Journal Envoyer des rapports DMARC à des adresses inexistantes

Posté par Glandos le 19 août 2025 à 15:54. Licence CC By‑SA.

Étiquettes :

août

2025

Bonjour tout le monde !

Mon serveur de messagerie électronique utilise une politique DMARC depuis bien longtemps. Mais j'ai également rspamd qui me permet de faire deux choses :

valider la politique DMARC des messages entrants
envoyer des rapports DMARC aux fournisseurs de messagerie de mes messages entrants

On peut voir que le domaine linuxfr.org n'a pas de politique DMARC, mais creditcooperatif.coop en a une assez longue. Dans cette politique, c'est le champ rua qui nous intéresse, c'est une (ou plusieurs) adresses à laquelle envoyer un rapport DMARC avec les succès ou échecs de validation des messages reçus en provenance de ce fournisseur.

Et là, je reçois des messages de retour me disant que l'adresse n'existe pas, comme ces listes de diffusion envoyées au nom de enfance.loisirs@courriel.mairie-toulouse.fr et dont la politique DMARC mentionne l'adresse abuse@courriel.mairie-toulouse.fr:

<abuse@courriel.mairie-toulouse.fr>: host d47.altospam.net[178.170.41.76] said:
    550 "Utilisateur inconnu !" (in reply to RCPT TO command)

Ou encore laposte.net qui a une adresse valide mais dont le serveur refuse les messages (antispam ?) :

<dmarc.agg@laposte.net>: host smtpz4.laposte.net[160.92.124.66] said: 450 4.7.0
    Service refuse. Veuillez essayer plus tard. service refused, please try
    later. LPN007_510 (in reply to end of DATA command)

Petite mention spéciale pour le fournisseur de ecollege.haute-garonne.fr, MailinBlue, qui a une politique fournissant une adresse explicite, mais avec un drôle de retour :

<dmarc@mailinblue.com>: host aspmx.l.google.com[173.194.76.26] said: 550-5.7.1
    The user or domain that you are sending to (or from) has a policy that
    550-5.7.1 prohibited the mail that you sent. Please contact your domain
    550-5.7.1 administrator for further details. For more information, go to
    550 5.7.1  https://support.google.com/a/answer/172179
    5b1f17b1804b1-43d4411f6e4si62900025e9.189 - gsmtp (in reply to RCPT TO
    command)

En gros, pourquoi les administrateurs demandent des rapports s'ils ne veulent pas les recevoir ?

# C'est simple

Posté par pasBill pasGates le 19 août 2025 à 16:14. Évalué à 10 (+9/-0).

Parce que les choses évoluent au fil du temps, ces configs séparées finissent par être en désaccord, les gens qui ont défini les politiques à la base sont parti et la connaissance s'est étiolée etc…

Bref, rien d'anormal.

Répondre
- [^] # Re: C'est simple
  
  Posté par Voltairine le 19 août 2025 à 16:44. Évalué à 5 (+3/-0). Dernière modification le 19 août 2025 à 16:45.
  
  Typiquement Mailinblue qui est devenu Sendinblue puis Brevo…
  
  Répondre
# 550-5.7.1

Posté par eingousef le 19 août 2025 à 18:53. Évalué à 4 (+2/-0). Dernière modification le 20 août 2025 à 09:38.
```
    <dmarc@mailinblue.com>: host aspmx.l.google.com[173.194.76.26] said: 550-5.7.1
    The user or domain that you are sending to (or from) has a policy that
    550-5.7.1 prohibited the mail that you sent. Please contact your domain
    550-5.7.1 administrator for further details. For more information, go to
    550 5.7.1  https://support.google.com/a/answer/172179
    5b1f17b1804b1-43d4411f6e4si62900025e9.189 - gsmtp (in reply to RCPT TO
    command)
```
Des messages de ce genre on peut en recevoir à chaque fois qu'on envoie un message sur une adresse gmail. Même chose avec les adresses hotmail. Tu peux respecter les règles d'émission de Google et de Microsoft à la lettre (SPF+DKIM+DMARC, domaine de la machine correspondant au reverse, etc.), et te retirer de toutes les DNSBL possibles, il y aura toujours une probabilité que ton e-mail soit rejeté avec un message de type "550-5.7.1". Je soupçonne Google et Microsoft de bloquer arbitrairement des ranges d'IP, notamment ceux des hébergeurs, dès qu'ils identifient une IP comme malveillante.

Est-ce qu'il se passe la même chose quand tu essayes d'envoyer un mail à n'importe quelle autre adresse Gmail via ton serveur ?

*splash!*
Répondre
- [^] # Re: 550-5.7.1
  
  Posté par Glandos le 19 août 2025 à 22:20. Évalué à 2 (+0/-0).
  
  Non, heureusement, je peux envoyer des messages à des gens qui sont hébergés par GMail :)
  
  Après, ça peut arriver en spam… ou pas.
  
  Répondre
  - [^] # Re: 550-5.7.1
    
    Posté par xandercagexxx le 21 août 2025 à 12:02. Évalué à 2 (+1/-0).
    
    Si des mails que vous envoyer arrive en spam, il faut dire a vos interlocuteurs de cliquer sur le bouton "ceci n'est pas un spam" pour forcer google a améliorer le score de l'ip émettrice.
    
    Verifier quand même les headers du mail + une petite vérification aussi sur mail-tester.com pour s'assurer qu'il n'y a pas des choses à améliorer de votre côté. Il y a de bon conseils en fonction de la qualité d'un mail (ex : proportion entre quantité de texte et image, si les images ont pas de description, etc).
    
    C'est pas parfait, mais ca aide pas mal à faire les choses mieux 😁😁
    
    Répondre
# DMARC and co

Posté par xandercagexxx le 21 août 2025 à 11:57. Évalué à 4 (+3/-0).

Ce qu'il faut voir c'est que les gros hebergeur, avec leur monopole, peuvent tout faire pour donner l'impression que c'est pas eux le problème.

Par exemple, google va mettre des mails dans le dossier spam, alors qu'ils savent que c'est pas du spam (les headers du mail le stipule) mais il considère qu'un émetteur (ip du serveur smtp) inconnu c'est "louche". Et c'est à l'usager de dire explicitement "c'est pas du spam" pour que google au fur et a mesure change le scoring de cette ip.

En tant qu'émetteur, les gens se disent : "ya un problème avec tel hébergeur car depuis une adresse gmail, les mails arrivent bien directement, je vais donc passer sur gmail". Et hop, google gagne un client de plus sans effort.

La gestions du DMARC c'est pas une obligation, c'est une indication que tu donnes pour la gestion d'un mail entrant. L'hébergeur en fait ce qu'il veut. Par exemple, certains vont quand même livrer un mail même si le DMARC indique "reject"en cas d'erreur SPF ou DKIM.

Pour ce qui est du rua, quand on envoie pas mal de mail (depuis un nom de domaine), on reçoit beaucoup de rapport. Si on comprend pas à quoi cela sert, il peut être tentant de mettre une adresse (pour être considéré comme faisant les choses correctement) mais de pas mettre de vrai boite mail derrière, pour pas être "spammé" de mail avec les rapports xml. Pourtant les rapports peuvent permettre de découvrir qu'il y a de l'usupation d'identité ou autre.

Moi, je met un alias dans le rua, et depuis quelques temps je pointe vers une boîte mail dédié, avec une app d'analyse de rapport dmarc pour faire un vrai suivi. Mais ça prend du temps quand même de suivre ce qui se passe, et donc beaucoup d'entité font juste croire qu'ils suivent correctement les choses, pour rassurer les utilisateurs.

Il faudrait que les propriétaires de domaine qui n'accepte pas les rapports est une note qui dégrade leur réputation, pour que les choses évoluent. Mais c'est pas pour tout de suite. Quand tu vois que gmail à pas un dmarc très restrictif, tu comprends qu'ils ont surtout envie de faire ch*** les petits (ils imposent une qualité de config plus élevé pour les autres que pour eux même).

_dmarc.gmail.com. 600 IN TXT "v=DMARC1; p=none; sp=quarantine; rua=mailto:mailauth-reports@google.com"

On pourrait s'attendre quand même à quelque chose de plus restrictif, de la part d'un géant, non ? 🤣🤣🤣🤣

Répondre
- [^] # Re: DMARC and co
  
  Posté par Framasky (site web personnel) le 22 août 2025 à 07:02. Évalué à 2 (+0/-0).
  
  Tiens, t'utilises quoi pour l'analyse de tes rapports ?
  Moi j'utilise plusieurs trucs :
  - dmarcts (web), qui n'analyse pas vraiment, mais permet de voir les rapports en bloc avec un indicateur visuel de ok/pas ok, et de filtrer les rapports
  - un gros bousin web fourni via un docker-compose qui intègre Elasticsearch et Grafana et qui fait des graphes sympa. J'me rappelle plus du nom. Dmarc-analyzer, ou un truc du genre.
  - dmarc-cat (CLI), que j'ai enveloppé dans un petit script et qui me permet de lire les infos d'un rapport directement depuis mon client mail en faisant « ouvrir avec » sur la pièce jointe et paf, j'ai la sortie de dmarc-cat dans une pop-up.
  
  Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.
  
  Répondre
  - [^] # Re: DMARC and co
    
    Posté par xandercagexxx le 22 août 2025 à 09:33. Évalué à 3 (+2/-0). Dernière modification le 22 août 2025 à 09:35.
    
    J'ai mis ça en place dmarc-report-viewer
    
    Ce qui est super pratique :
    - tu fais arriver les rapports dmarc de tous les domaines que tu gères dans la même boîte mail
    - tu configures l'accès imap sur la boîte (lecture seul)
    - l'outil s'occupe d'agréger les informations directement par domaine et quelques soit le format de la pièce jointe (gzip ou xml direct)
    - ya un des écrans qui te permet de voir super facilement là où il y a des problèmes (vu en colonne, trié par date
    
    C'est la version docker que j'utilise.
    
    C'est pas gourmand en ressources, c'est très basique et ça fait bien le taf je trouve 😎
    
    Répondre
    - [^] # Re: DMARC and co
      
      Posté par Voltairine le 22 août 2025 à 14:19. Évalué à 2 (+0/-0).
      
      Merci beaucoup. 🙂
      Je cherchais un outil de ce type et j'étais passée à côté de celui-ci. C'est parfait pour mon usage.
      
      Répondre

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.