OVH Community, votre nouvel espace communautaire.

Modifier le champs SPF


fritz2cat
08/07/2016, 19h26
Les spammeurs n'ont pas ta base de données de destinataires (j'espère)

GraphiqueDesign
08/07/2016, 19h16
Bonjour Nowwhat
Le DKIM m'a été fourni par Acymailing que j'ai collé sur mon site dans le but de diffuser une lettre mensuelle. Le DMARC, j'ai suivi un tuto.

En fait, c'est après avoir envoyé mon premier bulletin que j'ai été assailli de spams vérolés signés de mon propre nom de domaine. L'idée en venant ici était de chercher une solution afin de faire cesser cela.

Sinon, la hotline me dit :

"Le champs SPF restera tel qu'il est à l'exception du tilde qui deviendra un tiret (-), ceci est dans le but d'accentuer la restriction de réception de mails SPAM"

Ce que j'aurai bien voulu savoir, accentuer la restriction de réception de mails spam uniquement chez moi (comme si je mettais en place un filtrage) ou chez tous ceux qui les reçoivent ? Moi, cela ne me dérange pas de recevoir ces spams puisque je sais !

Merci pour vos diverses interventions. Finalement, envoyer un simple courrier collectif à quelques personnes aura généré beaucoup de spam encore, malgré les dispositions que j'aurai pris (DKIM & DMARC).

fritz2cat
08/07/2016, 18h06
Faire marcher SPF et DKIM avant d'imaginer de commencer à utiliser DMARC avec policy=reject
Ne brûlons pas les étapes, même OVH.com est en phase de collecte d'informations sans policy. Et OVH.net n'a pas de DMARC..

Nowwhat
08/07/2016, 16h16
Qui ajoute ton DKIM ?
DMARC ?

GraphiqueDesign
07/07/2016, 22h35
Hello Nowwhat !

La partie important est:

Code:
Authentication-Results: mx.google.com;
       dkim=pass header.i=@papy-team.org;
       spf=pass (google.com: domain of nowwhat@papy-team.org designates 2001:41d0:2:927b::10 as permitted sender) smtp.mailfrom=nowwhat@papy-team.org;
       dmarc=pass (p=REJECT dis=NONE) header.from=papy-team.org
Voici pour moi, tiré de l'entête dans Gmail à partir d'un envoi via mon site :

Code:
Authentication-Results: mx.google.com;
       dkim=pass header.i=@graphiquedesign-bf.com;
       spf=pass (google.com: domain of bounce-id=d189=u51255.start.ovh.net=1467918770.47-las6g@110-prod.mail-out.ovh.net designates 178.33.253.138 as permitted sender) smtp.mailfrom=bounce-id=D189=U51255.start.ovh.net=1467918770.47-LAS6G@110-prod.mail-out.ovh.net;
       dmarc=pass (p=NONE dis=NONE) header.from=graphiquedesign-bf.com
J'ai juste mon serveur MX qui n'est pas reconnu et qui me pénalise.
Mon SpamTest me dit :

Nous n'avons pas trouvé de serveur mail (MX Record) derrière votre nom de domaine 110-prod.mail-out.ovh.net.
Vous devriez publier une entrée DNS (de type MX) sur votre nom de domaine 110-prod.mail-out.ovh.net ou utiliser une adresse de rebond différente.
Merci à toi, je comprends un peu mieux.

Nowwhat
07/07/2016, 21h56

T'as raison. J'ai pas vu ce petit "include;".
Bien vu

buddy
07/07/2016, 20h49
quand il y a include:mx.ovh.com dans le SPF çà veut dire que çà récupère le SPF de mx.ovh.com

Nowwhat
07/07/2016, 20h32
Citation Envoyé par GraphiqueDesign
....
Le MX d'OVH est bien OVH.net alors que le spf est lui en OVH.com ... Ça veut dire que ça ne fonctionne même pas si on laisse les réglages en l'état ?
J'ai fait ce test :
root@ns311465:~# host mx.ovh.net
Host mx.ovh.net not found: 3(NXDOMAIN)
Donc : ce host n'existe pas. Il n'a pas d'IP.

Un autre test (moins significatif, mais la partie DNS va tout dire) :
root@ns311465:~# ping mx.ovh.net
ping: unknown host mx.ovh.net
Citation Envoyé par GraphiqueDesign
....
"SI tu désire envoyer tes mails à partir de gmail, mais tu déclare que l'émetteur est uniquement info(at)graphiquedesign.com pense à ajouter le MX de gmail à ton champ SPF !!!! Car le MX sera lui de .... gmail"

Alors pourquoi ai-je dû paramétrer Gmail avec le pop et le SMTP d'OVH afin de pouvoir envoyer un courriel en info(at)graphi... ? Est-ce Gmail qui envoit ou le smpt d'OVH ?
De mémoire, t'as le choix !
(il faut que je teste ça pour meiux répondre)
Mais si gmail utilise le serveur SMTP de ton domaine, c'est gmail qui dépose le mail pour transport chez ton serveur mail - et gmail va jouer le 'client mail' (comme Outlook, de Office, Thunderbird, etc).
Dans ce cas : l'émetteur sera ton serveur mail, donc inutile de modifier le SPF.

Citation Envoyé par GraphiqueDesign
....
Je reste malheureusement très hermétique à toutes ces explications, d'autant + que pour tester différentes formulations, ce n'est pas évident vus les délais de mise en place.
C'est vrai, les changement DNS peuvent durer quelques heures - chez OVH même plus longue.

Citation Envoyé par GraphiqueDesign
....
Même soucis pour mailtesteur, le testeur d'Acy que j'utilise reconnait mon DKIM alors que mail testeur ne le reconnait pas. Ensuite, sur les 2 testeurs, aucun ne reconnait mon serveur MX vu qu'il est en OVH.net au lieu d'être en graphiquedesign-bf.com !
gmail est aussi un bon testeur !!!
Envoi un mail à partir de ton domaine vers ton gmail.
Puis, regarde la source de ton mail reçu coté gmail ("Afficher l'original").
Il te diras tout:
Genre :
Code:
Delivered-To: mon@gmail.com
Received: by 10.107.32.213 with SMTP id g204csp1519651iog;
        Thu, 7 Jul 2016 11:26:43 -0700 (PDT)
X-Received: by 10.194.104.134 with SMTP id ge6mr1553869wjb.157.1467916003196;
        Thu, 07 Jul 2016 11:26:43 -0700 (PDT)
Return-Path: 
Received: from mail.papy-team.org (mail.papy-team.org. [2001:41d0:2:927b::10])
        by mx.google.com with ESMTPS id w9si3209177wjz.35.2016.07.07.11.26.42
        for 
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Thu, 07 Jul 2016 11:26:42 -0700 (PDT)
Received-SPF: pass (google.com: domain of nowwhat@papy-team.org designates 2001:41d0:2:927b::10 as permitted sender) client-ip=2001:41d0:2:927b::10;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@papy-team.org;
       spf=pass (google.com: domain of nowwhat@papy-team.org designates 2001:41d0:2:927b::10 as permitted sender) smtp.mailfrom=nowwhat@papy-team.org;
       dmarc=pass (p=REJECT dis=NONE) header.from=papy-team.org
Received: from localhost (localhost.localdomain [127.0.0.1])
	by ns311465.ip-188-165-201.eu (Postfix) with ESMTP id 1CD8B63E0A81
	for ; Thu,  7 Jul 2016 20:26:42 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at ns311465.ip-188-165-201.eu
Received: from ns311465.ip-188-165-201.eu ([127.0.0.1])
	by localhost (mail.papy-team.org [127.0.0.1]) (amavisd-new, port 10026)
	with ESMTP id pftOzgNrgNiV for ;
	Thu,  7 Jul 2016 20:26:41 +0200 (CEST)
Received: from www.papy-team.org (localhost.localdomain [127.0.0.1])
	by ns311465.ip-188-165-201.eu (Postfix) with ESMTP id AC19063E0EED
	for ; Thu,  7 Jul 2016 20:26:41 +0200 (CEST)
X-DomainKeys: Sendmail DomainKeys Filter v1.0.1 ns311465.ip-188-165-201.eu AC19063E0EED
DomainKey-Signature: a=rsa-sha1; s=mail; d=papy-team.org; c=simple; q=dns;
	h=received:message-id:date:subject:from:to:user-agent:
	mime-version:content-type:content-transfer-encoding;
	b=QjQNBqlVsp3EQbueYyBan0QIkwvae0yB5YRK1A6kaZPM7UiwOuD9tL2qMdkeIBeTz
	BXu0Xd838Sx7yUEUaa/pd2jEnCIw8m2QhoQ8O/vpQXk+Q243kA79A0evGkMR9D8cvw5
	wnmyG5ZC/xXVXWLObvBjR4/v+ezRDId279yIr+Y=
Received: from 86.206.202.177
        (SquirrelMail authenticated user nowwhat@papy-team.org)
        by www.papy-team.org with HTTP;
        Thu, 7 Jul 2016 20:26:41 +0200
Message-ID: 
Date: Thu, 7 Jul 2016 20:26:41 +0200
Subject: test mail
From: nowwhat@papy-team.org
To: mon@gmail.com
User-Agent: SquirrelMail/1.4.23 [SVN]
MIME-Version: 1.0
Content-Type: text/plain;charset=iso-8859-1
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=papy-team.org;
	s=default; t=1467916001;
	bh=b/9a7m/FSTCukigd2d4s1Kjn7jrbAt4yhpqINLySiNw=;
	h=Date:Subject:From:To:Sender;
	b=pTmOV3qg1mvF/Yv41oXvi4GQtuOZBZ9CcrkEWHss7040atIOPCAwqZ239jhafZG4Q
	 at6AeFrNJsJCiUjBID81rogXtsLlLqW/6VQTfaZ61SeSF63dcMwGs0qMQD1qeFF/nD
	 Z3qt532o3FaRtTfnR4l/5LCNc+uZSmWHgrCMVMEI=
Content-Transfer-Encoding: quoted-printable
La partie important est:
Code:
Authentication-Results: mx.google.com;
       dkim=pass header.i=@papy-team.org;
       spf=pass (google.com: domain of nowwhat@papy-team.org designates 2001:41d0:2:927b::10 as permitted sender) smtp.mailfrom=nowwhat@papy-team.org;
       dmarc=pass (p=REJECT dis=NONE) header.from=papy-team.org
Sans ces trois "pass" ( comme mail-tester.com ), t'as un soucis.
(quoi que avec un serveur mutu d'OVH le SPF est possible - le DKIM avec pas mal d'efforts - le DMARC me semble impossible (quoi que DMARC = SPF + DKIM) )

Citation Envoyé par GraphiqueDesign
...
Pour le moment, je laisse les réglages en l'état, ne sachant comment le modifier. J'ai également sollicité une nouvelle fois la hotline dans ce but.
Contacter le hotline pour changer 'son' champ TXT de SPF ?
Faut pas.
Va directement ici : https://www.ovh.com/fr/g2028.mutualise_le_champ_spf - c'est le doc

EDIT : dans ce doc on trouve bien "mx.ovh.com" mais je pense qu'il s'agit que d'un exemple fictive.

GraphiqueDesign
07/07/2016, 19h16
Hello Nowwhat !

J'ai voulu prendre le temps de te lire et relire avant de réagir, me disant que je finirai bien par comprendre quelque chose. Quand tu dis :

"Attention : "mx.ovh.com" n'existe pas donc ce test va rien donner !!! *- - bizarre que le champ SPF par défaut est "mx.ovh.net" sachant que ce host n'existe même pas - il ne pourrait donc envoyer des mails d'une façon correct car : son reverse ne correspond pas]"

Le MX d'OVH est bien OVH.net alors que le spf est lui en OVH.com ... Ça veut dire que ça ne fonctionne même pas si on laisse les réglages en l'état ?

Quand tu dis :

"SI tu désire envoyer tes mails à partir de gmail, mais tu déclare que l'émetteur est uniquement info(at)graphiquedesign.com pense à ajouter le MX de gmail à ton champ SPF !!!! Car le MX sera lui de .... gmail"

Alors pourquoi ai-je dû paramétrer Gmail avec le pop et le SMTP d'OVH afin de pouvoir envoyer un courriel en info(at)graphi... ? Est-ce Gmail qui envoit ou le smpt d'OVH ?

Je reste malheureusement très hermétique à toutes ces explications, d'autant + que pour tester différentes formulations, ce n'est pas évident vus les délais de mise en place.

Même soucis pour mailtesteur, le testeur d'Acy que j'utilise reconnait mon DKIM alors que mail testeur ne le reconnait pas. Ensuite, sur les 2 testeurs, aucun ne reconnait mon serveur MX vu qu'il est en OVH.net au lieu d'être en graphiquedesign-bf.com !

Bref, pour moi tout cela est bien ésotérique ! En tout cas, je l'adresse mes plus vifs remerciements pour ton post que je ne décourage pas de finir par comprendre.

Pour le moment, je laisse les réglages en l'état, ne sachant comment le modifier. J'ai également sollicité une nouvelle fois la hotline dans ce but. Merci encore !

Nowwhat
07/07/2016, 09h38
Citation Envoyé par GraphiqueDesign
Et si je fais la modification, pourrais je toujours envoyer des courriels de type info(at)graphiquedesign.com directement à partir de Gmail comme c'est le cas aujourd'hui ?
Attention : t'as pas encore compris le concept "SPF".
Un serveur mail (disons : blabla.com) va recevoir votre mail.
Vous avez envoyé ce mail avec votre adresse mail comme expéditeur info(at)graphiquedesign.com.
blabla.com va chercher le champ SPF de graphiquedesign.com
Il va faire un recherche qui se compare avec
dig graphiquedesign.com SPF
et/ou
dig graphiquedesign.com TXT
[ attention aucun de ce test va donner ton champs SPF (un champs TXT ou SPF !!!) - t'as donc pas de champ SPF ]

Si il trouve "mx.ovh.com"
[ Attention : "mx.ovh.com" n'existe pas donc ce test va rien donner !!! *- - bizarre que le champ SPF par défaut est "mx.ovh.net" sachant que ce host n'existe même pas - il ne pourrait donc envoyer des mails d'une façon correct car : son reverse ne correspond pas]
et "mx.ovh.com" est l'émetteur - dans ce cas, ok, le SPF est correct.

Si il trouve "mx:mon_domaine.fr" (autrement dit : l'émetteur est le MX de ton domaine) qui doit être "mta.graphiquedesign.com" (soit 199.47.194.130), dans ce cas, le test donne Ok.

Sinon, dans le deux cas, le ~all va instruire le serveur blabla.com que si le test ne passe pas, de pas tenir compte de ce test (genre osef le SPF).

De toute façon:
Il ne faut pas laisser "~all" dans un champ SPF.
Fait tester ton SPF : https://www.mail-tester.com/
et dès que le SPF est ok, change le camp pour qu'il termine avec "-all"
Le "-all" comme dernière ressort indique simplement que si aucun test n'est positif (le MX qui a envoyé un mail avec ton domaine n'est pas présent dans la liste SPF) le mail doit être considéré comme "envoyé pas par toi - ton MX).
Il faut savoir qu'il suffit pas qu'un tiers dit dans les entêtes d'un mail qu'il est "info(at)graphiquedesign.com" car le serveur mail coté réception (notre blabla.com") va aussi voir l'IP de l'émetteur. SI ce IP n'est pas ton MX, le test SPF va être négatif .... Plus personne pourait prendre d'être "toi" - envoyer des mails de ta part - avec ton adresse mail de ton domaine.

Citation Envoyé par GraphiqueDesign
J'ai une dernière question, si tu peux me répondre. Le champ par défaut d'OVH est :
domaine.com IN TXT "v=spf1 include:mx.ovh.com ~all"
Penses-tu que le résultat sera meilleur si l'on le modifie comme cela :
domaine.com IN TXT "v=spf1 mx:mon_domaine.fr ~all"
SI tu désire envoyer tes mails à partir de gmail, mais tu déclare que l'émetteur est uniquement info(at)graphiquedesign.com pense à ajouter le MX de gmail à ton champ SPF !!!! Car le MX sera lui de .... gmail - et pas lui de ton domaine (un serveur mail OVH, la tienne ou autre - le MX de graphiquedesign.com)

C'est plus claire ?

PS : Va pour un 10/10 chez https://www.mail-tester.com/. T'auras la certitude que ton mail est 'techniquement' correct.

GraphiqueDesign
07/07/2016, 08h02
J'ai une dernière question, si tu peux me répondre. Le champ par défaut d'OVH est :

domaine.com IN TXT "v=spf1 include:mx.ovh.com ~all"

Penses-tu que le résultat sera meilleur si l'on le modifie comme cela :

domaine.com IN TXT "v=spf1 mx:mon_domaine.fr ~all"

Encore merci !

buddy
06/07/2016, 23h44
Ca depend.. Il faudrait voir les en-têtes.
Gmail envoie certains messages via le smtp de celui du fournisseur. Ça dépend de ton réglage dans Gmail.

GraphiqueDesign
06/07/2016, 23h33
Bien compris !
Et si je fais la modification, pourrais je toujours envoyer des courriels de type info(at)graphiquedesign.com directement à partir de Gmail comme c'est le cas aujourd'hui ?

Grand merci pour ton intervention, vraiment !
Cordialement.

buddy
06/07/2016, 23h13
Si tes campagnes sont envoyées depuis un serveur autre, il faut ajouter son ip. Si elles sont envoyées par le serveur OVH des mails mutualisés, rien n'a touché

ex :
v=spf1 include:mx.ovh.com ip4:123.123.123.123 ~all
https://toolbox.googleapps.com/apps/...edesign-bf.com

GraphiqueDesign
06/07/2016, 22h53
Merci Buddy pour ton lien !
J'ai bien compris ce que provoque le fait de remplacer le ~ par le - et donc le rejet total du spammeur. Par contre, si c'est mieux, pourquoi cela n'est pas le réglage par défaut ? Cette modification, peut elle entrainer des conséquences sur mes propres campagnes d'information ?

La personne de chez OVH me dit également :

"Ceci est une forme de SPAM qui est généralement émise d'une personne qui connait déja votre adresse mail."

Via l'entête du courriel spam, peut on avoir une idée du pays à partir du quel c'est parti ?

Merci à toi pour tes explications.

buddy
06/07/2016, 22h04
Le message ne vient surement pas d'un serveur OVH , mais d'un serveur "pirate" qui envoi du spam. le SPF, permettra de faire rejeter le spam.

Pour le champ SPF tout est expliqué sur le net : https://fr.wikipedia.org/wiki/Sender_Policy_Framework (entre autre)

GraphiqueDesign
06/07/2016, 21h33
Bonjour !
Je viens de recevoir ce courriel de Google Gmail :

"Le message "[SPAM] [SPAM] EE2A8712376B3299" que info(at)graphiquedesign-bf.com vous a envoyé contenait un virus ou une pièce jointe suspecte. Il n'a donc pas été récupéré dans votre compte info(at)graphiquedesign-bf.com et a été laissé sur le serveur."

Le soucis, c'est que l'adresse d'envoi de ce courriel est la mienne. J'ai donc contacté OVH qui me répond :

"Vous disposez déja d'une entrée SPF, il suffit simplement de remplacer le tilde par un tiret ( -all à la place de ~all) uste à la fin de la requête."

Un spécialiste peut-il m'expliquer cette manœuvre, à quoi elle sert et ce qu'elle entraine ? Mille mercis d'avance ! Très cordialement.