[ploc]

Je suis actuellement en train découvrir la logique de spf afin d'arriver à configurer mon enregistrement spf sur mon domaine.

Sur le principe, c'est simple : il s'agit de lister les entités autorisées à envoyer légitimement des mails en utilisant mon domaine comme expéditeur.

Dans la pratique, c'est un peu plus compliqué car il y a de multiples manières de lister ces entités : par adresse ip, par domaine, par nom d'hôte. Bref, heureusement que openspf propose un assistant qui aide à générer un bon enregistrement spf : http://old.openspf.org/wizard.html

Mais je tombe alors sur un os. Dans mon cas, je suis abonné à Free et j'utilise le webmail ainsi que l'accès classique smtp/imap pour envoyer et recevoir du courrier. Quels sont les entités que je dois lister dans l'enregistrement spf ?

1/ Je pense que je dois mettre le serveur smtp de Free (pour mon accès smtp/imap).

2/ Pour le webmail, je suis un peu perdu, dois-je entrer la liste des serveurs imp (le client webmail), ou bien la liste des serveurs mx (je ne sais pas trop ce que c'est, des relais smtp ?), ou encore les serveurs smtp qu'utilisent les serveurs imp ?

Bref, je suis un peu en difficulté et j'ai un peu de mal à comprendre comment fonctionne les enregistrements spf...

Si un sympathique expert pouvait m'aider, ce ne serait pas de refus.

[zephrat]

Si tu regardes l'exemple là :

http://www.openspf.org/Introduction

tu verras que le gars veut pouvoir émettre des messages provenant de gmail.com et pour ça il utilise :

include:gmail.com

donc j'imagine qu'un :

include:free.fr

devrait faire l'affaire.

Mais malheureusement cela suppose que Free ait un enregistrement SPF, or ce n'est pas le cas (j'ai vérifié).
En faisant un include malgré tout, cela se terminerait par une "Permanent Error".

Donc une solution possible serait par exemple d'installer un webmail sur le serveur qui héberge ton domaine
et de poster à partir de là.

[ploc]

En effet, je ne peux pas faire référence au spf de Free puisque Free n'en propose pas dans sa configuration dns.

C'est donc à moi de faire le travail et de lister les serveurs de Free qui peuvent envoyer des mails.

Installer un webmail sur mon serveur ne fera que déplacer le problème. Quel serveur smtp utilisera mon webmail ? Il faudra bien que je le spécifie, et alors autant indiquer directement ce serveur smtp dans mon enregistrement spf...

Bref, il faut vraiment que j'essaie de mieux connaitre la configuration des serveurs mail de Free pour que mon enregistrement spf soit valide...

[zephrat]

En effet, je ne peux pas faire référence au spf de Free puisque Free n'en propose pas dans sa configuration dns.

C'est donc à moi de faire le travail et de lister les serveurs de Free qui peuvent envoyer des mails.

Mais justement, tu ne peux pas lister les serveurs SMTP de Free car ils n'ont pas d'enregistrement SPF dans le DNS de Free.

Les serveurs que tu peux lister dans une directive include doivent avoir impérativement avoir un enregistrement SPF sinon
ça met à plat tout l'intérêt du système. C'est une chaîne de confiance.

Installer un webmail sur mon serveur ne fera que déplacer le problème. Quel serveur smtp utilisera mon webmail ?

Le serveur SMTP local.

Pour résumer : tu te connectes en webmail à ton serveur, le programme PHP fait alors appel au serveur SMTP local
qui lui est bien référencé dans l'enregistrement SPF du DNS pour ton domaine.

[ploc]

Je crois que l'un de nous deux a mal compris le fonctionnement de spf.

Voici comment je vois les choses :

1/ Je dis que les serveurs smtp de free peuvent envoyer des emails avec mon domaine comme expéditeur, et comme je ne connais pas tous les serveurs mails de free, je dis qu'il faut se reporter à l'enregistrement spf de Free, en clair je leur sous-traite la gestion spf de leur serveur de mail (ce qui semble normal).

2/ Comme Free n'a pas d'engregistrement spf pour son domaine free.fr, je peux déclarer moi même la liste de tous les serveurs de Free qui envoient des mails.

On voit donc que, selon moi, on peut tout à fait se passer d'un enregistrement spf chez Free et pourtant utiliser spf sur mon domaine. Cela nécessite simplement de faire (à la place de Free) le travail de recensement de tous les serveurs qui envoient des mails.

Cela est d'ailleurs confirmé par une conversation similaire que j'ai sur les groups de Gandi...
http://groups.gandi.net/topic/gandi.fr.domaine/2886

Reste à déterminer cette fameuse liste de serveurs smtp pour Free, y'a des fois des postmaster de Free qui viennent sur les forums de Freenews ou vaut-il mieux que j'aille sur les news de Free/Proxad ?

[zephrat]

Effectivement, nous nous sommes mal compris : toi tu souhaites que n'importe quel PC de Freenaute infecté par un cheval de Troie ou autre ver
puisse spammer avec ton nom de domaine, le tout de façon authentifiée/certifiée.

Bon courage pour la suite !
:rolleyes:

[ploc]

Ecoute, j'essaie d'être constructif et tu te contente d'être ironique. Essaie de faire preuve d'un peu d'intelligence quoi !


Qu'est-ce que ça changera que ce soit moi ou Free qui authentifie les serveurs smtp de Free ?

[zephrat]

Qu'est-ce que ça changera que ce soit moi ou Free qui authentifie les serveurs smtp de Free ?

Rien en effet, ce sera tout aussi insécurisé.

D'où ma recommendation précédente d'installer un webmail sur ton serveur, de sorte que l'enregistrement SPF n'ait à mentionner
que le serveur SMTP local, utilisé par le webmail local.

En partant du principe que le serveur DNS, le serveur SMTP et le logiciel de webmail sont installés sur une même machine physique.
(même si ce n'est pas obligatoire pour que ça fonctionne)

[ploc]

Mais comme le serveur en question est un serveur mutualisé, ça ne règle pas le problème. Toute personne ayant accès au serveur smtp en question pourra utiliser mon adresse pour envoyer du spam...

C'est sûr, le spf n'est pas une solution 100% fiable pour régler le problème du spam. C'est un processus de fiabilisation progressive des expéditeurs d'email.

Ensuite, pour aller plus loin, il faut utiliser l'authentification sur les serveurs smtp et ça simplifiera grandement les choses !

[zephrat]

Mais comme le serveur en question est un serveur mutualisé, ça ne règle pas le problème.

Encore faudrait-il que tu l'aies indiqué précédemment ... on te répond en fonction de ce que tu dis et non en fonction
de ce que tu ne dis pas.

Là tu cherches à référencer N serveurs SMTP de Free. Déjà ce n'est pas facile d'établir une liste à peu près exhaustive,
ensuite cette liste va forcément évoluer régulièrement. La conséquence sera des serveurs Free non reconnus comme
autorisés à émettre pour ton nom de domaine, donc des mails rejetés. Après perte de temps pour comprendre
le pourquoi du rejet, le temps de trouver le ou les serveurs nouveaux à rajouter à la liste. En espérant que la propagation
DNS se fasse assez rapidemment pour que la modification du SPF soit prise en compte ...

Alors qu'avec un seul serveur SMTP (le serveur mutualisé) dûment authentifié une bonne fois pour toute ...

Enfin bon, chacun fait comme il veut.

[ploc]

Si d'autres personnes souhaitent répondre au premier message en haut de ce fil, qu'ils n'hésitent pas à apporter leurs compétences et leurs connaissances sur la configuration d'un champ spf dans un dns.