Problème enregistrement SPF

Problème enregistrement SPF - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 17-04-2013 à 16:58:09    

Bonjour,
 
Nous disposons d'une adresse mail dans notre domaine, support@exemple.fr
et elle envoie des spams chaque jour vers cette même adresse.
Nous avons décidé de mettre en place un enregistrement SPF pour essayer d'éviter cela.
Il se présente de la manière suivant :
@ mail IN SPF "v=spf1 mx ip4:notre.ip mx:mail.exemple.fr ~all"
 
Il ne devrait normalement autoriser que les mails envoyés depuis notre adresse ip, mais ce n'est pas le cas
Nous nous sommes tournés vers notre fournisseur de DNS mais il retourne que tout est bon sur l'enregistrement.
 
Quelqu'un saurait il nous dire ce qui ne va pas ?

Reply

Marsh Posté le 17-04-2013 à 16:58:09   

Reply

Marsh Posté le 17-04-2013 à 17:28:38    

Salut,
 
le SPF permet de savoir à travers une requête DNS les serveurs SMTP autorisés à émettre pour un domaine.
 
Dans ton cas, si tu n'as qu'un seul SMTP autorisé à l'envoi, ton SPF doit être "v=spf1 ip4:ipdusmtp -all"
Si tu a un record A "mx" qui pointe vers ton serveur de messagerie qui fait à la fois réception et envoi d'email, ton SPF peut-être "v=spf1 mx -all"
 
Avec le "-", tu indiques que seul ton mx est autorisé à l'envoi.
Toi tu as mis un "~", ce qui indique un softfail. D'autres serveurs SMTP que ton mx qui émettent des emails pour ton domaine ne sont pas considérés comme à bannir mais douteux.
 
Mais bon tout cela n'a pas à voir avec ton problème.
Avec ton entrée SPF, tu indiques aux autres serveurs de messagerie qu'ils doivent considérer comme seul valable pour ton domaine ton serveur SMTP. C'est sympa mais ca ne change rien au fait qu'une de tes adresses soit spammée.
As-tu des filtres anti-spam ? D'où proviennent les emails reçus ? Il te faut regarder tes logs SMTP pour définir l'ip du serveur adverse qui a délivré le SPAM.

Reply

Marsh Posté le 18-04-2013 à 04:20:04    

http://www.afnic.fr/fr/produits-et [...] zonecheck/ pour vérifier ta config DNS toi même.

Reply

Marsh Posté le 18-04-2013 à 10:15:41    

Merci de ta réponse
 
Je vais faire la modification du -all.
Je pensais qu'avec l'enregistrement SPF seul les mails provenant de notre adresse IP pour notre domaine exemple.com seraient délivrés,
les autres étant bloqués par les DNS via le SPF.
 

Citation :

Si tu a un record A "mx" qui pointe vers ton serveur de messagerie qui fait à la fois réception et envoi d'email, ton SPF peut-être "v=spf1 mx -all"


C'est bien le cas
 
Par contre lorsque je vais tester l'enregistrement du SPF sur mxtoolbox, il me retourne le message suivant indiquant qu'il ne trouve pas l'enregistrement :
spf:exemple.fr Find Monitors Error
Lookup failed after 1 name servers timed out or responded non-authoritatively
 
 
Y a t'il d'autres moyens de se protéger de ces spams via DNS ou domainkeys par exemple ?


Message édité par jaydi le 18-04-2013 à 10:25:25
Reply

Marsh Posté le 19-04-2013 à 08:57:31    

Pas tourner avec un DNS open, bien faire sa config DNS, vérifier les DNSbl, avoir une IP dédiée et pas juste un sous domaine MX collé a l'arrache sur une machine multipurpose ou cloudée, enfin rien de bien transcendant hormis suivre les bonnes pratique niveau sécurité.

Reply

Marsh Posté le 19-04-2013 à 11:24:03    

On a bien une IP dédiée sur laquelle nos enregistrements MX pointent dessus et où derrière nous avons notre serveur exchange 2003.
Au niveau des DNSbl (blacklist ?) ceci est vérifié sur mxtoolbox et nous n'avons pas de soucis à ce niveau là.
Comment vérifier un DNS open ? (normalement nous n'en utilisons pas)

Reply

Marsh Posté le 19-04-2013 à 13:01:06    

Quel est ton logiciel de DNS ?
EDIT : et ton DNS manager, savoir si tu peu éditer le fichier de conf directement, et/ou modifier les bonnes options.


Message édité par MysterieuseX le 19-04-2013 à 13:05:45
Reply

Marsh Posté le 19-04-2013 à 14:04:21    

Les DNS sont chez Gandi.net
Et nous avons notre propre serveur Microsoft Windows 2003

Reply

Marsh Posté le 19-04-2013 à 16:05:50    

Du bind donc avec l'interface gandi qui doit être un webmin modifié. Mais déjà c'est pas de l'open DNS. Donc logiquement avec ton enregistrement SPF on ne pourra déjà plus usurper ton serveur SMTP pour spamer des boites.
Maintenant, de l'autre côté faut que tu configure ton serveur mail pour refuser tout ce qui n'a pas un enregistrement SPF valide en entrée, et signaler les IP qui tentent d'usurper ton identité vers les DNSbl (qui ira blacklister les DNS qui tentent de le faire donc), et faut que en interne tu bloque ton réseau pour utiliser exclusivement ton serveur SMTP pour ton domaine uniquement (et pas un autre) et ça devrait être pas trop mal pour du basique. Après, si tes utilisateurs veulent envoyer des mails sur leurs boite orange par outlook ou autre, ben qu'ils passent par le webmail de leurs FAI.
Ca fera donc que :
-Tu ne pourra pas recevoir de mail d'un serveur mal configuré
-Tu ne pourra pas recevoir de mail d'un serveur qui usurpe l'identité de quelqu'un d'autre
-On ne pourra pas utiliser ton DNS pour usurper une identité
-On ne pourra pas utiliser ton DN pour envoyer des mail avec ton identité
-Tes utilisateurs devront utiliser le serveur SMTP de la boite sur le réseau interne
-Tes utilisateurs ne pourront pas utiliser le serveur SMTP pour envoyer des mails avec un autre nom de domaine sur le réseau interne
-Tu contribuera a renforcer la sécurité de ton pool IP vis a vis des DNS et l'efficacité des DNSbl
 

Citation :

Il te faut regarder tes logs SMTP pour définir l'ip du serveur adverse qui a délivré le SPAM.

pour ce conseil c'est a voir dans la configuration exchange et/ou firewall (antispam pour exchange, et blacklistage de l'ip pour le firewall), le soucis c'est que sous environnement microsoft je pourrai pas t'aider. <_<

Reply

Marsh Posté le 19-04-2013 à 16:20:24    

Merci beaucoup
Je vais voir ce que je peux faire avec tes conseils.

Reply

Marsh Posté le 19-04-2013 à 16:20:24   

Reply

Marsh Posté le 22-04-2013 à 14:58:23    

Petit HS.  
 

MysterieuseX a écrit :

-Tu ne pourra pas recevoir de mail d'un serveur mal configuré


 
Le hic, c'est qu'il y a pas mal de serveurs mal configurés. Mais l'expéditeur peut être fiable... J'en ai fait les frais il n'y a pas si longtemps,  juste en activant la vérification du reverses DNS...


---------------
StatsBOINC
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed