La declaration SPF est parfaitement compatible avec la délégation. Elle ne casse rien.
C'est exactement la configuration qu'on utilise dans la boite pour laquelle je travaille.
D'ailleurs, pour l'anecdote, jusqu'à ce que je leur propose de faire une déclaration SPF dans notre DNS, certains clients et partenaires recevaient systématiquement nos mails en tant que SPAM (voir ne recevaient qu'une partie des mails). Et je parle ici de gros acteurs de l'industrie et des telecom. L'idée que je propose ici n'est donc ni nouvelle ni délirante. Je propose une implémentation simple et consommant peu de ressources. Comment regler ce type de comportement de spf-policyd est également une question que j'ai déjà croisé dans plusieurs forums.
La whitelist permet de ne pas rejeter les mails qui sont relayés par les gros FAI et dont le domaine d'émission ne déclarent pas de SPF. Ce qui est souvent le cas pour des petites entreprises sans informaticien qui disposent juste d'une plateforme d'e-commerce par exemple. Sachant que les FAI en question font déjà ce travaille de filtrage sur leur serveurs relais.
Comme je l'expliquais dans un autre commentaire, les autres restrictions sont toujours parfaitement opérationnelles. Le check SPF étant effectué en fin de séquence de toutes les autres policy.
Le check SPF vient en dernier après tous les autres check de postfix. Si le mail tente de spoofer un des domaines whitelisté, il est rejeté avant par les autres restrictions de type recipient_restrictions, sender_restrictions et helo_restrictions.
Avec dans l'ordre date, expediteur, serveur délivrant le mail, destinataire.
En mettant ça dans un cron ou un timer systemd, il est possible de se l'envoyer par mail X fois par semaine pour monitorer ce qui se passe sur le serveur.
Attention, tu modifies un fichier géré par un paquet Debian. Lors d'une mise à jour du paquet ton patch sautera.
Tu as raison. Étant donné que je présente la modif comme un hack, c’était pour moi implicite. Mais l'explicite étant préférable, j'aurais dû le préciser.
Merci pour l'info. Cela fait étonnamment peu de spam. Ton retour sur les SPAM avec des SPF corrects m'interroge. C'est quelque chose que je n'ai, pour le moment, pas constaté.
C'est un serveur d'entreprise ou un de type familiale ? Du genre avec des enfants qui renseignent leur adresse mail dans tous les sites qu'il croisent '
Si tu passe l'intro un peu putacière, je te le concède, tu verras qu'en fin d'article je parle de whitelist. De fait, je n'impose rien a qui que ce soit. Si je ne reçois pas le mail d'un domaine sans SPF configuré (ce qui n'est pas tout a fait RCF 7208 complient j'en conviens). Je l'ajoute simplement en whitelist.
J'ai constaté que la plupart du temps lorsque je recevais un mail d'une entreprise française avec un SPF non configuré, elle passait simplement par les serveurs relais de sont FAI. Ces domaines sont présents dans la whitelist que je donne.
J'admets que la gestion de la whitelist peut être rebutante, mais avec celle que je donne dans ce journal, je couvre déja une bonne partie des expediteurs francais dont le SPF n'est pas configuré.
Même s'il s'agit la d'un troll grossier envers mon article, je dois admettre que j'ai rit.
Tu parles ici d'administrateurs amateurs. Ta réflexion est intéressante. J'ai vu ici même, sur linuxfr, nombre de commentaires de personnes disant ne pas vouloir administrer leur probre serveur de messagerie principalement a cause du problème de spam.
Si on met de coté la question de la configuration initiale et la sécurisation du serveur, l'installation et la gestion des services antiSPAM est une horreur. Et même avec dkim,dmarc, etc, il y a toujours des faux positifs/négatifs.
Mon but ici est de proposer une petite modif toute bête qui peut permettre a ceux qui voudraient se lancer dans la décentralisation de leur boite mail une solution simple et efficace.
Pour info, mes adresses mails sont exposées sur mon site web a la merci des robots spammeurs. Et cette simple modif me permet d'être malgres tout serein.
Mais tu as raison on peut aussi laisser les "pro" faire et utiliser les services gratuits d'outlook et de gmail.
C'est pourtant le choix que Google a fait pour gmail.
Si tu as déjà tenté d'envoyer un mail depuis ton domaine vers un gmail sans SPF, tu as du constaté assez rapidement qu'ils sont tous rejetés avec un beau message du type "no SPF record found".
Pour mon information, combien de SPAM sur la même période sont rejetés avec un SPF invalide ? Je suis curieux de connaitre le ratio.
J'ai l'impression que c'est plus une question de perception.
De mon point de vue, l'internet des années 2000 était surtout un internet de geek. Soit tu étais geek (au moins un peu) soit tu n'avais pas internet. Du coup, mécaniquement, lorsque tu croisais quelqu'un, il avait quasi systématiquement le même goût que toi pour l'informatique et le bidouillage, une bonne dose de curiosité, une envie partage et respectait globalement la netiquette.
Ces gens la existent toujours, je dirais même qu'il y en a plus qu'avant. Le truc, c'est que maintenant, internet est devenu un support de nombreux services commerciaux, dont les réseaux sociaux font parties. Il y a donc eu un afflux massif de gens non concernés par les point que j’évoquais ci dessus. Il est donc plus difficile qu'avant de trouver, dans la masse, des gens qui partagent les mêmes valeurs que toi.
Alors oui, ça fait rager de voir des gens qui ne comprennent rien utiliser le même support que nous, en faisant n'importe quoi, se faire pigeonner et en redemander. Mais c'est aussi cet afflux de consommateurs qui a permis le développement massif des technologies de la communication qu'on peut utiliser aujourd’hui.
Pour ce qui est du smartphone je suis assez d'accord avec toi. Mais pour ma part je pense que c'est plus un problème de contexte d'utilisation. Un smartphone c'est un outil de consultation, pas de production. Le but est de pouvoir accéder à des information en tout lieux la ou c’était impossible avant. Par contre c'est clairement pas du tout ergonomique pour coder, écrire du texte long, ou communiquer de manière construite et asynchrone. Mais pour ça, rien n'a pas changé, on a toujours nos bon vieux PC.
Personnellement, de mon coté, j'ai un serveur mail et un site web hébergé sur un raspberry à 30 balles sur une connexion fibre gigabit moins chère qu'un abonnement france télécom d'il y a 20 ans.
Pour ce qui est de la censure, bah perso je l'ai pas vraiment ressenti, un switch de DNS et terminé, profit plus de censure.
Je pense que le problème d'internet d'aujourd'hui c'est plus la standardisation des relations humaines et les services qui veulent meuler notre attention dans des feeds infini. Mais en vérité, il est toujours en notre pouvoir de créer des communautés de gens courtois, curieux et intéressants avec qui on peut échanger sur des outils décentralisés ou indépendants (merci linuxfr ;P).
Par contre ce n'est pas chez moi, je pense qu'en effet avec une IP de FAI c'est peine perdue.
C'est tout à fait possible d’héberger son serveur chez soi sans être blacklisté. C'est ce que je fais depuis plus de 10 ans en étant passé par tous les grands opérateur (Sauf Orange).
Il faut juste respecter 3 étapes :
1. Configurer correctement l'annonce SPF sur le DNS qui gère ton domaine.
2. Utiliser le formulaire de la PBL de spamhaus pour sortir l'IP de ton serveur des listes d'IPs "non légitime".
3. Profit
Mes mails sont acceptés partout sans se retrouvés dans les indésirables, y compris vers les trucs privateurs comme gmail, outlook, etc.
Pour ce qui est du spf, dans presque tous les cas, un simple "v=spf1 a mx -all" est suffisant.
Dans mon cas, j'ai un serveur de mail auto-hébergé qui tourne sur un raspberry pi. Quand le raspberry n'existait pas encore, j'avais modifié un serveur NAS pour le faire tourner sous Debian (mais ça remonte à pas mal d'années).
Le plus compliqué ça a été de trouvé une solution efficace contre les spam.
Et pour les tentatives de bruteforce, sur les ports permettant la connexion IMAPS et SMTPS, j'ai simplement rendu obligatoire la présentation d'un certificat signé par ma PKI perso.
C'est du boulot de configuration initial, mais quel bonheur de pouvoir inventer des adresses mail à la volée, d'avoir autant de place qu'on veut et d'envoyer des pièces jointes de 100Mo.
[^] # Re: navigation
Posté par Selenith (site web personnel) . En réponse au journal La richesse des ultra-riches, à raison de 1000 USD par pixel. Évalué à 9.
Il est possible d'utiliser la flèche directionnelle droite. C'est un peu plus rapide et plus agréable.
# Complement
Posté par Selenith (site web personnel) . En réponse au lien Les vrais sysadmins n'utilisent pas sudo - redhat.com. Évalué à 5.
Ce lien vient en complément d'un article ecrit par dimitry khlebnikov sur lequel je suis tombé il y a quelques mois.
[^] # Re: Pas convaincu
Posté par Selenith (site web personnel) . En réponse au journal Atomisation des SPAM (postfix) : Hack de spf-policyd. Évalué à 1.
La declaration SPF est parfaitement compatible avec la délégation. Elle ne casse rien.
C'est exactement la configuration qu'on utilise dans la boite pour laquelle je travaille.
D'ailleurs, pour l'anecdote, jusqu'à ce que je leur propose de faire une déclaration SPF dans notre DNS, certains clients et partenaires recevaient systématiquement nos mails en tant que SPAM (voir ne recevaient qu'une partie des mails). Et je parle ici de gros acteurs de l'industrie et des telecom. L'idée que je propose ici n'est donc ni nouvelle ni délirante. Je propose une implémentation simple et consommant peu de ressources. Comment regler ce type de comportement de spf-policyd est également une question que j'ai déjà croisé dans plusieurs forums.
La whitelist permet de ne pas rejeter les mails qui sont relayés par les gros FAI et dont le domaine d'émission ne déclarent pas de SPF. Ce qui est souvent le cas pour des petites entreprises sans informaticien qui disposent juste d'une plateforme d'e-commerce par exemple. Sachant que les FAI en question font déjà ce travaille de filtrage sur leur serveurs relais.
Comme je l'expliquais dans un autre commentaire, les autres restrictions sont toujours parfaitement opérationnelles. Le check SPF étant effectué en fin de séquence de toutes les autres policy.
[^] # Re: moui
Posté par Selenith (site web personnel) . En réponse au journal Atomisation des SPAM (postfix) : Hack de spf-policyd. Évalué à 2.
Le check SPF vient en dernier après tous les autres check de postfix. Si le mail tente de spoofer un des domaines whitelisté, il est rejeté avant par les autres restrictions de type recipient_restrictions, sender_restrictions et helo_restrictions.
[^] # Re: Détection pour ajout en liste blanche
Posté par Selenith (site web personnel) . En réponse au journal Atomisation des SPAM (postfix) : Hack de spf-policyd. Évalué à 2. Dernière modification le 22 avril 2021 à 21:31.
Je me construis un rapport d’après les fichiers de log sur serveur.
Je commence par un simple grep en cherchant les messages jetés à cause du SPF :
Mais vu que c'est assez illisible, je capture les infos pertinentes, (from, to et helo) avec sed et je les formate avec column:
Ca me donne un truc du genre :
Avec dans l'ordre date, expediteur, serveur délivrant le mail, destinataire.
En mettant ça dans un cron ou un timer systemd, il est possible de se l'envoyer par mail X fois par semaine pour monitorer ce qui se passe sur le serveur.
[^] # Re: modification de fichiers gérés par un paquet
Posté par Selenith (site web personnel) . En réponse au journal Atomisation des SPAM (postfix) : Hack de spf-policyd. Évalué à 1.
Tu as raison. Étant donné que je présente la modif comme un hack, c’était pour moi implicite. Mais l'explicite étant préférable, j'aurais dû le préciser.
[^] # Re: Pas convaincu
Posté par Selenith (site web personnel) . En réponse au journal Atomisation des SPAM (postfix) : Hack de spf-policyd. Évalué à 1.
Merci pour l'info. Cela fait étonnamment peu de spam. Ton retour sur les SPAM avec des SPF corrects m'interroge. C'est quelque chose que je n'ai, pour le moment, pas constaté.
C'est un serveur d'entreprise ou un de type familiale ? Du genre avec des enfants qui renseignent leur adresse mail dans tous les sites qu'il croisent '
Si tu passe l'intro un peu putacière, je te le concède, tu verras qu'en fin d'article je parle de whitelist. De fait, je n'impose rien a qui que ce soit. Si je ne reçois pas le mail d'un domaine sans SPF configuré (ce qui n'est pas tout a fait RCF 7208 complient j'en conviens). Je l'ajoute simplement en whitelist.
J'ai constaté que la plupart du temps lorsque je recevais un mail d'une entreprise française avec un SPF non configuré, elle passait simplement par les serveurs relais de sont FAI. Ces domaines sont présents dans la whitelist que je donne.
[^] # Re: Autre astuce à utiliser ou non en combinaison avec la solution proposée dans ce journal
Posté par Selenith (site web personnel) . En réponse au journal Atomisation des SPAM (postfix) : Hack de spf-policyd. Évalué à 0.
sfr.fr et free.fr, par exemple, sont utilisés comme serveurs relais par nombre de serveurs de petites entreprises dont ils sont le FAI.
Tu te retrouve donc avec un serveur en xxxxxx.sfr.fr qui te délivre un mail de jean-michel@super-plaquiste.fr.
J'admets que la gestion de la whitelist peut être rebutante, mais avec celle que je donne dans ce journal, je couvre déja une bonne partie des expediteurs francais dont le SPF n'est pas configuré.
[^] # Re: Autre astuce à utiliser ou non en combinaison avec la solution proposée dans ce journal
Posté par Selenith (site web personnel) . En réponse au journal Atomisation des SPAM (postfix) : Hack de spf-policyd. Évalué à 1.
Même s'il s'agit la d'un troll grossier envers mon article, je dois admettre que j'ai rit.
Tu parles ici d'administrateurs amateurs. Ta réflexion est intéressante. J'ai vu ici même, sur linuxfr, nombre de commentaires de personnes disant ne pas vouloir administrer leur probre serveur de messagerie principalement a cause du problème de spam.
Si on met de coté la question de la configuration initiale et la sécurisation du serveur, l'installation et la gestion des services antiSPAM est une horreur. Et même avec dkim,dmarc, etc, il y a toujours des faux positifs/négatifs.
Mon but ici est de proposer une petite modif toute bête qui peut permettre a ceux qui voudraient se lancer dans la décentralisation de leur boite mail une solution simple et efficace.
Pour info, mes adresses mails sont exposées sur mon site web a la merci des robots spammeurs. Et cette simple modif me permet d'être malgres tout serein.
Mais tu as raison on peut aussi laisser les "pro" faire et utiliser les services gratuits d'outlook et de gmail.
[^] # Re: Pas convaincu
Posté par Selenith (site web personnel) . En réponse au journal Atomisation des SPAM (postfix) : Hack de spf-policyd. Évalué à 1. Dernière modification le 22 avril 2021 à 16:51.
C'est pourtant le choix que Google a fait pour gmail.
Si tu as déjà tenté d'envoyer un mail depuis ton domaine vers un gmail sans SPF, tu as du constaté assez rapidement qu'ils sont tous rejetés avec un beau message du type "no SPF record found".
Pour mon information, combien de SPAM sur la même période sont rejetés avec un SPF invalide ? Je suis curieux de connaitre le ratio.
# C'est pas si pire
Posté par Selenith (site web personnel) . En réponse au journal Nostalgie d'Internet des années 2000.. Évalué à 10. Dernière modification le 11 avril 2021 à 14:32.
J'ai l'impression que c'est plus une question de perception.
De mon point de vue, l'internet des années 2000 était surtout un internet de geek. Soit tu étais geek (au moins un peu) soit tu n'avais pas internet. Du coup, mécaniquement, lorsque tu croisais quelqu'un, il avait quasi systématiquement le même goût que toi pour l'informatique et le bidouillage, une bonne dose de curiosité, une envie partage et respectait globalement la netiquette.
Ces gens la existent toujours, je dirais même qu'il y en a plus qu'avant. Le truc, c'est que maintenant, internet est devenu un support de nombreux services commerciaux, dont les réseaux sociaux font parties. Il y a donc eu un afflux massif de gens non concernés par les point que j’évoquais ci dessus. Il est donc plus difficile qu'avant de trouver, dans la masse, des gens qui partagent les mêmes valeurs que toi.
Alors oui, ça fait rager de voir des gens qui ne comprennent rien utiliser le même support que nous, en faisant n'importe quoi, se faire pigeonner et en redemander. Mais c'est aussi cet afflux de consommateurs qui a permis le développement massif des technologies de la communication qu'on peut utiliser aujourd’hui.
Pour ce qui est du smartphone je suis assez d'accord avec toi. Mais pour ma part je pense que c'est plus un problème de contexte d'utilisation. Un smartphone c'est un outil de consultation, pas de production. Le but est de pouvoir accéder à des information en tout lieux la ou c’était impossible avant. Par contre c'est clairement pas du tout ergonomique pour coder, écrire du texte long, ou communiquer de manière construite et asynchrone. Mais pour ça, rien n'a pas changé, on a toujours nos bon vieux PC.
Personnellement, de mon coté, j'ai un serveur mail et un site web hébergé sur un raspberry à 30 balles sur une connexion fibre gigabit moins chère qu'un abonnement france télécom d'il y a 20 ans.
Pour ce qui est de la censure, bah perso je l'ai pas vraiment ressenti, un switch de DNS et terminé,
profitplus de censure.Je pense que le problème d'internet d'aujourd'hui c'est plus la standardisation des relations humaines et les services qui veulent meuler notre attention dans des feeds infini. Mais en vérité, il est toujours en notre pouvoir de créer des communautés de gens courtois, curieux et intéressants avec qui on peut échanger sur des outils décentralisés ou indépendants (merci linuxfr ;P).
# L'évolution
Posté par Selenith (site web personnel) . En réponse au journal Acronymes incrémentaux. Évalué à 10. Dernière modification le 02 avril 2021 à 13:18.
Moi quand je serais grand je veux être un TriceratOps !
Crédit de l'image : A Cloud Guru
[^] # Re: Je suis un moralisateur à deux balles
Posté par Selenith (site web personnel) . En réponse au journal Linux ne m'intéresse plus. Évalué à 7. Dernière modification le 10 décembre 2020 à 13:46.
C'est tout à fait possible d’héberger son serveur chez soi sans être blacklisté. C'est ce que je fais depuis plus de 10 ans en étant passé par tous les grands opérateur (Sauf Orange).
Il faut juste respecter 3 étapes :
1. Configurer correctement l'annonce SPF sur le DNS qui gère ton domaine.
2. Utiliser le formulaire de la PBL de spamhaus pour sortir l'IP de ton serveur des listes d'IPs "non légitime".
3. Profit
Mes mails sont acceptés partout sans se retrouvés dans les indésirables, y compris vers les trucs privateurs comme gmail, outlook, etc.
Pour ce qui est du spf, dans presque tous les cas, un simple "v=spf1 a mx -all" est suffisant.
[^] # Re: [HS] et comment héberges-tu tes mails ?
Posté par Selenith (site web personnel) . En réponse au journal Les adresses mail personnelles et les comptes en lignes. Évalué à 1.
Dans mon cas, j'ai un serveur de mail auto-hébergé qui tourne sur un raspberry pi. Quand le raspberry n'existait pas encore, j'avais modifié un serveur NAS pour le faire tourner sous Debian (mais ça remonte à pas mal d'années).
Le plus compliqué ça a été de trouvé une solution efficace contre les spam.
Et pour les tentatives de bruteforce, sur les ports permettant la connexion IMAPS et SMTPS, j'ai simplement rendu obligatoire la présentation d'un certificat signé par ma PKI perso.
C'est du boulot de configuration initial, mais quel bonheur de pouvoir inventer des adresses mail à la volée, d'avoir autant de place qu'on veut et d'envoyer des pièces jointes de 100Mo.