Spoofing malgré un champ SPF v=spf1 include:mx.ovh.com ~all ?

DavidP22 2019-03-17 18:11:23 UTC #1

Bonjour,
je suis victime de spoofing (je recois des mails avec une identité usurpée) . J'ai un hébergement Web.
J'ai ajouté il y a quelques semaines un champ de type SPF avec la valeur "v=spf1 include:mx.ovh.com ~all" par défaut que vous suggérez. J'ai quand même du spoofing qui persiste. Est-ce que j'ai raté quelque chose ?

Pouvez vous m'aider ?

D'avance merci.

kyodev 2019-03-17 18:22:49 UTC #2

Sender Policy Framework (SPF) est une norme de vérification du nom de domaine de l'expéditeur d'un courrier électronique

https://fr.wikipedia.org/wiki/Sender_Policy_Framework

cela ne vérifie pas que l'identité est bonne, juste que le serveur d'envoi est autorisé à le faire

DavidP22 2019-03-18 09:33:37 UTC #3

Merci de la réponse. J'avais compris que ce qui était vérifié était le serveur mail d'origine.

Mais est ce que ça veut dire que le serveur d'envoi des mails qui usurpent l'identité est un serveur ovh ? Puisque je comprends que le "v=spf1 include:mx.ovh.com ~all" demande que le serveux soit de chez OVH ?

DavidP22 2019-03-18 09:41:14 UTC #4

.. en fait je me réponds, mais il semble que non :

L'un des derniers messages que j'ai reçu vient de telecel :

Received: from pool-87-229-122-181.telecel.com.py (unknown [181.122.229.87])
by in23.mail.ovh.net (Postfix) with ESMTP id 44JS2d0F7ZzQj4k
for XXXX@XXXX.org; Tue, 12 Mar 2019 07:55:52 +0000 (UTC)

Il y a un truc qui ne marche pas dans le SPF ? ou je me trompe .. ou ces gens sont authentifiés sur le serveur mail hébergé par OVH (sur mon nom de domaine ) ?

kyodev 2019-03-18 09:48:47 UTC #5

les serveurs doivent être ceux d'Ovh, oui... mais combien de spammeurs chez Ovh ? :o/

les serveurs de réception ne sont pas obligés de tenir compte de SPF ?

tu ne donnes pas le domaine pour que l'on vérifie, si tu conserves le paramétrage Ovh: ils utilisent un record DNS périmé... il faut un TXT

DavidP22 2019-03-18 10:01:29 UTC #6

Le nom de domaine est faprica.org
Et dans mon DNS c'est un SPF , pas un TXT. (j'avais utilisé le champ pré-fabriqué dans l'outil d'admin). Je viens de rajouter le même , mais avec un champ TXT .

DavidP22 2019-03-18 10:02:57 UTC #7

Faut il que je retire l'entrée avec un champ SPF ?

kyodev 2019-03-18 10:04:49 UTC #8

le SPF n'y est plus (je les enlève puisque dépréciés)
le TXT est correct TXT "v=spf1 include:mx.ovh.com ~all"
je n'ai pas d'autres pistes

NicolasA7 2019-03-18 13:37:37 UTC #9

Peux tu nous donner les entêtes complètes ?
Pour que le SPF soit efficace, il faut le mettre en strict (-all).

DavidP22 2019-03-18 13:47:13 UTC #10

le SPF n'y est plus (je les enlève puisque dépréciés)>

Je ne comprend pas . Je les vois encore en utilisant le manager https://www.ovh.com/manager/web/index.html#/configuration/zone/faprica.org?tab=ZONE
Faut que je le retire ?

.. et sinon , je ne suis pas qui tu es, je croyais que tu étais OVH, mais quand je clique sur ton profil ça dit "kyodev ne fait pas partie d'OVH", .. du coup quand tu dit le SPF n'y est plus, ça veut dire que tu l'as retiré ? que tu ne le vois plus ? En tous cas je n'ai rien retiré.

DavidP22 2019-03-18 13:48:08 UTC #11

Je veux bien, mais de quelles entêtes parlez vous ? En tous cas, j'ai mis le (-all)

kyodev 2019-03-18 14:29:30 UTC #12

j'ai le pouvoir de voir une zone DNS...
pas d'intervenir dedans sans les accès nécessaires ;)
quand j'ai dis que je les enlève, cela concernait ma pratique personnelle quand j'en vois et Ovh les crée encore en réiniialisation de zone

dig +nocmd +noall +answer faprica.org SPF @dns.ovh.net
   <>
dig +nocmd +noall +answer faprica.org TXT @dns.ovh.net
  86400  IN  TXT  "v=spf1 include:mx.ovh.com ~all"

tu es encore en ~, mais c'est déjà un soft fail

tu as un TTL trop grand, tu as a besoin d'ajuster, tu auras un potentiel délai de propagation de 24/48h
Ovh par défaut propose 600s

DavidP22 2019-03-18 14:53:39 UTC #13

OK. Je comprends un mot sur 3 ;-) .. mais je vais essayer de résumer :

1) De mon côté, je fais tout à travers une console de management qui me permet de rajouter des lignes concernant le DNS pour mon domaine - c'est ce que je comprends.

2) La ligne SPF n'est pas valide, je vais la retirer des enregistrements qui apparaissent dans ma console

3) Je vais ajouter un TTL à 600 (je ne comprends pas l'impact)

4) Je vais transformer ~all en -all

5) Merci beaucoup pour ton temps.

*
(je viens de le faire)

kyodev 2019-03-18 15:09:32 UTC #14

je ne suis pas le seul à intervenir...

mais en gros tu as tout compris (sauf que je ne vois pas le SPF, mais bon)

si tu changes d'avis, ou complètes l'information SPF, avec un TTL de 600, tu auras au pire du pire: 2x600=1200s, 20mn pour être sûr que toute la planète utilise le nouveau SPF

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.