Après « Le pouvoir de nuisance des silos de mail » (également paru sur le Framablog sous le titre « Être un géant du mail, c’est faire la loi… »), après « Fournisseurs d’emails, arrêtez de faire de la merde ! (#PasMonCaca) » et « I don’t want any spam ! », voici la suite de mes aventures avec les spams et les géants du mail.
Attention ! Cet article est erroné ! Tout est de ma faute ! Franck m’a fait remarquer à juste titre que j’avais des erreurs dans mon enregistrement SPF (des adresses IPv6 en /18
à la place de /128
). C’était clairement ça qui a fait que Google a accepté du spam.
Je laisse tout de même l’article, par honnêteté.
Son titre était « Être un géant du mail, c’est faire de la merde avec les spams »
Coucou, vous envoyez du spam
Nous avons reçu récemment chez Framasoft un mail de notre registraire de nom de domaine Gandi disant qu’on avait envoyé du spam depuis le domaine framalistes.org.
Jusque-là, rien de bien étrange, il arrive fréquemment que des spammeurs ciblent des listes de diffusions hébergées chez nous et notre antispam n’est pas infaillible (aucun ne l’est).
J’investigue donc et me rends sur la page des archives de la liste.
Pas d’archives. Ok, ce n’est pas aberrant, on a bien le droit de les désactiver.
Je regarde donc la liste des abonnées.
Ah, étrange : c’est une liste à nous, l’association Framasoft.
Et pas juste à nous : réservée (pour éviter que des gens se fassent passer pour nous avec une adresse qui pourrait sembler officielle), avec juste 4 membres de l’équipe technique en abonnés.
Si c’est flou, c’est qu’il y a un loup
Là, je commence à être suspicieux.
Je recherche l’adresse mail de la personne qui a reçu le spam dans les fichiers journaux des serveurs de mails (nous avons plusieurs serveurs qui envoient du mail, pour répartir la charge).
Résultat : rien, zéro, nada, que tchi, peau de balle.
Read the headers, Luke
Bon, là, il faut plonger dans la bouillie d’en-têtes du spam.
Je n’avais pas commencé par là parce que c’est un méli-mélo pas agréable à lire et que c’est encore fortement le matin.
Bref, je m’y mets.
Ah : ça ne vient pas de chez nous.
Mais alors, comment ce spam a-t-il bien pu être accepté ?
On a bien un enregistrement SPF pour dire quels sont les serveurs autorisés à envoyer des mails venant du domaine framalistes.org, un enregistrement DKIM pour l’empreinte publique de la clé qui signe les mails et une politique DMARC qui dit que si un mail n’est pas autorisé via SPF ou que la signature ne correspond pas, il faut le rejeter sans ménagement.
Bref, on est normalement en mode « coupez tout ce qui dépasse ».
Le spam a été accepté pour une raison fort étrange : Google dit que le serveur qui l’a envoyé était bien autorisé dans notre politique SPF.
Received-SPF: pass (google.com: domain of info@framalistes.org designates 2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX as permitted sender) client-ip=2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX;
Je ne sais pas si c’est Google qui a fait de la merde ou s’il a été victime d’un empoisonnement de son cache DNS mais voilà : si l’enregistrement SPF qui est dans la zone DNS chez Gandi avait été respecté, ça ne serait pas arrivé.
Conclusion
J’ai encore perdu du temps à cause d’un géant du mail et la fusion du titre de mes 3 articles précédents était trop tentante pour ne pas en faire un nouvel article 😁