4 votes

Alexey Kamenskiy avatar

Comment récupérer un nom de domaine à partir d'un mauvais enregistrement SPF ?

Demandé el 27 de Août, 2018
Quand la question a-t-elle été
301 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

TL;DR : Nous avions un FPS trop permissif ( +all ) et les spammeurs l'utilisaient pour envoyer des tonnes de spam "depuis" notre domaine. Nous avons limité cela à ~all et ajouté DMARC (pas DKIM cependant), maintenant les autres fournisseurs ne font pas confiance à nos vrais emails. Comment faire pour qu'ils fassent confiance à notre domaine/enregistrement SPF sans le rendre trop permissif à nouveau ?

Je travaille pour cette entreprise depuis un certain temps maintenant. Cependant, la gestion du DNS est effectuée par d'autres personnes.

J'ai remarqué que notre enregistrement SPF était assez mauvais (littéralement +all à la fin) et les personnes qui gèrent les DNS ont fait valoir que cela est nécessaire puisque de nombreux serveurs envoient des rapports automatiques hebdomadaires/quotidiens. Cependant, en y regardant de plus près, ils n'utilisent pas notre nom de domaine de courrier. J'ai donc suggéré de modifier l'enregistrement SPF pour qu'il contienne au moins les éléments suivants ~all à la fin et ajoutez l'enregistrement DMARC pour recevoir des rapports sur les messages considérés comme du spam. Nous n'avons pas pu ajouter DKIM car il y a plusieurs systèmes qui nécessitent l'envoi d'emails (tous proxiés via les serveurs GMail avec leurs serveurs smtp-proxy).

Une fois que nous l'avons fait, nous avons commencé à recevoir un grand nombre de rapports sur des messages de spam avec notre nom de domaine comme expéditeur. Tous ces messages ressemblent à du spam et ne sont certainement pas envoyés par nos serveurs.

C'est évidemment ce que nous voulions obtenir, mais je constate maintenant que nos messages légitimes sont également envoyés dans les spams, même si tous les serveurs d'envoi sont ajoutés dans le SPF (nous utilisons Gmail pour les affaires).

Q : Comment pouvons-nous nous en sortir et faire en sorte que les autres fournisseurs fassent confiance aux courriels envoyés par les hôtes dans notre SPF (maintenant valide) ?

UPD : Vous trouverez ci-dessous des exemples d'enregistrements SPF et DMARC dont nous disposons :

v=spf1 ip4:xx.xx.xx.xx ip4:yy.yy.yy.yy ip4:zz.zz.zz.zz include:_spf.google.com ~all

v=DMARC1; p=none; rua=mailto:dmarc.report@company.com; ruf=mailto:dmarc.report@company.com; sp=none; fo=1; adkim=r; aspf=s
Demandé el 27 de Août, 2018 par Alexey Kamenskiy

Réponse

Trop de publicités?

2voto

Neil Anuskiewicz avatar
Neil Anuskiewicz Points 421

  1. Faites DKIM pour chaque expéditeur légitime. Est-ce fait pour tous les expéditeurs que vous indiquez dans votre enregistrement SPF ?

  2. Changez le ~ALL (softfail) en -ALL (hardfail).

  3. Lorsque vous êtes sûr d'avoir authentifié tous les courriels légitimes, que p=none a été utilisé pendant un certain temps et que les rapports n'indiquent pas que les courriels légitimes n'ont pas été authentifiés, passez à l'étape suivante. p=none à p=reject . Ainsi, l'authentification de votre courriel aura des dents, pour ainsi dire, car les fournisseurs de boîtes de réception commenceront à rejeter les courriels non authentifiés.

Une fois que vous avez opté pour p=reject, il est important de veiller à mettre à jour l'authentification de votre courrier électronique, c'est-à-dire que si une adresse IP change ou si vous changez de fournisseur, il est essentiel de modifier votre enregistrement SPF et de configurer DKIM.

Cela vous aidera à nettoyer votre réputation car les spammeurs et les escrocs ne pourront plus usurper votre nom de domaine. Cela vous aidera à commencer à reconstruire votre réputation, car les spammeurs ne pourront plus ruiner votre nom de domaine en envoyant des messages affreux avec celui-ci.

En dehors de l'authentification du courrier électronique, vous pouvez également vous assurer que vous utilisez les meilleures pratiques en matière de courrier électronique. Par exemple, faites-vous du marketing par courriel ? Si oui, faites-vous du double opt-in ? Remettez-vous périodiquement à zéro les adresses électroniques qui n'ont pas été utilisées pendant un certain temps, disons 3 ou 6 mois, afin de ne pas envoyer d'e-mails à des personnes qui, pour une raison ou une autre, ne les utilisent jamais.

Vérifiez que toutes les adresses IP à partir desquelles vous envoyez des messages figurent sur des listes noires, etc. et, en supposant que vous ayez mis fin aux pratiques qui vous ont valu de figurer sur la liste noire, demandez à en être retiré. S'il s'agit d'une adresse IP partagée qui figure sur une liste noire sérieuse, vous devrez peut-être parler à l'ESP du bloc d'adresses IP partagées sur lequel vous vous trouvez.

Répondu el 27 de Août, 2018 par Neil Anuskiewicz (421 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X