Re: [FRnOG] [TECH] SPF v1 ou v2
Ca me fait penser: j'ai çà depuis des années, est-ce qu'il faut vraiment upgrader à v2 ? arneill-py.sacramento.ca.us text = v=spf1 a mx -all v1 = SPF (rfc4408), check sur le HELO et le MAIL FROM v2 = SenderID (rfc4406), check possible sur le PRA (Resent-Sender:, ou Resent-From:, ou Sender:, ou From:, dans cet ordre, cf. rfc4407), ou sur le MAIL FROM, ou sur le PRA et le MAIL FROM. Là où SPF fait de de l'autorisation, SenderID souhaite permettre l'identification. Bon c'est pas non plus DKIM, et d'ailleurs pour Hotmail si tu n'as pas de SenderID configuré (ouais, le spfv2.0, là), il va se tourner vers DKIM. Configurer un enregistrement SenderID pour son domaine ne signifie pas upgrader de v1 à v2, et les deux enregistrements sont conseillés (SenderID surtout pour Hotmail, mais bon). Ow et tant qu'on y est, il est préférable d'avoir des enregistrements TXT _et_ SPF (type 99) pour SPF (v1) et SenderID (v2). Tout simplement parce que le rr SPF est requêté en premier (le TXT n'est qu'un fallback pour que les serveurs ne sachant pas requêter du SPF puissent quand même vérifier les enregistrements. Donc Michel, tu pourrais avoir : arneill-py.sacramento.ca.us IN SPF v=spf1 a mx -all arneill-py.sacramento.ca.us IN SPF spf2.0/mfrom a mx -all arneill-py.sacramento.ca.us IN TXT v=spf1 a mx -all arneill-py.sacramento.ca.us IN TXT spf2.0/mfrom a mx -all Sans te casser le chou (si c'est bien ton domaine de HELO et MAIL FROM). Et Si tu veux mettre SenderID sur ton Sender: ou From: arneill-py.sacramento.ca.us IN SPF v=spf1 a mx -all arneill-py.sacramento.ca.us IN SPF spf2.0/pra a mx -all arneill-py.sacramento.ca.us IN TXT v=spf1 a mx -all arneill-py.sacramento.ca.us IN TXT spf2.0/pra a mx -all Voilà. Maintenant, au tour des banques. # dig txt fortuneo.fr +short v=spf1 a mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all v=spf2.0/mfrom mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all Ouch. v=spf2.0 ? Ca n'existe pas. La syntaxe commence par spf2.0 # dig spf fortuneo.fr +short ked'. Quant aux autres : # dig txt socgen.com +short v=spf1 a:tigmail.socgen.com a:realmail2.socgen.com a:realmail3.socgen.com a:realmail4.socgen.com a:realmail10.socgen.com a:realmail20.socgen.com a:realmail30.socgen.com a:realmail40.socgen.com ip4:193.178.155.96/28 ip4:207.45.249.160/27 ?all Ok, ils n'ont pas de type 99, et avec le ?all à la fin ils ne se mouillent pas beaucoup, mais hé, il y 'a quand même un effort. Il faut juste regarder sur le bon domaine, forcément. # dig txt bnpparibas.com +short v=spf1 ip4:155.140.133.128/26 ip4:159.50.169.64/26 ip4:159.50.101.64/26 ip4:159.50.176.0/26 ip4:137.236.179.183 ip4:137.236.179.133 ip4:137.236.179.83 ip4:155.140.121.252 ip4:155.140.122.252 ip4:74.112.67.22 ip4:89.206.4.135 ip4:217.167.24.180 mx ~all Un peu mieux pour la BNP, avec le ~all. Je n'ai pas regardé les autres, il faut bien partager le fun. -- Benjamin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SPF v1 ou v2
On Tue, 14 Feb 2012 09:03:18 -0800, Michel Py mic...@arneill-py.sacramento.ca.us said: Steven Le Roux a écrit: C'est parce que tu n'essaies pas sur les bonnes banques ;) Ca me fait penser: j'ai çà depuis des années, est-ce qu'il faut vraiment upgrader à v2 ? arneill-py.sacramento.ca.us text = v=spf1 a mx -all Au cas ou, tu peux mettre v1 *et* v2. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SPF v1 ou v2
2012/2/14 Benjamin BILLON bbil...@splio.fr: Ca me fait penser: j'ai çà depuis des années, est-ce qu'il faut vraiment upgrader à v2 ? arneill-py.sacramento.ca.us text = v=spf1 a mx -all v1 = SPF (rfc4408), check sur le HELO et le MAIL FROM v2 = SenderID (rfc4406), check possible sur le PRA (Resent-Sender:, ou Resent-From:, ou Sender:, ou From:, dans cet ordre, cf. rfc4407), ou sur le MAIL FROM, ou sur le PRA et le MAIL FROM. Là où SPF fait de de l'autorisation, SenderID souhaite permettre l'identification. Bon c'est pas non plus DKIM, et d'ailleurs pour Hotmail si tu n'as pas de SenderID configuré (ouais, le spfv2.0, là), il va se tourner vers DKIM. Configurer un enregistrement SenderID pour son domaine ne signifie pas upgrader de v1 à v2, et les deux enregistrements sont conseillés (SenderID surtout pour Hotmail, mais bon). Ow et tant qu'on y est, il est préférable d'avoir des enregistrements TXT _et_ SPF (type 99) pour SPF (v1) et SenderID (v2). Tout simplement parce que le rr SPF est requêté en premier (le TXT n'est qu'un fallback pour que les serveurs ne sachant pas requêter du SPF puissent quand même vérifier les enregistrements. Donc Michel, tu pourrais avoir : arneill-py.sacramento.ca.us IN SPF v=spf1 a mx -all arneill-py.sacramento.ca.us IN SPF spf2.0/mfrom a mx -all arneill-py.sacramento.ca.us IN TXT v=spf1 a mx -all arneill-py.sacramento.ca.us IN TXT spf2.0/mfrom a mx -all Sans te casser le chou (si c'est bien ton domaine de HELO et MAIL FROM). Et Si tu veux mettre SenderID sur ton Sender: ou From: arneill-py.sacramento.ca.us IN SPF v=spf1 a mx -all arneill-py.sacramento.ca.us IN SPF spf2.0/pra a mx -all arneill-py.sacramento.ca.us IN TXT v=spf1 a mx -all arneill-py.sacramento.ca.us IN TXT spf2.0/pra a mx -all Voilà. Maintenant, au tour des banques. # dig txt fortuneo.fr +short v=spf1 a mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all v=spf2.0/mfrom mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all Ouch. v=spf2.0 ? Ca n'existe pas. La syntaxe commence par spf2.0 ah oui, merge de rfc je pense. thx. # dig spf fortuneo.fr +short ked'. comment ça ked' ? $ dig TXT fortuneo.fr +short v=spf1 a mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all spf2.0/mfrom mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all $ dig SPF fortuneo.fr +short spf2.0/mfrom mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all v=spf1 a mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all Puisqu'on y est... tournée générale : $ dig SPF cmb.fr +short spf2.0/mfrom mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all v=spf1 a mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all $ dig SPF cmmc.fr +short v=spf1 a mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all spf2.0/mfrom mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all $ dig SPF cmso.com +short spf2.0/mfrom mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all v=spf1 a mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all $ dig SPF suravenir.fr +short v=spf1 a mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all spf2.0/mfrom mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all ... Quant aux autres : # dig txt socgen.com +short v=spf1 a:tigmail.socgen.com a:realmail2.socgen.com a:realmail3.socgen.com a:realmail4.socgen.com a:realmail10.socgen.com a:realmail20.socgen.com a:realmail30.socgen.com a:realmail40.socgen.com ip4:193.178.155.96/28 ip4:207.45.249.160/27 ?all Ok, ils n'ont pas de type 99, et avec le ?all à la fin ils ne se mouillent pas beaucoup, mais hé, il y 'a quand même un effort. Il faut juste regarder sur le bon domaine, forcément. # dig txt bnpparibas.com +short v=spf1 ip4:155.140.133.128/26 ip4:159.50.169.64/26 ip4:159.50.101.64/26 ip4:159.50.176.0/26 ip4:137.236.179.183 ip4:137.236.179.133 ip4:137.236.179.83 ip4:155.140.121.252 ip4:155.140.122.252 ip4:74.112.67.22 ip4:89.206.4.135 ip4:217.167.24.180 mx ~all Un peu mieux pour la BNP,
Re: [FRnOG] [TECH] SPF v1 ou v2
Haha ok, je vois pour qui tu travailles =D --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SPF v1 ou v2
Hello, On 14 févr. 2012, at 19:38, Benjamin BILLON bbil...@splio.fr wrote: Ow et tant qu'on y est, il est préférable d'avoir des enregistrements TXT _et_ SPF (type 99) pour SPF (v1) et SenderID (v2). Tout simplement parce que le rr SPF est requêté en premier (le TXT n'est qu'un fallback pour que les serveurs ne sachant pas requêter du SPF puissent quand même vérifier les enregistrements. Hum la RFC sur le RR type SPF n'est plus en experimental ? -- Nicolas. --- Liste de diffusion du FRnOG http://www.frnog.org/
