Gandi.net Groups

Domaine Généralités: rapport dnsreport.com

Vous devez être connecté pour poster de nouveaux messages. Créer un compte.

J'ai fait un petit test avec dnsreport.com. Il s'avère que Gandi passe
avec brio tous les tests de dnsreport.com SAUF 2 !

Vous pouvez améliorer les choses ou nous expliquer pourquoi ces tests
échouent ?

WARN	Single Point of Failure	WARNING: Although you have at least 2 NS
records, there is a chance that they may both point to the same server
(one of our two tests shows them being different, the other is unsure;
it appears that there are one or more firewall(s) that intercept and
alter DNS packets (some versions of Linux reportedly have a built-in
firewall that does this, too)), which would result in a single point of
failure. You are required to have at least 2 nameservers per RFC 1035
section 2.2.

WARN	SPF record	Your domain does not have an SPF record. This means that
spammers can easily send out E-mail that looks like it came from your
domain, which can make your domain look bad (if the recipient thinks
you really sent it), and can cost you money (when people complain to
you, rather than the spammer). You may want to add an SPF record ASAP,
as 01 Oct 2004 was the target date for domains to have SPF records in
place (Hotmail, for example, started checking SPF records on 01 Oct
2004).
On 2007-02-22, Ploc Plikoplok <plub2006@acampado.net> wrote:
J'ai fait un petit test avec dnsreport.com. Il s'avère que Gandi passe
avec brio tous les tests de dnsreport.com SAUF 2 !

Vous pouvez améliorer les choses ou nous expliquer pourquoi ces tests
échouent ?
Eh non, ils n'échouent pas, il s'agit de warnings (ie. pas d'erreurs) :)
WARN	Single Point of Failure	WARNING: Although you have at least 2 NS
records, there is a chance that they may both point to the same server
(one of our two tests shows them being different, the other is unsure;
it appears that there are one or more firewall(s) that intercept and
alter DNS packets (some versions of Linux reportedly have a built-in
firewall that does this, too)), which would result in a single point of
failure. You are required to have at least 2 nameservers per RFC 1035
section 2.2.
Nos 3 serveurs DNS "publics" (a, b, et c .dns.gandi.net) sont servis
actuellement par 5 machines, tout ça sur 3 sites différents, ce qui est
un bon début pour la redondance.

L'étape d'après, que nous envisageons, sera d'ajouter un autre serveur
DNS en dehors de notre réseau.
WARN	SPF record	Your domain does not have an SPF record. This means that
spammers can easily send out E-mail that looks like it came from your
domain, which can make your domain look bad (if the recipient thinks
you really sent it), and can cost you money (when people complain to
you, rather than the spammer). You may want to add an SPF record ASAP,
as 01 Oct 2004 was the target date for domains to have SPF records in
place (Hotmail, for example, started checking SPF records on 01 Oct
2004).
Ça, c'est à mettre dans chaque zone, donc à la discretion du client.
(c'est un record de type "TXT" sur le label du nom de domaine)
\o/ Stephane / Tuf
 G  GANDI
Excellentes nouvelles !

Je suis actuellement en train découvrir la logique de spf afin
d'arriver à configurer mon enregistrement spf sur mon domaine.

Sur le principe, c'est simple : il s'agit de lister les entités
autorisées à envoyer légitimement des mails en utilisant mon domaine
comme expéditeur.

Dans la pratique, c'est un peu plus compliqué car il y a de multiples
manières de lister ces entités : par adresse ip, par domaine, par nom
d'hôte. Bref, heureusement que openspf propose un assistant qui aide à
générer un bon enregistrement spf : http://old.openspf.org/wizard.html

Mais je tombe alors sur un os. Dans mon cas, je suis abonné à Free et
j'utilise leur webmail ainsi que l'accès classique smtp/imap pour
envoyer et recevoir du courrier. Quels sont les entités que je dois
lister dans l'enregistrement spf ?

1/ Je pense que je dois mettre le serveur smtp de Free (pour mon accès
smtp/imap).

2/ Pour le webmail, je suis un peu perdu, dois-je entrer la liste des
serveurs imp (le client webmail), ou bien la liste des serveurs mx (je
ne sais pas trop ce que c'est, des relais smtp ?), ou encore les
serveurs smtp qu'utilisent les serveurs imp ?

Bref, je suis un peu en difficulté et j'ai un peu de mal à comprendre
comment fonctionne les enregistrements spf...

Si Gandi ou un sympathique gandinaute pouvait m'aider, ce ne serait pas
de refus.

De plus, avis à Gandi, je crois qu'il serait fortement souhaitable que
vous ajoutiez un petit tutoriel sur la configuration d'un
enregistrement spf sur un domaine. Bien sûr, votre tutoriel ne pourra
pas répondre à tous les cas réels mais je pense qu'il pourra
dépanner la majorité des gens. De plus la généralisation de
l'enregistrement spf et tout à fait complémentaire du travail que
vous êtes en train de faire pour mettre en place un antispam pour
GandiMail !
Ploc Plikoplok a écrit :
Mais je tombe alors sur un os. Dans mon cas, je suis abonné à Free et
j'utilise leur webmail ainsi que l'accès classique smtp/imap pour
envoyer et recevoir du courrier. Quels sont les entités que je dois
lister dans l'enregistrement spf ?

1/ Je pense que je dois mettre le serveur smtp de Free (pour mon accès
smtp/imap).

2/ Pour le webmail, je suis un peu perdu, dois-je entrer la liste des
serveurs imp (le client webmail), ou bien la liste des serveurs mx (je
ne sais pas trop ce que c'est, des relais smtp ?), ou encore les
serveurs smtp qu'utilisent les serveurs imp ?
Toutes les adresses mail de ton domaine sont des redirections ?
vers une adresse free ?

Si tel est le cas met smtp.free.fr, mais il se peut que le fait qui ton 
mail passe par divers serveurs avant de sortir du reseau free pose 
problème...


Jonathan.
Je crois que le problème ne se trouve pas au niveau de mes adresses
mail ou des mails que je reçois, mais bien au niveau des mails que
j'envoie.

Imagine que j'envoie un mail à titi@aol.com avec mon adresse
d'expéditeur grominet@matou.com (sur le smtp de Free smtp.free.fr),
alors aol va consulter l'enregistrement spf du dns de matou.com pour
vérifier que smtp.free.fr est autorisé à envoyer des mails pour
matou.com. Si j'ai bien configuré mon enregistrement spf, alors aol
sera rassuré de voir que j'autorise effectivement cela, et la
probabilité que mon mail soit un spam sera aussitôt diminuée !

La question qui se pose est donc la suivante : Comment - dans un
enregistrement dns spf - spécifier le plus simplement possible tous
les serveurs de Free envoyant des mails ?

Et la question qui en découle : Faut-il indiquer uniquement les
serveurs smtp, ou également les serveurs mx et éventuellement les
serveurs imp ?
En définitive, quelles que soient mes emails, ce qui compte c'est de
savoir quels serveurs smtp j'utilise.

Alors c'est vrai, j'utilise le serveur smtp.free.fr, je peux donc
l'ajouter à mon enregistrement spf.

Mais j'utilise également le webmail de Free (http://imp.free.fr/) et
dans ce cas là, que faut-il ajouter à mon enregistrement spf ? Est-ce
que le webmail de Free utilise bien smtp.free.fr ? Ou bien un autre ?

Alors je sais que je devrais aller voir du côté de Free, mais
peut-être que quelqu'un ici a la réponse !
Seul les serveurs SMTP nous intéressent. Le webmail IMP utilise les 
mêmes SMTP il me semble.
Le problème c'est que smtp.free.fr ne sert qu'a faire un "load 
balancing", c'est a dire répartir les email a envoyer entre les serveurs 
smtp-1, smtp-2, smtp-3, ect...

D'apres mes recherches a grand coups de nslookup:

smtp1-g19.free.fr | IP: 212.27.42.27
smtp2-g19.free.fr | IP: 212.27.42.28
smtp3-g19.free.fr | IP: 212.27.42.29
smtp4-g19.free.fr | IP: 212.27.42.30


Jonathan.
On 2007-02-23, Ploc Plikoplok <plub2006@acampado.net> wrote:
En définitive, quelles que soient mes emails, ce qui compte c'est de
savoir quels serveurs smtp j'utilise.

Alors c'est vrai, j'utilise le serveur smtp.free.fr, je peux donc
l'ajouter à mon enregistrement spf.

Mais j'utilise également le webmail de Free (http://imp.free.fr/) et
dans ce cas là, que faut-il ajouter à mon enregistrement spf ? Est-ce
que le webmail de Free utilise bien smtp.free.fr ? Ou bien un autre ?

Alors je sais que je devrais aller voir du côté de Free, mais
peut-être que quelqu'un ici a la réponse !
Ça dépend effectivement si les machines de webmail envoient les mails
directement, ou si elles passent par smtp.free.fr (c'est vérifiable
rapidement en regardant les en-têtes d'un mail envoyé par le webmail).

SPF permet d'inclure la configuration SPF d'un autre domaine via
include:, mais free.fr n'a pas l'air de disposer d'enregistrements SPF
(probablement car SPF, comme beaucoup d'autres tentatives de la sorte,
a des limites, nous sommes d'ailleurs très touchés par celles-ci en tant
que redirecteurs de mail).
\o/ Stephane / Tuf
 G  GANDI
Ayayaya, j'ai laissé passer mon email dans mon précédent post, vous
voudriez pas le remplacer par des xxx pour éviter que des robots ne la
récupère ?

Si je cherche à lutter contre le spam avec mon enregistrement spf,
c'est pas pour me faire piéger comme un bleu sur le premier newsgroups
venu ! ;-)
/!\ Les mail passent bien par smtp.free.fr mais celui ci les reparti
sur 
les serveurs dont je t'ai donné la liste précédement.
Ben en tout cas, cette répartition n'apparait pas du tout dans
l'entête du mail...

Bon et maintenant je fais quoi ? Je mets quoi dans mon spf ?

smtp1-g19.free.fr | IP: 212.27.42.27
smtp2-g19.free.fr | IP: 212.27.42.28
smtp3-g19.free.fr | IP: 212.27.42.29
smtp4-g19.free.fr | IP: 212.27.42.30

ou

smtp.free.fr

Comme c'est smtpx-g19.free.fr qui apparait dans les entêtes des mails,
j'aurais tendance à dire que c'est ces 4 là qu'il faut mettre dans le
spf. En espérant qu'il n'y ait que ces 4 là...
Personnellement, je pense que ça évite surtout l'ursupation de 
l'identidée du propriétaire du domaine, mais encore faut-il que le 
destinataire en tienne compte, du spf.
Ben oui, mais le problème du spam est un problème complexe, il faut
bien commencer quelque part ! Si l'utilisation du spf se généralise,
de plus en plus de destinataires vont trouver le système pratique de
fiable et vont se mettre à l'utiliser. Ce sera un cercle vertueux !
(rêvons !) Tu en penses quoi toi ?
Ploc Plikoplok a écrit :
/!\ Les mail passent bien par smtp.free.fr mais celui ci les reparti
sur 
les serveurs dont je t'ai donné la liste précédement.
Ben en tout cas, cette répartition n'apparait pas du tout dans
l'entête du mail...
Normal, puique le mail est expédié par un des serveurs smtpx-g19, le 
smtp.free.fr ne fait que relayer (d'aillieur c'est ptet même un routeur...).
Bon et maintenant je fais quoi ? Je mets quoi dans mon spf ?

smtp1-g19.free.fr | IP: 212.27.42.27
smtp2-g19.free.fr | IP: 212.27.42.28
smtp3-g19.free.fr | IP: 212.27.42.29
smtp4-g19.free.fr | IP: 212.27.42.30
Ces serveurs la, pas les Ip qui peuvent changer.
ou

smtp.free.fr

Comme c'est smtpx-g19.free.fr qui apparait dans les entêtes des mails,
j'aurais tendance à dire que c'est ces 4 là qu'il faut mettre dans le
spf. En espérant qu'il n'y ait que ces 4 là...
Personnellement, je pense que ça évite surtout l'ursupation de 
l'identidée du propriétaire du domaine, mais encore faut-il que le 
destinataire en tienne compte, du spf.
Ben oui, mais le problème du spam est un problème complexe, il faut
bien commencer quelque part ! Si l'utilisation du spf se généralise,
de plus en plus de destinataires vont trouver le système pratique de
fiable et vont se mettre à l'utiliser. Ce sera un cercle vertueux !
(rêvons !) Tu en penses quoi toi ?
Toutafait d'accord, il me semble que Yahoo entre autres s'y est mis. 
c'est plus délicat pour free dont les serveurs mail relai aussi les 
mails de ses abonnée Adsl & RTC qui utilisent leur proprent serveur mail.


Jonathan.
Bon et maintenant je fais quoi ? Je mets quoi dans mon spf ?

smtp1-g19.free.fr | IP: 212.27.42.27
smtp2-g19.free.fr | IP: 212.27.42.28
smtp3-g19.free.fr | IP: 212.27.42.29
smtp4-g19.free.fr | IP: 212.27.42.30
Ces serveurs la, pas les Ip qui peuvent changer.
Et si Free rajoute un smtp sans me le dire (et pourquoi ils me le
diraient ?), je suis cuit car les mails envoyés avec ce nouveau
serveur seront considérés comme spam !

Bref, cette solution n'est malheureusement pas très fiable...

Peut-on ajouter un truc du genre "tout mail envoyé à partir d'un smtp
en free.fr est considéré comme valide" ?

Sinon, je peux aussi attendre l'arrivée de GandiMail, et quitter alors
Free. J'espère que Gandi permettra l'utilisation de SPF avec
GandiMail, hein Gandi !
Ploc Plikoplok a écrit :
Et si Free rajoute un smtp sans me le dire (et pourquoi ils me le
diraient ?), je suis cuit car les mails envoyés avec ce nouveau
serveur seront considérés comme spam !

Bref, cette solution n'est malheureusement pas très fiable...
Elle n'est pas faite pour être utilisée avec les serveurs d'un FAI...
Peut-on ajouter un truc du genre "tout mail envoyé à partir d'un smtp
en free.fr est considéré comme valide" ?
Je ne sait pas. Tu peut toujours essayer cet assistant: 
http://old.openspf.org/wizard.html
Sinon, je peux aussi attendre l'arrivée de GandiMail, et quitter alors
Free. J'espère que Gandi permettra l'utilisation de SPF avec
GandiMail, hein Gandi !
:)

J'ai entendu dire que l'architecteure de redirections mail allait être 
modifier courant mars. De la a dire que c'est la date d'arrivée du Gandi 
Mail...


Jonathan.