur le Frama­blog sous le titre « Être un géant du mail, c’est faire la loi… »), après « Four­nis­seurs d’emails, arrê­tez de faire de la merde ! (#PasMonCaca) » et « I don’t want any spam ! », voici la suite de mes aven­tures avec les spams et les géants du mail.


Atten­tion ! Cet article est erroné ! Tout est de ma faute ! Franck m’a fait remarquer à juste titre que j’avais des erreurs dans mon enre­gis­tre­ment SPF (des adresses IPv6 en /18 à la place de /128). C’était clai­re­ment ça qui a fait que Google a accepté du spam.

Je laisse tout de même l’ar­ticle, par honnê­teté.

Son titre était « Être un géant du mail, c’est faire de la merde avec les spams »


Coucou, vous envoyez du spam

Nous avons reçu récem­ment chez Frama­soft un mail de notre regis­traire de nom de domaine Gandi disant qu’on avait envoyé du spam depuis le domaine frama­listes.org.

Jusque-là, rien de bien étrange, il arrive fréquem­ment que des spam­meurs ciblent des listes de diffu­sions héber­gées chez nous et notre anti­spam n’est pas infaillible (aucun ne l’est).

J’in­ves­tigue donc et me rends sur la page des archives de la liste.
Pas d’ar­chives. Ok, ce n’est pas aber­rant, on a bien le droit de les désac­ti­ver.

Je regarde donc la liste des abon­nées.
Ah, étrange : c’est une liste à nous, l’as­so­cia­tion Frama­soft.
Et pas juste à nous : réser­vée (pour éviter que des gens se fassent passer pour nous avec une adresse qui pour­rait sembler offi­cielle), avec juste 4 membres de l’équipe tech­nique en abon­nés.

Si c’est flou, c’est qu’il y a un loup

Là, je commence à être suspi­cieux.
Je recherche l’adresse mail de la personne qui a reçu le spam dans les fichiers jour­naux des serveurs de mails (nous avons plusieurs serveurs qui envoient du mail, pour répar­tir la charge).

Résul­tat : rien, zéro, nada, que tchi, peau de balle.

Read the headers, Luke

Bon, là, il faut plon­ger dans la bouillie d’en-têtes du spam.
Je n’avais pas commencé par là parce que c’est un méli-mélo pas agréable à lire et que c’est encore forte­ment le matin.
Bref, je m’y mets.

Ah : ça ne vient pas de chez nous.
Mais alors, comment ce spam a-t-il bien pu être accepté ?
On a bien un enre­gis­tre­ment SPF pour dire quels sont les serveurs auto­ri­sés à envoyer des mails venant du domaine frama­listes.org, un enre­gis­tre­ment DKIM pour l’em­preinte publique de la clé qui signe les mails et une poli­tique DMARC qui dit que si un mail n’est pas auto­risé via SPF ou que la signa­ture ne corres­pond pas, il faut le reje­ter sans ména­ge­ment.

Bref, on est norma­le­ment en mode « coupez tout ce qui dépasse ».

Le spam a été accepté pour une raison fort étrange : Google dit que le serveur qui l’a envoyé était bien auto­risé dans notre poli­tique SPF.

Received-SPF: pass (google.com: domain of info@framalistes.org designates 2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX as permitted sender) client-ip=2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX;

Je ne sais pas si c’est Google qui a fait de la merde ou s’il a été victime d’un empoi­son­ne­ment de son cache DNS mais voilà : si l’en­re­gis­tre­ment SPF qui est dans la zone DNS chez Gandi avait été respecté, ça ne serait pas arrivé.

Conclu­sion

J’ai encore perdu du temps à cause d’un géant du mail et la fusion du titre de mes 3 articles précé­dents était trop tentante pour ne pas en faire un nouvel article 😁

Le pouvoir de nuisance des silos de mail

Quand on pense aux GAFAM, on pense surtout à leur vilaine habi­tude d’as­pi­rer les données de leurs utili­sa­teurs (et des autres aussi d’ailleurs) mais on ne pense pas souvent à leur poids déme­suré dans le domaine du mail.

Google, c’est gmail, Micro­soft, c’est hotmail, live, msn et je ne sais quels autres domaines, etc.

Tout ça repré­sente un nombre plus que consé­quent d’uti­li­sa­teurs. Google reven­diquait en 2015 900 millions de comptes Gmail. Bon ok, il y en a une part qui ne doit servir qu’à avoir un compte pour son télé­phone android, mais quand même. C’est énorme.

Je n’ai pas de statis­tiques pour Micro­soft et Yahoo, mais c’est pareil : ils pèsent un certain poids, et même un poids certain.

Ce qui nous ramène à une situa­tion des plus déplai­santes où un petit nombre d’ac­teurs peut en em***er une multi­tude.

Petits exemples vécus :

  • Micro­soft bloque tout nouveau serveur mail qu’il ne connait pas. C’est arrivé pour mon serveur perso, le serveur de mail de Frama­soft que j’ai mis en place, sa nouvelle IP quand je l’ai migré, le serveur de listes de Frama­soft et sa nouvelle IP quand je l’ai migré. Ça me pétait une erreur 554 Message not allowed (de mémoire, je n’ai plus le message sous la main). Et pour trou­ver comment s’en débrouiller, bon courage : la page d’er­reur de Micro­soft n’in­diquait rien. Je n’ai même pas trouvé tout seul (et pour­tant j’ai cher­ché) : c’est un ami qui m’a trouvé la bonne adresse où se faire dé-black­lis­ter (notez au passage qu’il est impos­sible de faire dé-black­lis­ter une adresse ou un bloc d’adresses IPv6).
  • Gmail qui, du jour au lende­main, décide de mettre tous les mails de mon domaine person­nel en spam. Ce qui ne serait pas trop gênant (hé, les faux posi­tifs, ça existe) si ce n’était pour une raison aber­rante (ou alors c’est une sacrée coïn­ci­dence) : ça s’est passé à partir du moment où j’ai activé DNSSEC sur mon domaine. Et ça s’est terminé dès que j’ai ajouté un enre­gis­tre­ment SPF à ce domaine. Or le DNSSEC et le SPF n’ont rien à voir ! Surtout pas dans cet ordre là ! Qu’on ne fasse confiance à un enre­gis­tre­ment SPF que dès lors que le DNS est de confiance (grâce à DNSSEC), soit, mais pourquoi néces­si­ter du SPF si on a du DNSSEC ?
  • Yahoo. Ah, Yahoo. Yahoo a décidé de renfor­cer la lutte contre le spam (bien) mais a de fait cassé le fonc­tion­ne­ment des listes de diffu­sion tel qu’il était depuis des lustres (pas bien). En effet, quand vous envoyez un mail à une liste de diffu­sion, le mail arrive dans les boîtes des abon­nés avec votre adresse comme expé­di­teur, tout en étant envoyé par le serveur de listes. Et Yahoo a publié un enre­gis­tre­ment DMARC indiquant que tout mail ayant pour expé­di­teur une adresse yahoo doit impé­ra­ti­ve­ment prove­nir d’un serveur de Yahoo. C’est bien gentil, mais non seule­ment ça fout en l’air le fonc­tion­ne­ment des listes de diffu­sion, mais surtout ça fout le bazar partout : les serveurs de mail qui respectent les enre­gis­tre­ments DMARC appliquent cette règle, pas que les serveurs de Yahoo. (notez qu’AOL fait la même chose)

On peut le voir, le pouvoir de nuisance de ces trois silos est énorme. Et plus encore dans le cas de Yahoo qui n’im­pacte pas que les commu­ni­ca­tions entre ses serveurs et votre serveur de listes de diffu­sion, mais entre tous les serveurs et votre serveur de listes, pour peu que l’ex­pé­di­teur utilise une adresse yahoo. Et comme il y a encore pas mal de gens possé­dant une adresse yahoo, il y a des chances que vous vous rencon­triez le problème un jour ou l’autre.

Si ces acteurs étaient de tailles modestes, l’en­semble de la commu­nauté pour­rait soit leur dire d’ar­rê­ter leurs bêtises, soit les lais­ser crever dans leurs forte­resses injoi­gnables. Mais ce n’est malheu­reu­se­ment pas le cas 🙁

Une seule solu­tion pour faire cesser ce genre d’abus : la dégoo­gli­sa­tion ! Une décen­tra­li­sa­tion du net, le retour à un Inter­net d’avant, fait de petites briques et pas d’im­menses pans de béton.

EDIT : Orange fait aussi son chieur à coup d’er­reurs Too many connections, slow down. OFR004_104 [104]. C’est telle­ment connu que Google suggère de lui-même wanadoo quand on cherche Too many connections, slow down. Voici la solu­tion que j’ai utili­sée : https://blog.network-studio.fr/2011/06/30/too-many-connec­tions-slow-down/.

Crédits : Illus­tra­tion de Vincent Van Gogh, Joseph Roulin assis

PS : ne me lancez pas sur MailInB­lack, ça me donne des envies de meurtre.