Re: [FRnOG] [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-30 Par sujet Francois Petillon

On 04/26/2012 01:29 PM, Eric Fourage wrote:

J'ai constaté que peu de FAI ADSL/cable français renseignent les records
SPF dans le nom de domaine de messagerie de leurs abonnés.
Outre le fait que ne ne comprends pas bien cette situation, c'est très
gênant avec les antispam Google (Gmail / Postini) et pour les inbox de
nos utilisateurs (PME Fr de qq milliers d'utilisateurs/~300 agences).
Sauf lacune de ma part, je n'en vois pas la raison si des spécialistes
de la question ou les admin/postmaster concernés peuvent m'éclairer...


Le problème de SPF est qu'il faut supporter le SMTP authentifié pour 
l'ensemble du parc d'abonné (dans le cas de Free, seul les comptes qui 
ont activé l'authentification SMTP peuvent l'utiliser). Rien que la mise 
en place de quotas sur le SMTP authentifié a permis de diviser par cent 
le volume de mails à destination du continent nord-americain (j'ai 
quelques spammeurs qui semblent se spécialiser dans l'utilisation de 
serveurs SMTP authentifiés). Accessoirement, on trouve aussi des SSII 
qui mettent en place des serveurs de messagerie utilisant nos serveurs 
comme relais via l'authentification (je présume que c'est pour éviter 
d'avoir à gérer la réputation de leurs serveurs).


Du coup, avoir plusieurs millions de comptes exploitables sur le SMTP 
authentifié signifie être capable d'être particulièrement réactif sur 
les abus (par réactif, je ne sous-entends pas lire abuse mais être 
capable de faire de la réputation sur les expéditeurs en temps réel pour 
bloquer les comptes à problème).


François


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-27 Par sujet Eric Fourage
Le 27 avril 2012 00:57, Nicolas Limage nico...@xephon.org a écrit :

 Le 2012-04-26 14:53, Eric Fourage a écrit :

  mais normalement avec un ?all il ne devrait pas y avoir de rejets, en
 tous cas chez les providers mail serieux ?
 concernant Gmail c'est plutot l'absence de records qui augmente les
 chances
 d'être rejetté ou mis en quarantaine/spams.


 Le problème est essentiellement historique.

 Comme tout le monde a été habitué à avoir un SMTP de FAI open relay
 depuis
 le réseau de celui-ci (essentiellement pour ne pas se prendre la tete avec
 les clients), et que toutes les documentations ont été imprimées comme ca,
 la situation va avoir du mal à changer (toujours pour éviter la prise de
 tête)

 Tant que chaque fournisseur de mail ne fournit pas un serveur sortant
 avec du SMTP authentifié, on aura toujours besoin de ce relais SMTP des
 FAI.

 Mais avoir un serveur sortant, ça prend du temps, des ressources,
 et ca oblige à gérer toutes les problématiques de spam sortant, bref la
 question qui va émerger est : pourquoi se prendre la tête alors qu'on peut
 s'en passer ?

 Au niveau des FAI, c'est plus simple de filtrer sur les IPs que de mettre
 en
 place une authentification. Et limiter les envois à son réseau, ça évite
 aussi
 les problèmes de spammeurs extérieurs.

on est bien d'accord


 Sans cette condition de fournir un SMTP sortant, le fournisseur de mail

... de fournir un SMTP sortant authentifié

ne peut pas contrôler les IPs qui émettront des emails avec son domaine,
 ce qui empêche de mettre en place une politique stricte SPF et DKIM.

sauf que justement SPF prévoit ça avec un softfail/none sur les records
~all / ?all 


 Avoir des politiques strictes et dropper des mails va aussi créer
 des plaintes utilisateurs là où il n'y en avait pas.

mais les rejets/drops sont du fait des messagerie du destinataire, pas du
FAI source, c'est à eux qu'il faut se plaindre !


 Donc aujourd'hui, ce type de mécanismes reste, à mon avis, pour les FAI,
 plus indicatif qu'autre chose, mais toujours bon à donner à manger
 à un antispam pour l'aider à améliorer ses décisions.


tout le monde y gagne à le mettre en place, à condition de le faire
correctement coté FAI, et de l'interpréter comme il se doit coté récepteur
(antispam).


 --
 Nicolas Limage



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/




-- 
Eric FOURAGE
5 av. de la république
69160 TASSIN-LA-DEMI-LUNE
gsm: 06 03 35 80 81
tel: 09 51 31 44 14

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-27 Par sujet hc
To: nicolas
CC: frnog-tech
Subject: Re: [FRnOG] [TECH] records SPF des domaines de messagerie des FAI 
ADSL/cable
Le 27 avril 2012 00:57, Nicolas Limage nico...@xephon.org a écrit :

 Le 2012-04-26 14:53, Eric Fourage a écrit :

  mais normalement avec un ?all il ne devrait pas y avoir de rejets, en
 tous cas chez les providers mail serieux ?
 concernant Gmail c'est plutot l'absence de records qui augmente les
 chances
 d'être rejetté ou mis en quarantaine/spams.


 Le problème est essentiellement historique.

 Comme tout le monde a été habitué à avoir un SMTP de FAI open relay
 depuis
 le réseau de celui-ci (essentiellement pour ne pas se prendre la tete avec
 les clients), et que toutes les documentations ont été imprimées comme ca,
 la situation va avoir du mal à changer (toujours pour éviter la prise de
 tête)

 Tant que chaque fournisseur de mail ne fournit pas un serveur sortant
 avec du SMTP authentifié, on aura toujours besoin de ce relais SMTP des
 FAI.

 Mais avoir un serveur sortant, ça prend du temps, des ressources,
 et ca oblige à gérer toutes les problématiques de spam sortant, bref la
 question qui va émerger est : pourquoi se prendre la tête alors qu'on peut
 s'en passer ?

 Au niveau des FAI, c'est plus simple de filtrer sur les IPs que de mettre
 en
 place une authentification. Et limiter les envois à son réseau, ça évite
 aussi
 les problèmes de spammeurs extérieurs.

on est bien d'accord


 Sans cette condition de fournir un SMTP sortant, le fournisseur de mail

... de fournir un SMTP sortant authentifié

ne peut pas contrôler les IPs qui émettront des emails avec son domaine,
 ce qui empêche de mettre en place une politique stricte SPF et DKIM.

sauf que justement SPF prévoit ça avec un softfail/none sur les records
~all / ?all 


 Avoir des politiques strictes et dropper des mails va aussi créer
 des plaintes utilisateurs là où il n'y en avait pas.

mais les rejets/drops sont du fait des messagerie du destinataire, pas du
FAI source, c'est à eux qu'il faut se plaindre !


 Donc aujourd'hui, ce type de mécanismes reste, à mon avis, pour les FAI,
 plus indicatif qu'autre chose, mais toujours bon à donner à manger
 à un antispam pour l'aider à améliorer ses décisions.


tout le monde y gagne à le mettre en place, à condition de le faire
correctement coté FAI, et de l'interpréter comme il se doit coté récepteur
(antispam).


 --
 Nicolas Limage



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/




-- 
Eric FOURAGE
5 av. de la république
69160 TASSIN-LA-DEMI-LUNE
gsm: 06 03 35 80 81
tel: 09 51 31 44 14

---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-26 Par sujet Eric Fourage
bonjour à tous,

J'ai constaté que peu de FAI ADSL/cable français renseignent les records
SPF dans le nom de domaine de messagerie de leurs abonnés.
Outre le fait que ne ne comprends pas bien cette situation, c'est très
gênant avec les antispam Google (Gmail / Postini) et pour les inbox de
nos utilisateurs (PME Fr de qq milliers d'utilisateurs/~300 agences).
Sauf lacune de ma part, je n'en vois pas la raison si des spécialistes
de la question ou les admin/postmaster concernés peuvent m'éclairer...


existence des records SPF:

sfr.fr  OK
bbox.fr   OK
bouyguestel.fr  non
orange.fr / wanadoo.fr non
free.fr  non
numericable.frnon
dartybox.fr   non



Eric

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-26 Par sujet Boris Pigeot

Moi je trouve ça bien.
Faire sortir des mails en @sfr.fr sans passer par un serveur SFR, c'est 
du coup pas vérifiable.

Bon, d'un autre côté avec un ?all, ils vont pas chercher très loin.

On 26/04/2012 13:29, Eric Fourage wrote:

bonjour à tous,

J'ai constaté que peu de FAI ADSL/cable français renseignent les records
SPF dans le nom de domaine de messagerie de leurs abonnés.
Outre le fait que ne ne comprends pas bien cette situation, c'est très
gênant avec les antispam Google (Gmail / Postini) et pour les inbox de
nos utilisateurs (PME Fr de qq milliers d'utilisateurs/~300 agences).
Sauf lacune de ma part, je n'en vois pas la raison si des spécialistes
de la question ou les admin/postmaster concernés peuvent m'éclairer...


existence des records SPF:

sfr.fr  OK
bbox.fr   OK
bouyguestel.fr  non
orange.fr / wanadoo.fr non
free.fr  non
numericable.frnon
dartybox.fr   non



Eric

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-26 Par sujet Laurent CARON
On Thu, Apr 26, 2012 at 01:29:47PM +0200, Eric Fourage wrote:
 J'ai constaté que peu de FAI ADSL/cable français renseignent les records
 SPF dans le nom de domaine de messagerie de leurs abonnés.

Bonjour,

Je pense qu'ils ne le font pas pour 2 raisons (principalement):

- Paresse, non-volonté, ... on peut appeler ça de 1001 manières
  différentes
- Simplicité (la théorie du moindre emmerdement):
Si tu renseigne SPF pour @${FAI_DE_MME_MICHU} tu va devoir gérer les
- mon mail envoyé à ${MON_COUSIN}@gmail.com n'est pas parvenu
- Madame Michu, vous n'avez pas parametré le bon sevreur SMTP sur
  votre smartphone.
- Le quoi ?
- Votre serveur SMTP
- Si c'est comme ça, vous êtes mauvais, je résilie pour aller chez
  ${FAI_DES_BISOUNOURS}





---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-26 Par sujet Grégoire Compagnon

Le 26/04/2012 14:28, Laurent CARON a écrit :

- Madame Michu, vous n'avez pas parametré le bon sevreur SMTP sur
  votre smartphone.
- Le quoi ?

On  a pas forcement le choix... Bouygues Télécom (tout du moins BYou) 
capture tout le trafic du port 25 pour le rediriger vers leurs propres SMTP.
Et d'autres opérateurs, bloque tout simplement les SMTP en dehors des 
leurs...



Greg


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-26 Par sujet Sebastien Lesimple
Pas en SMTP Authentifié, via port 587.
BYou laisse passer et tous les autres aussi.


Le 26/04/2012 14:37, Grégoire Compagnon a écrit :
 Le 26/04/2012 14:28, Laurent CARON a écrit :
 - Madame Michu, vous n'avez pas parametré le bon sevreur SMTP sur
   votre smartphone.
 - Le quoi ?

 On  a pas forcement le choix... Bouygues Télécom (tout du moins BYou)
 capture tout le trafic du port 25 pour le rediriger vers leurs propres
 SMTP.
 Et d'autres opérateurs, bloque tout simplement les SMTP en dehors des
 leurs...
 
 
 Greg
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

attachment: s_lesimple.vcf

signature.asc
Description: OpenPGP digital signature


Re: [FRnOG] [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-26 Par sujet Nicolas Limage

Le 2012-04-26 14:53, Eric Fourage a écrit :
mais normalement avec un ?all il ne devrait pas y avoir de rejets, 
en

tous cas chez les providers mail serieux ?
concernant Gmail c'est plutot l'absence de records qui augmente les 
chances

d'être rejetté ou mis en quarantaine/spams.


Le problème est essentiellement historique.

Comme tout le monde a été habitué à avoir un SMTP de FAI open relay 
depuis
le réseau de celui-ci (essentiellement pour ne pas se prendre la tete 
avec
les clients), et que toutes les documentations ont été imprimées comme 
ca,
la situation va avoir du mal à changer (toujours pour éviter la prise 
de tête)


Tant que chaque fournisseur de mail ne fournit pas un serveur sortant
avec du SMTP authentifié, on aura toujours besoin de ce relais SMTP des 
FAI.


Mais avoir un serveur sortant, ça prend du temps, des ressources,
et ca oblige à gérer toutes les problématiques de spam sortant, bref la
question qui va émerger est : pourquoi se prendre la tête alors qu'on 
peut

s'en passer ?

Au niveau des FAI, c'est plus simple de filtrer sur les IPs que de 
mettre en
place une authentification. Et limiter les envois à son réseau, ça 
évite aussi

les problèmes de spammeurs extérieurs.

Sans cette condition de fournir un SMTP sortant, le fournisseur de mail
ne peut pas contrôler les IPs qui émettront des emails avec son 
domaine,

ce qui empêche de mettre en place une politique stricte SPF et DKIM.
Avoir des politiques strictes et dropper des mails va aussi créer
des plaintes utilisateurs là où il n'y en avait pas.

Donc aujourd'hui, ce type de mécanismes reste, à mon avis, pour les 
FAI,

plus indicatif qu'autre chose, mais toujours bon à donner à manger
à un antispam pour l'aider à améliorer ses décisions.

--
Nicolas Limage


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] records SPF des domaines de messagerie des FAI ADSL/cable

2012-04-26 Par sujet Aurélien Leicknam

 ce qui empêche de mettre en place une politique stricte SPF et DKIM.
 Avoir des politiques strictes et dropper des mails va aussi créer
 des plaintes utilisateurs là où il n'y en avait pas.

 Donc aujourd'hui, ce type de mécanismes reste, à mon avis, pour les FAI,
 plus indicatif qu'autre chose, mais toujours bon à donner à manger
 à un antispam pour l'aider à améliorer ses décisions.

 Et si au fond du fond, la question, ne serait pas de savoir si la question
de savoir l'ISP est ou non capable de fournir ce type de service ?

J'en veux pour preuve les mails opérateurs, avec la tentation
invraissemblable de portabilité du mail, du certificat universel, idnum
me trotte dans la tête balabla, tout ça ressemble à des spéc.wav


 --
 Nicolasme trott Limage



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/




-- 
Aurélien

---
Liste de diffusion du FRnOG
http://www.frnog.org/