Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2335 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Problème enregistrement SPF

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Problème enregistrement SPF

n°109703
jaydi
Posté le 17-04-2013 à 16:58:09  profilanswer
 

Bonjour,
 
Nous disposons d'une adresse mail dans notre domaine, support@exemple.fr
et elle envoie des spams chaque jour vers cette même adresse.
Nous avons décidé de mettre en place un enregistrement SPF pour essayer d'éviter cela.
Il se présente de la manière suivant :
@ mail IN SPF "v=spf1 mx ip4:notre.ip mx:mail.exemple.fr ~all"
 
Il ne devrait normalement autoriser que les mails envoyés depuis notre adresse ip, mais ce n'est pas le cas
Nous nous sommes tournés vers notre fournisseur de DNS mais il retourne que tout est bon sur l'enregistrement.
 
Quelqu'un saurait il nous dire ce qui ne va pas ?

mood
Publicité
Posté le 17-04-2013 à 16:58:09  profilanswer
 

n°109707
ShonGail
En phase de calmitude ...
Posté le 17-04-2013 à 17:28:38  profilanswer
 

Salut,
 
le SPF permet de savoir à travers une requête DNS les serveurs SMTP autorisés à émettre pour un domaine.
 
Dans ton cas, si tu n'as qu'un seul SMTP autorisé à l'envoi, ton SPF doit être "v=spf1 ip4:ipdusmtp -all"
Si tu a un record A "mx" qui pointe vers ton serveur de messagerie qui fait à la fois réception et envoi d'email, ton SPF peut-être "v=spf1 mx -all"
 
Avec le "-", tu indiques que seul ton mx est autorisé à l'envoi.
Toi tu as mis un "~", ce qui indique un softfail. D'autres serveurs SMTP que ton mx qui émettent des emails pour ton domaine ne sont pas considérés comme à bannir mais douteux.
 
Mais bon tout cela n'a pas à voir avec ton problème.
Avec ton entrée SPF, tu indiques aux autres serveurs de messagerie qu'ils doivent considérer comme seul valable pour ton domaine ton serveur SMTP. C'est sympa mais ca ne change rien au fait qu'une de tes adresses soit spammée.
As-tu des filtres anti-spam ? D'où proviennent les emails reçus ? Il te faut regarder tes logs SMTP pour définir l'ip du serveur adverse qui a délivré le SPAM.

n°109724
Mysterieus​eX
Chieuse
Posté le 18-04-2013 à 04:20:04  profilanswer
 

http://www.afnic.fr/fr/produits-et [...] zonecheck/ pour vérifier ta config DNS toi même.

n°109734
jaydi
Posté le 18-04-2013 à 10:15:41  profilanswer
 

Merci de ta réponse
 
Je vais faire la modification du -all.
Je pensais qu'avec l'enregistrement SPF seul les mails provenant de notre adresse IP pour notre domaine exemple.com seraient délivrés,
les autres étant bloqués par les DNS via le SPF.
 

Citation :

Si tu a un record A "mx" qui pointe vers ton serveur de messagerie qui fait à la fois réception et envoi d'email, ton SPF peut-être "v=spf1 mx -all"


C'est bien le cas
 
Par contre lorsque je vais tester l'enregistrement du SPF sur mxtoolbox, il me retourne le message suivant indiquant qu'il ne trouve pas l'enregistrement :
spf:exemple.fr Find Monitors Error
Lookup failed after 1 name servers timed out or responded non-authoritatively
 
 
Y a t'il d'autres moyens de se protéger de ces spams via DNS ou domainkeys par exemple ?


Message édité par jaydi le 18-04-2013 à 10:25:25
n°109825
Mysterieus​eX
Chieuse
Posté le 19-04-2013 à 08:57:31  profilanswer
 

Pas tourner avec un DNS open, bien faire sa config DNS, vérifier les DNSbl, avoir une IP dédiée et pas juste un sous domaine MX collé a l'arrache sur une machine multipurpose ou cloudée, enfin rien de bien transcendant hormis suivre les bonnes pratique niveau sécurité.

n°109833
jaydi
Posté le 19-04-2013 à 11:24:03  profilanswer
 

On a bien une IP dédiée sur laquelle nos enregistrements MX pointent dessus et où derrière nous avons notre serveur exchange 2003.
Au niveau des DNSbl (blacklist ?) ceci est vérifié sur mxtoolbox et nous n'avons pas de soucis à ce niveau là.
Comment vérifier un DNS open ? (normalement nous n'en utilisons pas)

n°109834
Mysterieus​eX
Chieuse
Posté le 19-04-2013 à 13:01:06  profilanswer
 

Quel est ton logiciel de DNS ?
EDIT : et ton DNS manager, savoir si tu peu éditer le fichier de conf directement, et/ou modifier les bonnes options.


Message édité par MysterieuseX le 19-04-2013 à 13:05:45
n°109835
jaydi
Posté le 19-04-2013 à 14:04:21  profilanswer
 

Les DNS sont chez Gandi.net
Et nous avons notre propre serveur Microsoft Windows 2003

n°109838
Mysterieus​eX
Chieuse
Posté le 19-04-2013 à 16:05:50  profilanswer
 

Du bind donc avec l'interface gandi qui doit être un webmin modifié. Mais déjà c'est pas de l'open DNS. Donc logiquement avec ton enregistrement SPF on ne pourra déjà plus usurper ton serveur SMTP pour spamer des boites.
Maintenant, de l'autre côté faut que tu configure ton serveur mail pour refuser tout ce qui n'a pas un enregistrement SPF valide en entrée, et signaler les IP qui tentent d'usurper ton identité vers les DNSbl (qui ira blacklister les DNS qui tentent de le faire donc), et faut que en interne tu bloque ton réseau pour utiliser exclusivement ton serveur SMTP pour ton domaine uniquement (et pas un autre) et ça devrait être pas trop mal pour du basique. Après, si tes utilisateurs veulent envoyer des mails sur leurs boite orange par outlook ou autre, ben qu'ils passent par le webmail de leurs FAI.
Ca fera donc que :
-Tu ne pourra pas recevoir de mail d'un serveur mal configuré
-Tu ne pourra pas recevoir de mail d'un serveur qui usurpe l'identité de quelqu'un d'autre
-On ne pourra pas utiliser ton DNS pour usurper une identité
-On ne pourra pas utiliser ton DN pour envoyer des mail avec ton identité
-Tes utilisateurs devront utiliser le serveur SMTP de la boite sur le réseau interne
-Tes utilisateurs ne pourront pas utiliser le serveur SMTP pour envoyer des mails avec un autre nom de domaine sur le réseau interne
-Tu contribuera a renforcer la sécurité de ton pool IP vis a vis des DNS et l'efficacité des DNSbl
 

Citation :

Il te faut regarder tes logs SMTP pour définir l'ip du serveur adverse qui a délivré le SPAM.

pour ce conseil c'est a voir dans la configuration exchange et/ou firewall (antispam pour exchange, et blacklistage de l'ip pour le firewall), le soucis c'est que sous environnement microsoft je pourrai pas t'aider. <_<

n°109839
jaydi
Posté le 19-04-2013 à 16:20:24  profilanswer
 

Merci beaucoup
Je vais voir ce que je peux faire avec tes conseils.

mood
Publicité
Posté le 19-04-2013 à 16:20:24  profilanswer
 

n°109932
fievel
Posté le 22-04-2013 à 14:58:23  profilanswer
 

Petit HS.  
 

MysterieuseX a écrit :

-Tu ne pourra pas recevoir de mail d'un serveur mal configuré


 
Le hic, c'est qu'il y a pas mal de serveurs mal configurés. Mais l'expéditeur peut être fiable... J'en ai fait les frais il n'y a pas si longtemps,  juste en activant la vérification du reverses DNS...


---------------
StatsBOINC

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Problème enregistrement SPF

 

Sujets relatifs
Problème de connexion avec Telnet - RésoluProblème de partage
[RESOLU] Probleme configue Pix 501Problème de DNS, je me gratte la tête !
[WS 2003] Problème de GPO [résolu]Problème Squid3 ?
Résolu : Comment augmenter la taille d'un Raid 5 RocketRaid 3560Problème de lecture dump "radio"
Probleme DHCP? 
Plus de sujets relatifs à : Problème enregistrement SPF


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR