"T" == Thomas writes:
T> personne n'a d'avis ?
Cela peut être utilisé quand un nom de domaine (hotmail.com, gmail.com,
ebay.com, etc) est fréquemment usurpé par les spammeurs et que les dits
domaines ont mis en place un enregistrement SPF : cela permet de vérifier
que c'est le "bon" serveur qui envoit le courrier.
Pour les autres cas d'utilisation, mieux vaut s'abstenir ...
"T" == Thomas <fantome.forums.tDeContes@free.fr.invalid> writes:
T> personne n'a d'avis ?
Cela peut être utilisé quand un nom de domaine (hotmail.com, gmail.com,
ebay.com, etc) est fréquemment usurpé par les spammeurs et que les dits
domaines ont mis en place un enregistrement SPF : cela permet de vérifier
que c'est le "bon" serveur qui envoit le courrier.
Pour les autres cas d'utilisation, mieux vaut s'abstenir ...
"T" == Thomas writes:
T> personne n'a d'avis ?
Cela peut être utilisé quand un nom de domaine (hotmail.com, gmail.com,
ebay.com, etc) est fréquemment usurpé par les spammeurs et que les dits
domaines ont mis en place un enregistrement SPF : cela permet de vérifier
que c'est le "bon" serveur qui envoit le courrier.
Pour les autres cas d'utilisation, mieux vaut s'abstenir ...
"T" == Thomas writes:
"T" == Thomas <fantome.forums.tDeContes@free.fr.invalid> writes:
"T" == Thomas writes:
Thomas écrivait :
qu'appelles tu "autres cas d'utilisation" ?
le symetrique de ce dont tu parlais au dessus, cad mettre un
enregistrement SPF pour son domaine, ou bien tout autre chose ??
SPF est tout simplement iincompatibl avec SMTP.
Il y a bien des
contournment proposés, mais il faut pour que ça marche que tous les
serveurs les implémentent à commencer par ceux qui ne font pas de
SPF.
Dabns ce cas autant retourner à X400.
Thomas <fantome.forums.tDeContes@free.fr.invalid> écrivait :
qu'appelles tu "autres cas d'utilisation" ?
le symetrique de ce dont tu parlais au dessus, cad mettre un
enregistrement SPF pour son domaine, ou bien tout autre chose ??
SPF est tout simplement iincompatibl avec SMTP.
Il y a bien des
contournment proposés, mais il faut pour que ça marche que tous les
serveurs les implémentent à commencer par ceux qui ne font pas de
SPF.
Dabns ce cas autant retourner à X400.
Thomas écrivait :
qu'appelles tu "autres cas d'utilisation" ?
le symetrique de ce dont tu parlais au dessus, cad mettre un
enregistrement SPF pour son domaine, ou bien tout autre chose ??
SPF est tout simplement iincompatibl avec SMTP.
Il y a bien des
contournment proposés, mais il faut pour que ça marche que tous les
serveurs les implémentent à commencer par ceux qui ne font pas de
SPF.
Dabns ce cas autant retourner à X400.
"T" == Thomas writes:
T> c'est bien ce que j'avais cru comprendre, à ceci pres que c'est valable
T> pour tous ceux qui ont mis un enregistrement SPF pour leur domaine
C'est là où vous faites l'erreur. Les premiers à mettre des
enregistrements SPF sont les spammeurs : donc il ne faut pas se baser
*uniquement* sur l'enregistrement SPF.
T> mais pour ca j'aurais voulu qu'on m'explique un peu plus precisément
T> comment ca marche techniquement (ou qu'on me donne des liens pour)
T> (ce que tu m'a dis c'est encore un peu vague)
Juste un exemple
Nov 25 10:10:45 moulon citrinitas: ACCEPT HELO fe-3a.inet.it
Nov 25 10:10:45 moulon citrinitas: SPF result softfail for
Nov 25 10:10:45 moulon sm-mta[16742]: jAP99Wf8016742: Milter:
to=, rejectE1 4.1.8 Sender IP 213.92.5.105 with helo
fe-3a.inet.it is not a permitted sender for , see
http://spf.pobox.com/why.html
Quand moulon reçoit un message avec une adresse @ebay.com il vérifie
qu'il provient bien d'un serveur désigné par ebay sinon il jette. En fait
il ne fait que cela
moulon% spfquery -ip!3.92.5.105 -sender= -heloþ-3a.inet.it
softfail
Please see
http://spf.pobox.com/why.html?sender=memer%40ebay.com&ip!3.92.5.105&receiver=spfquery
spfquery: transitioning domain of does not designate
213.92.5.105 as permitted sender
Received-SPF: softfail (spfquery: transitioning domain of does
not designate 213.92.5.105 as permitted sender) client-ip!3.92.5.105;
envelope-from=; heloþ-3a.inet.it;
moulon%
Comme il reçoit un "softfail", il répond par un code 4xxx (il faut laisser
leur chance aux spammeurs :-)
T> qu'appelles tu "autres cas d'utilisation" ?
Comme dit par d'autres, SPF ne peut pas marcher avec SMTP
"T" == Thomas <fantome.forums.tDeContes@free.fr.invalid> writes:
T> c'est bien ce que j'avais cru comprendre, à ceci pres que c'est valable
T> pour tous ceux qui ont mis un enregistrement SPF pour leur domaine
C'est là où vous faites l'erreur. Les premiers à mettre des
enregistrements SPF sont les spammeurs : donc il ne faut pas se baser
*uniquement* sur l'enregistrement SPF.
T> mais pour ca j'aurais voulu qu'on m'explique un peu plus precisément
T> comment ca marche techniquement (ou qu'on me donne des liens pour)
T> (ce que tu m'a dis c'est encore un peu vague)
Juste un exemple
Nov 25 10:10:45 moulon citrinitas: ACCEPT HELO fe-3a.inet.it
Nov 25 10:10:45 moulon citrinitas: SPF result softfail for <memer@ebay.com>
Nov 25 10:10:45 moulon sm-mta[16742]: jAP99Wf8016742: Milter:
to=<decoux@moulon.inra.fr>, rejectE1 4.1.8 Sender IP 213.92.5.105 with helo
fe-3a.inet.it is not a permitted sender for <memer@ebay.com>, see
http://spf.pobox.com/why.html
Quand moulon reçoit un message avec une adresse @ebay.com il vérifie
qu'il provient bien d'un serveur désigné par ebay sinon il jette. En fait
il ne fait que cela
moulon% spfquery -ip!3.92.5.105 -sender=memer@ebay.com -heloþ-3a.inet.it
softfail
Please see
http://spf.pobox.com/why.html?sender=memer%40ebay.com&ip!3.92.5.105&receiver=spfquery
spfquery: transitioning domain of memer@ebay.com does not designate
213.92.5.105 as permitted sender
Received-SPF: softfail (spfquery: transitioning domain of memer@ebay.com does
not designate 213.92.5.105 as permitted sender) client-ip!3.92.5.105;
envelope-from=memer@ebay.com; heloþ-3a.inet.it;
moulon%
Comme il reçoit un "softfail", il répond par un code 4xxx (il faut laisser
leur chance aux spammeurs :-)
T> qu'appelles tu "autres cas d'utilisation" ?
Comme dit par d'autres, SPF ne peut pas marcher avec SMTP
"T" == Thomas writes:
T> c'est bien ce que j'avais cru comprendre, à ceci pres que c'est valable
T> pour tous ceux qui ont mis un enregistrement SPF pour leur domaine
C'est là où vous faites l'erreur. Les premiers à mettre des
enregistrements SPF sont les spammeurs : donc il ne faut pas se baser
*uniquement* sur l'enregistrement SPF.
T> mais pour ca j'aurais voulu qu'on m'explique un peu plus precisément
T> comment ca marche techniquement (ou qu'on me donne des liens pour)
T> (ce que tu m'a dis c'est encore un peu vague)
Juste un exemple
Nov 25 10:10:45 moulon citrinitas: ACCEPT HELO fe-3a.inet.it
Nov 25 10:10:45 moulon citrinitas: SPF result softfail for
Nov 25 10:10:45 moulon sm-mta[16742]: jAP99Wf8016742: Milter:
to=, rejectE1 4.1.8 Sender IP 213.92.5.105 with helo
fe-3a.inet.it is not a permitted sender for , see
http://spf.pobox.com/why.html
Quand moulon reçoit un message avec une adresse @ebay.com il vérifie
qu'il provient bien d'un serveur désigné par ebay sinon il jette. En fait
il ne fait que cela
moulon% spfquery -ip!3.92.5.105 -sender= -heloþ-3a.inet.it
softfail
Please see
http://spf.pobox.com/why.html?sender=memer%40ebay.com&ip!3.92.5.105&receiver=spfquery
spfquery: transitioning domain of does not designate
213.92.5.105 as permitted sender
Received-SPF: softfail (spfquery: transitioning domain of does
not designate 213.92.5.105 as permitted sender) client-ip!3.92.5.105;
envelope-from=; heloþ-3a.inet.it;
moulon%
Comme il reçoit un "softfail", il répond par un code 4xxx (il faut laisser
leur chance aux spammeurs :-)
T> qu'appelles tu "autres cas d'utilisation" ?
Comme dit par d'autres, SPF ne peut pas marcher avec SMTP
"T" == Thomas writes:
"T" == Thomas <fantome.forums.tDeContes@free.fr.invalid> writes:
"T" == Thomas writes:
"T" == Thomas writes:
T> est ce qu'ils prennent simplement un nom de domaine et qu'ils mettent un
T> enregistrement SPF dessus, pour pouvoir dire "c'est vraiment moi",
Ils mettent des enregistrements SPF en espérant qu'il y ait des serveurs
suffisamment crédules pour les laisser passer, sans aucune autre
vérification.
T> dans le 1er cas c'est pas un pb, il suffit de mettre une liste noire
T> traditionnelle derriere le filtre SPF,
Dans ce cas, SPF ne sert à rien puisqu'on est revenu au système tel qu'il est
actuellement. Avec liste noire : DNSBL ou tout ce que vous voulez qui est
utilisé actuellement.
SPF n'apporte rien,
sinon des ennuis (problème de forward, ...)
T> d'apres ce que j'ai vu, SPF reponds oui ou non mais ne sais pas repondre
T> "indéfini", et c'est ca qui fait que pour que ca marche il faut que ca
T> soit d'abord implémenté partout, c'est ca ?
En bref, SPF peut répondre : oui, non, peut-être bien que non, je ne sais
pas, bof (je m'en fous). C'est très expressif comme chose :-)
Les codes
#define HR_PASS "pass"
#define HR_NONE "none"
#define HR_S_FAIL "softfail"
#define HR_H_FAIL "fail"
#define HR_ERROR "error"
#define HR_NEUTRAL "neutral"
#define HR_UNKNOWN "unknown"
#define HR_UNMECH "unknown mechanism"
Quans il répond non, vous avez une idée mais dans tous les autres cas vous
n'êtes pas plus avancé que maintenant.
T> mais, il parait que SPF est en cours de normalisation, donc quand ce
T> sera normalisé on pourra partir du principe que tous les serveurs smtp
T> *doivent* implmenter ca, non ?
Non, vous pouvez seulement espèrer que toutes les implèmentations de SPF
vont suivre le même cahier des charges (la RFC), mais personne ne sera
obligé de l'implémenter, sauf contraintes de l'extérieur.
T> (je sais pas ce que veut dire 4xx, un vrai msg d'erreur c'est 5xx c'est
T> ca ?)
4xx : code d'erreur temporaire. Le serveur en face doit re-essayer plus
tard
5xx : erreur définitive
T> mais ca marche avec quoi, alors ?
Personne ne sait :-)
T> ca veut dire que si j'utilise smtp pour envoyer des messages, je ne peux
T> pas utiliser SPF pour proteger mon domaine d'etre usurpé ??
Non, vous ne pouvez pas. Votre domaine sera toujours usurpé. La seule
chose que cela permettra est que si quelqu'un a *suffisamment confiance en
vous* il vérifiera votre enregistrement SPF pour savoir si cela a l'air de
coincider.
Comme a priori un enregistrement SPF n'est pas fiable (les
spammeurs les utilisent), sa valeur est faible.
Voilà, par exemple, l'enregistrement SPF d'un spammeur
moulon% host -ttxt edt02.net
edt02.net descriptive text "v=spf1 mx ip4:82.138.77.0/24"
moulon%
Si il croit q'il lui suffit d'avoir son enregistrement, pour envoyer du
SPAM au moulon, il se fait des illusions :-)
Il y a d'autres mécanismes qui sont (ou étaient ???) etudiés, dont
notamment l'enregistrement des serveurs SMTP sortants (i.e. qui envoit du
courrier) dans le DNS pour pouvoir facilement bloquer les zombies.
"T" == Thomas <fantome.forums.tDeContes@free.fr.invalid> writes:
T> est ce qu'ils prennent simplement un nom de domaine et qu'ils mettent un
T> enregistrement SPF dessus, pour pouvoir dire "c'est vraiment moi",
Ils mettent des enregistrements SPF en espérant qu'il y ait des serveurs
suffisamment crédules pour les laisser passer, sans aucune autre
vérification.
T> dans le 1er cas c'est pas un pb, il suffit de mettre une liste noire
T> traditionnelle derriere le filtre SPF,
Dans ce cas, SPF ne sert à rien puisqu'on est revenu au système tel qu'il est
actuellement. Avec liste noire : DNSBL ou tout ce que vous voulez qui est
utilisé actuellement.
SPF n'apporte rien,
sinon des ennuis (problème de forward, ...)
T> d'apres ce que j'ai vu, SPF reponds oui ou non mais ne sais pas repondre
T> "indéfini", et c'est ca qui fait que pour que ca marche il faut que ca
T> soit d'abord implémenté partout, c'est ca ?
En bref, SPF peut répondre : oui, non, peut-être bien que non, je ne sais
pas, bof (je m'en fous). C'est très expressif comme chose :-)
Les codes
#define HR_PASS "pass"
#define HR_NONE "none"
#define HR_S_FAIL "softfail"
#define HR_H_FAIL "fail"
#define HR_ERROR "error"
#define HR_NEUTRAL "neutral"
#define HR_UNKNOWN "unknown"
#define HR_UNMECH "unknown mechanism"
Quans il répond non, vous avez une idée mais dans tous les autres cas vous
n'êtes pas plus avancé que maintenant.
T> mais, il parait que SPF est en cours de normalisation, donc quand ce
T> sera normalisé on pourra partir du principe que tous les serveurs smtp
T> *doivent* implmenter ca, non ?
Non, vous pouvez seulement espèrer que toutes les implèmentations de SPF
vont suivre le même cahier des charges (la RFC), mais personne ne sera
obligé de l'implémenter, sauf contraintes de l'extérieur.
T> (je sais pas ce que veut dire 4xx, un vrai msg d'erreur c'est 5xx c'est
T> ca ?)
4xx : code d'erreur temporaire. Le serveur en face doit re-essayer plus
tard
5xx : erreur définitive
T> mais ca marche avec quoi, alors ?
Personne ne sait :-)
T> ca veut dire que si j'utilise smtp pour envoyer des messages, je ne peux
T> pas utiliser SPF pour proteger mon domaine d'etre usurpé ??
Non, vous ne pouvez pas. Votre domaine sera toujours usurpé. La seule
chose que cela permettra est que si quelqu'un a *suffisamment confiance en
vous* il vérifiera votre enregistrement SPF pour savoir si cela a l'air de
coincider.
Comme a priori un enregistrement SPF n'est pas fiable (les
spammeurs les utilisent), sa valeur est faible.
Voilà, par exemple, l'enregistrement SPF d'un spammeur
moulon% host -ttxt edt02.net
edt02.net descriptive text "v=spf1 mx ip4:82.138.77.0/24"
moulon%
Si il croit q'il lui suffit d'avoir son enregistrement, pour envoyer du
SPAM au moulon, il se fait des illusions :-)
Il y a d'autres mécanismes qui sont (ou étaient ???) etudiés, dont
notamment l'enregistrement des serveurs SMTP sortants (i.e. qui envoit du
courrier) dans le DNS pour pouvoir facilement bloquer les zombies.
"T" == Thomas writes:
T> est ce qu'ils prennent simplement un nom de domaine et qu'ils mettent un
T> enregistrement SPF dessus, pour pouvoir dire "c'est vraiment moi",
Ils mettent des enregistrements SPF en espérant qu'il y ait des serveurs
suffisamment crédules pour les laisser passer, sans aucune autre
vérification.
T> dans le 1er cas c'est pas un pb, il suffit de mettre une liste noire
T> traditionnelle derriere le filtre SPF,
Dans ce cas, SPF ne sert à rien puisqu'on est revenu au système tel qu'il est
actuellement. Avec liste noire : DNSBL ou tout ce que vous voulez qui est
utilisé actuellement.
SPF n'apporte rien,
sinon des ennuis (problème de forward, ...)
T> d'apres ce que j'ai vu, SPF reponds oui ou non mais ne sais pas repondre
T> "indéfini", et c'est ca qui fait que pour que ca marche il faut que ca
T> soit d'abord implémenté partout, c'est ca ?
En bref, SPF peut répondre : oui, non, peut-être bien que non, je ne sais
pas, bof (je m'en fous). C'est très expressif comme chose :-)
Les codes
#define HR_PASS "pass"
#define HR_NONE "none"
#define HR_S_FAIL "softfail"
#define HR_H_FAIL "fail"
#define HR_ERROR "error"
#define HR_NEUTRAL "neutral"
#define HR_UNKNOWN "unknown"
#define HR_UNMECH "unknown mechanism"
Quans il répond non, vous avez une idée mais dans tous les autres cas vous
n'êtes pas plus avancé que maintenant.
T> mais, il parait que SPF est en cours de normalisation, donc quand ce
T> sera normalisé on pourra partir du principe que tous les serveurs smtp
T> *doivent* implmenter ca, non ?
Non, vous pouvez seulement espèrer que toutes les implèmentations de SPF
vont suivre le même cahier des charges (la RFC), mais personne ne sera
obligé de l'implémenter, sauf contraintes de l'extérieur.
T> (je sais pas ce que veut dire 4xx, un vrai msg d'erreur c'est 5xx c'est
T> ca ?)
4xx : code d'erreur temporaire. Le serveur en face doit re-essayer plus
tard
5xx : erreur définitive
T> mais ca marche avec quoi, alors ?
Personne ne sait :-)
T> ca veut dire que si j'utilise smtp pour envoyer des messages, je ne peux
T> pas utiliser SPF pour proteger mon domaine d'etre usurpé ??
Non, vous ne pouvez pas. Votre domaine sera toujours usurpé. La seule
chose que cela permettra est que si quelqu'un a *suffisamment confiance en
vous* il vérifiera votre enregistrement SPF pour savoir si cela a l'air de
coincider.
Comme a priori un enregistrement SPF n'est pas fiable (les
spammeurs les utilisent), sa valeur est faible.
Voilà, par exemple, l'enregistrement SPF d'un spammeur
moulon% host -ttxt edt02.net
edt02.net descriptive text "v=spf1 mx ip4:82.138.77.0/24"
moulon%
Si il croit q'il lui suffit d'avoir son enregistrement, pour envoyer du
SPAM au moulon, il se fait des illusions :-)
Il y a d'autres mécanismes qui sont (ou étaient ???) etudiés, dont
notamment l'enregistrement des serveurs SMTP sortants (i.e. qui envoit du
courrier) dans le DNS pour pouvoir facilement bloquer les zombies.
"T" == Thomas writes:
"T" == Thomas <fantome.forums.tDeContes@free.fr.invalid> writes:
"T" == Thomas writes:
