Bonjour,
je suis victime de spoofing (je recois des mails avec une identité usurpée) . J'ai un hébergement Web.
J'ai ajouté il y a quelques semaines un champ de type SPF avec la valeur "v=spf1 include:mx.ovh.com ~all" par défaut que vous suggérez. J'ai quand même du spoofing qui persiste. Est-ce que j'ai raté quelque chose ?
Pouvez vous m'aider ?
D'avance merci.
Spoofing malgré un champ SPF v=spf1 include:mx.ovh.com ~all ?
Sujets apparentés
- Changer le mot de passe email depuis roundcube
65306
24.06.2017 14:28
- Email frauduleux au nom de OVH
59573
13.08.2017 18:14
- OVH sur un iPhone "Échec de l'envoi de l'e-mail : l'adresse de l’expéditeur est incorre
36842
07.08.2017 08:45
- Question sur antispam OVH
36541
17.03.2017 16:11
- Arrêt de la commercialisation du MX plan
36480
30.11.2017 11:26
- Autodiscover et Microsoft Outlook 2016
35063
23.11.2016 15:15
- Mail non délivrés ou en spam chez nos clients
33563
15.11.2017 10:30
- Envois de mails / erreur 521
31758
05.04.2017 11:42
- Comment configurer une entrée DNS de type DKIM chez OVH ?
28699
12.03.2019 17:41
- "Vérification de l'identité du serveur impossible"
28496
17.05.2019 14:19
> Sender Policy Framework (SPF) est une norme de vérification du nom de domaine de l'expéditeur d'un courrier électronique
https://fr.wikipedia.org/wiki/Sender_Policy_Framework
cela ne vérifie pas que l'identité est bonne, juste que le serveur d'envoi est autorisé à le faire
Merci de la réponse. J'avais compris que ce qui était vérifié était le serveur mail d'origine.
Mais est ce que ça veut dire que le serveur d'envoi des mails qui usurpent l'identité est un serveur ovh ? Puisque je comprends que le "v=spf1 include:mx.ovh.com ~all" demande que le serveux soit de chez OVH ?
.. en fait je me réponds, mais il semble que non :
L'un des derniers messages que j'ai reçu vient de telecel :
Received: from 1181.telecel.com.py181.telecel.com.py (unknown [181.122.229.87])
by in23.mail.ovh.net (Postfix) with ESMTP id 44JS2d0F7ZzQj4k
for XXXX.org>; Tue, 12 Mar 2019 07:55:52 +0000 (UTC)
Il y a un truc qui ne marche pas dans le SPF ? ou je me trompe .. ou ces gens sont authentifiés sur le serveur mail hébergé par OVH (sur mon nom de domaine ) ?
les serveurs doivent être ceux d'Ovh, oui... mais combien de spammeurs chez Ovh ? :o/
les serveurs de réception ne sont pas obligés de tenir compte de SPF ?
tu ne donnes pas le domaine pour que l'on vérifie, si tu conserves le paramétrage Ovh: ils utilisent un record DNS périmé... il faut un TXT
Le nom de domaine est faprica.org
Et dans mon DNS c'est un SPF , pas un TXT. (j'avais utilisé le champ pré-fabriqué dans l'outil d'admin). Je viens de rajouter le même , mais avec un champ TXT .
Faut il que je retire l'entrée avec un champ SPF ?
le SPF n'y est plus (je les enlève puisque dépréciés)
le TXT est correct `TXT "v=spf1 include:mx.ovh.com ~all"`
je n'ai pas d'autres pistes
Peux tu nous donner les entêtes complètes ?
Pour que le SPF soit efficace, il faut le mettre en strict (-all).
> le SPF n'y est plus (je les enlève puisque dépréciés)>
Je ne comprend pas . Je les vois encore en utilisant le manager https://www.ovh.com/manager/web/index.html#/configuration/zone/faprica.org?tab=ZONE
Faut que je le retire ?
.. et sinon , je ne suis pas qui tu es, je croyais que tu étais OVH, mais quand je clique sur ton profil ça dit "kyodev ne fait pas partie d'OVH", .. du coup quand tu dit le SPF n'y est plus, ça veut dire que tu l'as retiré ? que tu ne le vois plus ? En tous cas je n'ai rien retiré.
Je veux bien, mais de quelles entêtes parlez vous ? En tous cas, j'ai mis le (-all)
```text j'ai le pouvoir de voir une zone DNS...
pas d'intervenir dedans sans les accès nécessaires ;)
quand j'ai dis que je les enlève, cela concernait ma pratique personnelle quand j'en vois et Ovh les crée encore en réiniialisation de zone
```text
dig +nocmd +noall +answer faprica.org SPF @dns.ovh.net
<>
dig +nocmd +noall +answer faprica.org TXT @dns.ovh.net
86400 IN TXT "v=spf1 include:mx.ovh.com ~all"
```
tu es encore en `~`, mais c'est déjà un soft fail
tu as un TTL **trop grand**, tu as a besoin d'ajuster, tu auras un potentiel délai de propagation de 24/48h
Ovh par défaut propose 600s ```
OK. Je comprends un mot sur 3 ;-) .. mais je vais essayer de résumer :
1) De mon côté, je fais tout à travers une console de management qui me permet de rajouter des lignes concernant le DNS pour mon domaine - c'est ce que je comprends.
2) La ligne SPF n'est pas valide, je vais la retirer des enregistrements qui apparaissent dans ma console
3) Je vais ajouter un TTL à 600 (je ne comprends pas l'impact)
4) Je vais transformer ~all en -all
5) Merci beaucoup pour ton temps.
*
(je viens de le faire)
je ne suis pas le seul à intervenir...
mais en gros tu as tout compris (sauf que je ne vois pas le SPF, mais bon)
si tu changes d'avis, ou complètes l'information SPF, avec un TTL de 600, tu auras au pire du pire: 2x600=1200s, 20mn pour être sûr que toute la planète utilise le nouveau SPF
j'ai déjà un champ SPF . Faut il en rajouter un autre de type TXT ?
> j'ai déjà un champ SPF
c'est toi qui le dit
> en rajouter un autre de type TXT ?
non pas un 2e
si besoin, indique ton domaine, pas de devin ici
j'ai ces deux champs je garde lequel ?
akropolisinvest.com.
600 SPF "v=spf1 include:mx.ovh.com ~all"
akropolisinvest.com.
600 TXT "v=spf1 include:mx.ovh.com ~all"
> 600 SPF "v=spf1 include:mx.ovh.com ~all"
à supprimer: périmé
ne **conserver que le TXT**
J'espère que ça résout le problème des spams qui parviennent à mes destinataires à partir de ma boite mail. merci !
non, il ne faut pas rêver
Ovh ne fait rien pour la réputation des serveurs d'envoi smtp et les mails ne sont pas signés DKIM
il n'y a de solution finale pour ce problème car en fait l'adresse mail appartient à un client ?
Bonjour,
la seule chose que vous pouvez faire c'est remplacer le "~" par "-" pour dire au serveur qui va recevoir un mail que si il respecte le SPF il doit refuser le mail, si il décide quand même de laisser passer un mail qui usurpe votre identité il en est de la responsabilité du gestionnaire du serveur mail de réception.
Après c'est aussi à l'utilisateur finale de faire attention à ce qu'il reçoit surtout ces derniers temps ou l'ANSSI a lancé une alerte a cause d'une vague de phishing/spoofing et de propagation du virus "emotet".
Cordialement, janus57