Moi aussi je peux faire de la merde avec les mails 😑

Après « Le pouvoir de nuisance des silos de mail » (égale­ment paru sur le Frama­blog sous le titre « Être un géant du mail, c’est faire la loi… »), après « Four­nis­seurs d’emails, arrê­tez de faire de la merde ! (#PasMonCaca) » et « I don’t want any spam ! », voici la suite de mes aven­tures avec les spams et les géants du mail.


Atten­tion ! Cet article est erroné ! Tout est de ma faute ! Franck m’a fait remarquer à juste titre que j’avais des erreurs dans mon enre­gis­tre­ment SPF (des adresses IPv6 en /18 à la place de /128). C’était clai­re­ment ça qui a fait que Google a accepté du spam.

Je laisse tout de même l’ar­ticle, par honnê­teté.

Son titre était « Être un géant du mail, c’est faire de la merde avec les spams »


Coucou, vous envoyez du spam

Nous avons reçu récem­ment chez Frama­soft un mail de notre regis­traire de nom de domaine Gandi disant qu’on avait envoyé du spam depuis le domaine frama­listes.org.

Jusque-là, rien de bien étrange, il arrive fréquem­ment que des spam­meurs ciblent des listes de diffu­sions héber­gées chez nous et notre anti­spam n’est pas infaillible (aucun ne l’est).

J’in­ves­tigue donc et me rends sur la page des archives de la liste.
Pas d’ar­chives. Ok, ce n’est pas aber­rant, on a bien le droit de les désac­ti­ver.

Je regarde donc la liste des abon­nées.
Ah, étrange : c’est une liste à nous, l’as­so­cia­tion Frama­soft.
Et pas juste à nous : réser­vée (pour éviter que des gens se fassent passer pour nous avec une adresse qui pour­rait sembler offi­cielle), avec juste 4 membres de l’équipe tech­nique en abon­nés.

Si c’est flou, c’est qu’il y a un loup

Là, je commence à être suspi­cieux.
Je recherche l’adresse mail de la personne qui a reçu le spam dans les fichiers jour­naux des serveurs de mails (nous avons plusieurs serveurs qui envoient du mail, pour répar­tir la charge).

Résul­tat : rien, zéro, nada, que tchi, peau de balle.

Read the headers, Luke

Bon, là, il faut plon­ger dans la bouillie d’en-têtes du spam.
Je n’avais pas commencé par là parce que c’est un méli-mélo pas agréable à lire et que c’est encore forte­ment le matin.
Bref, je m’y mets.

Ah : ça ne vient pas de chez nous.
Mais alors, comment ce spam a-t-il bien pu être accepté ?
On a bien un enre­gis­tre­ment SPF pour dire quels sont les serveurs auto­ri­sés à envoyer des mails venant du domaine frama­listes.org, un enre­gis­tre­ment DKIM pour l’em­preinte publique de la clé qui signe les mails et une poli­tique DMARC qui dit que si un mail n’est pas auto­risé via SPF ou que la signa­ture ne corres­pond pas, il faut le reje­ter sans ména­ge­ment.

Bref, on est norma­le­ment en mode « coupez tout ce qui dépasse ».

Le spam a été accepté pour une raison fort étrange : Google dit que le serveur qui l’a envoyé était bien auto­risé dans notre poli­tique SPF.

Received-SPF: pass (google.com: domain of info@framalistes.org designates 2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX as permitted sender) client-ip=2a01:7c8:bb02:XXXX:XXXX:XXXX:XXX:XXXX;

Je ne sais pas si c’est Google qui a fait de la merde ou s’il a été victime d’un empoi­son­ne­ment de son cache DNS mais voilà : si l’en­re­gis­tre­ment SPF qui est dans la zone DNS chez Gandi avait été respecté, ça ne serait pas arrivé.

Conclu­sion

J’ai encore perdu du temps à cause d’un géant du mail et la fusion du titre de mes 3 articles précé­dents était trop tentante pour ne pas en faire un nouvel article 😁