Coucou tout le monde,
Vous vous souvenez peut-être de ce sondage sur spf : Sender_Policy_Framework, dkim:DomainKeys_Identified_Mail, etc...
J'avais mis en place spf et dkim chez moi suite à ce sondage. Finalement, ça a surtout augmenté ma "délivrabilité", mais comme outil contre le spam, j'ai l'impression que c'est très moyen. J'imagine que ça a déjà été maintes fois discuté, mais bon, voilà mon compte-rendu.
Au départ je me suis dit que spf pourrait permettre de lutter contre le forgeage de mon domaine. Mais si ça marche pour mon domaine, ça n'est pas forcément le cas pour les autres domaines. Finalement, j'ai trouvé plus simple. Je refuse tout serveur qui prétend s'appeler comme moi. J'oblige les utilisateurs (cercle familial, ça va) à s'authentifier via submission en utilisant reject_auth_login_mismatch dans postfix. Si des utilisateurs veulent utiliser d'autres adresses d'envoi que celle de chez moi, je peux rajouter une liste d'adresses permises avec leur identifiant. Pour mon serveur personnel, c'est suffisant, et ça n'a pas posé problème pour le moment. Je raisonne dans la perspective où tout le monde ferait ainsi: seuls les utilisateurs authentifiés pourraient envoyer des mails, et encore uniquement avec des adresses définies. Ça réduirait sérieusement les sources de spam.
Pour dkim, ça permet aux autres serveurs d'authentifier les mails envoyés par mon serveur, mais ça ne permet pas de rejeter les mails qui ne valident pas le test. Gmail par exemple est souvent relayé d'une manière ou d'une autre, ce qui casse parfois la signature. Je ne vais pour autant tout rejeter. Cependant comme certains noms de domaine ont des signatures qui valident toujours, je pourrais peut-être rejeter les mails qui ne valident pas quand ils viennent de ces domaines.
En fait, je pense que spf et dkim peuvent surtout être utilisés pour scorer des mails dans spamassassin par exemple. Mais les deux normes me paraissent globalement inutiles du point de vue du spam, car aucune des deux ne permet de s'assurer que le message envoyé n'est pas un spam. Rien ne dit que toutes les adresses d'un nom de domaine utiliseront les smtp prévus par les admin de ce nom de domaine pour envoyer leurs mails. Comme le dit Bortzmeyer (cf fin), ce sont des normes qui permettent d'authentifier des serveurs émetteurs. À mon avis elles ne renseignent pas plus a priori que des listes blanches/noires sur le contenu des messages de ces serveurs, non plus qu'elles ne renseignent a priori sur le contenu envoyé par des serveurs non authentifiés. Et pour les deux, le taux de faux-positifs monte vite si on applique bêtement les règles.
Est-ce que vous voyez dans ces normes une utilité que j'ai loupée?
http://www.bortzmeyer.org/authentifier-et-autoriser.html
http://www.postfix.com/postconf.5.html#reject_sender_login_m(...)
Journal Authentifier n'est pas autoriser
18
août
2010
# ouah!
Posté par devnewton 🍺 (site web personnel) . Évalué à 6.
Il est balaise ton cercle familial!
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: ouah!
Posté par llaxe . Évalué à 2.
Mail d'Apple trouve tout seul le bon port, ce qui est plus gênant est les certificats déclarés invalides.
[^] # Re: ouah!
Posté par jeffcom . Évalué à 2.
[^] # Re: ouah!
Posté par Maclag . Évalué à 4.
Ton réseau ne doit pas souffrir de défaut de sécurité permettant l'envoi de spam depuis ton routeur.
Il faut donc des logiciels de protection contre l'envoi de spam, tels que OpenOffice ou les outils cités dans le journal.
Si des spams provenant tout de même de ton routeur sont détectés, tu pourras toujours envoyer ton routeur au ministère pour analyse en guise de bonne foi.
# Utiité de tout celà
Posté par jeffcom . Évalué à 4.
SPF et DKIM sont des méthodes qui permettent de dégager les tentatives d'hameçonnage flagrantes (non, paypal n'utilise pas le serveur SMTP d'Orange) mais sont quasi inutiles dans la lutte contre le spam : elles ne peuvent que donner des éléments en plus, c'est tout.
Pour le spam, une technique d'apprentissage efficace (voire double : spamassassin+filtre thunderbird par exemple, éventuellement adjointe à des RBL) est bien plus intéressent qu'utiliser SPF et/ou DKIM amha
[^] # Re: Utiité de tout celà
Posté par Maxime (site web personnel) . Évalué à 2.
La réponse c'est que mon serveur n'utilise pas SPF et que j'envoie mes mails depuis gmail. Là où je suis embêté c'est que ce domaine il est géré par un membre de ma famille (pas la même famille que l'auteur du journal :P) et que je ne suis pas administrateur dessus.
La solution la plus simple serait visiblement de configurer gmail pour utiliser le serveur smtp de mon compte mail perso. Le problème c'est que ce n'est qu'une redirection de mail et que je sais pas m'authentifier au smtp...
[^] # Re: Utiité de tout celà
Posté par jeffcom . Évalué à 3.
[^] # Re: Utiité de tout celà
Posté par Maxime (site web personnel) . Évalué à 2.
[^] # Re: Utiité de tout celà
Posté par jeffcom . Évalué à 2.
[^] # Re: Utiité de tout celà
Posté par jeffcom . Évalué à 2.
→ tu configures un SPF pour déclarer le serveur gmail comme envoyant légitimement des mails depuis ton domaine et tu configures le reply-to/return-path de ton client mail : ainsi, dans ton mail, est clairement spécifié qu'il faut que les réponses te soient envoyées à ton adresse email et pas celle de gmail.
[^] # Re: Utiité de tout celà
Posté par Maxime (site web personnel) . Évalué à 2.
[^] # Re: Utiité de tout celà
Posté par jeffcom . Évalué à 2.
[^] # Re: Utiité de tout celà
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
Donc, toujours si j'était l'adminstrateur : si tu veux utiliser ton adresse chez moi, tu poste par chez moi. Si tu ne veux pas, tant pis, utilise ton adresse chez Google et fais pas chier.
[^] # Re: Utiité de tout celà
Posté par Maxime (site web personnel) . Évalué à 2.
En fonction de la réponse à ces questions, tu peux peut-être envisager de considérer le serveur de gmail assez sécurisé pour autoriser l'émission d'emails depuis lui.
Cela dit, puisque gmail permet d'utiliser le smtp du compte en question... À voir ce que tu préfères : des gens qui fillent à gmail les identifiants de leur compte smtp sur ton serveur, ou autoriser l'envoi d'emails depuis leurs serveurs ?
[^] # Re: Utiité de tout celà
Posté par llaxe . Évalué à 2.
C'est pour dire que oui les serveurs de gmail sont sécurisés, mais pas toujours très pratiques pour relayer son courrier, à cause de la réécriture d'adresse.
Et ensuite, puisque gmai réécrit les adresses, on ne peut pas détecter lors de la transaction smtp qu'en fait le mail devait à la base être simplement relayé par google. Autoriser l'envoi de mail relayé depuis google ne servira à rien, puisque ça n'existe pas au niveau smtp.
# Rappel : buts de SPF et DKIM
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4.
SPF n'est pas une mesure contre le spam, ni contre l'usurpation d'adresse. En effet :
— il n'empêche pas le spam, qui n'a qu'à être envoyé avec une adresse dans une nom de domaine dédié, ou autorisant n'importe quoi, ou sans politique SPF ;
— il n'empêche pas l'usurpation d'adresse, puisqu'il s'applique à l'adresse d'expéditeur d'enveloppe — MAIL FROM — et que ce que les gens voient, c'est l'adresse d'expéditeur des en-têtes — From.
SPF est une surtout une mesure contre le backscatter, c'est à dire les notifications d'erreurs abusives qui font suite aux spams envoyés avec des adresses d'expéditeur d'enveloppe usurpés.
DKIM n'est pas une mesure contre le spam, ni contre l'usurpation d'adresse. En effet :
— il n'empêche pas le spam, qui n'a qu'à être envoyé avec une adresse depuis un nom de domaine dédié, en signant les messages correctements, ou sans signature DKIM ;
— il n'empêche pas l'usurpation d'adresse, puisqu'à cause de serveurs de ML qui modifient les messages, il ne peut pas être utilisé en blocage.
DKIM est surtout une mesure contre les abus involontaires d'un serveur d'un nom de domaine. En effet, il permet, pour un message donné, d'être sûr qu'il est bien passé par un serveur autorisé pour le nom de domaine qui l'a signé — ou que, si ce n'est pas le cas, c'est la faute de l'admin qui s'est fait voler sa clef privée — et donc d'envoyer un message à <abuse@>.
[^] # Re: Rappel : buts de SPF et DKIM
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Involontaires au sens de : non autorisés par l'adminstrateur et effectués à son insu. C'est à dire les abus d'utilisateurs et les piratages.
Dans le cas d'un administrateur complaisant avec les spammeurs, après en avoir acquis la certitude : blocage complet.
[^] # Re: Rappel : buts de SPF et DKIM
Posté par llaxe . Évalué à 2.
Mais jusque là j'ai l'impression que spf est assez inutile au fond, même pour le backscattering. Il n'est pas possible de distinguer les mails forgés et illégitimes des mails non forgés et légitimes quand ceux-ci sont relayés par des serveurs non autorisés, à part par la quantité de spam, ce qui renvoie au blocage par adresse ip ou nom de domaine. Les politiques spf les plus courantes sont de plus ? ou ~ ce qui n'arrange rien. Mais c'est logique, parce que c'est rare que tous les mails d'un domaine sortent d'une liste précise et fixe de serveurs.
Et merci pour les précisions :)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.