Spoofing malgré un champ SPF v=spf1 include:mx.ovh.com ~all ?
BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.
question

Spoofing malgré un champ SPF v=spf1 include:mx.ovh.com ~all ?

Par
DavidP22
Créé le 2019-03-17 18:11:22 (edited on 2024-09-04 11:24:51) dans E-mails et solutions Office

Bonjour,
je suis victime de spoofing (je recois des mails avec une identité usurpée) . J'ai un hébergement Web.
J'ai ajouté il y a quelques semaines un champ de type SPF avec la valeur "v=spf1 include:mx.ovh.com ~all" par défaut que vous suggérez. J'ai quand même du spoofing qui persiste. Est-ce que j'ai raté quelque chose ?

Pouvez vous m'aider ?

D'avance merci.


10 réponses ( Latest reply on 2024-11-13 20:36:33 Par
DavidP22
)

> Sender Policy Framework (SPF) est une norme de vérification du nom de domaine de l'expéditeur d'un courrier électronique

https://fr.wikipedia.org/wiki/Sender_Policy_Framework

cela ne vérifie pas que l'identité est bonne, juste que le serveur d'envoi est autorisé à le faire

Merci de la réponse. J'avais compris que ce qui était vérifié était le serveur mail d'origine.

Mais est ce que ça veut dire que le serveur d'envoi des mails qui usurpent l'identité est un serveur ovh ? Puisque je comprends que le "v=spf1 include:mx.ovh.com ~all" demande que le serveux soit de chez OVH ?

.. en fait je me réponds, mais il semble que non :

L'un des derniers messages que j'ai reçu vient de telecel :

Received: from 1181.telecel.com.py181.telecel.com.py (unknown [181.122.229.87])
by in23.mail.ovh.net (Postfix) with ESMTP id 44JS2d0F7ZzQj4k
for XXXX.org>; Tue, 12 Mar 2019 07:55:52 +0000 (UTC)

Il y a un truc qui ne marche pas dans le SPF ? ou je me trompe .. ou ces gens sont authentifiés sur le serveur mail hébergé par OVH (sur mon nom de domaine ) ?

les serveurs doivent être ceux d'Ovh, oui... mais combien de spammeurs chez Ovh ? :o/

les serveurs de réception ne sont pas obligés de tenir compte de SPF ?

tu ne donnes pas le domaine pour que l'on vérifie, si tu conserves le paramétrage Ovh: ils utilisent un record DNS périmé... il faut un TXT

Le nom de domaine est faprica.org
Et dans mon DNS c'est un SPF , pas un TXT. (j'avais utilisé le champ pré-fabriqué dans l'outil d'admin). Je viens de rajouter le même , mais avec un champ TXT .

Faut il que je retire l'entrée avec un champ SPF ?

le SPF n'y est plus (je les enlève puisque dépréciés)
le TXT est correct `TXT "v=spf1 include:mx.ovh.com ~all"`
je n'ai pas d'autres pistes

Peux tu nous donner les entêtes complètes ?
Pour que le SPF soit efficace, il faut le mettre en strict (-all).

> le SPF n'y est plus (je les enlève puisque dépréciés)>

Je ne comprend pas . Je les vois encore en utilisant le manager https://www.ovh.com/manager/web/index.html#/configuration/zone/faprica.org?tab=ZONE
Faut que je le retire ?

.. et sinon , je ne suis pas qui tu es, je croyais que tu étais OVH, mais quand je clique sur ton profil ça dit "kyodev ne fait pas partie d'OVH", .. du coup quand tu dit le SPF n'y est plus, ça veut dire que tu l'as retiré ? que tu ne le vois plus ? En tous cas je n'ai rien retiré.

Je veux bien, mais de quelles entêtes parlez vous ? En tous cas, j'ai mis le (-all)

```text j'ai le pouvoir de voir une zone DNS...
pas d'intervenir dedans sans les accès nécessaires ;)
quand j'ai dis que je les enlève, cela concernait ma pratique personnelle quand j'en vois et Ovh les crée encore en réiniialisation de zone

```text
dig +nocmd +noall +answer faprica.org SPF @dns.ovh.net
<>
dig +nocmd +noall +answer faprica.org TXT @dns.ovh.net
86400 IN TXT "v=spf1 include:mx.ovh.com ~all"
```
tu es encore en `~`, mais c'est déjà un soft fail

tu as un TTL **trop grand**, tu as a besoin d'ajuster, tu auras un potentiel délai de propagation de 24/48h
Ovh par défaut propose 600s ```

OK. Je comprends un mot sur 3 ;-) .. mais je vais essayer de résumer :

1) De mon côté, je fais tout à travers une console de management qui me permet de rajouter des lignes concernant le DNS pour mon domaine - c'est ce que je comprends.

2) La ligne SPF n'est pas valide, je vais la retirer des enregistrements qui apparaissent dans ma console

3) Je vais ajouter un TTL à 600 (je ne comprends pas l'impact)

4) Je vais transformer ~all en -all

5) Merci beaucoup pour ton temps.

*
(je viens de le faire)

je ne suis pas le seul à intervenir...

mais en gros tu as tout compris (sauf que je ne vois pas le SPF, mais bon)

si tu changes d'avis, ou complètes l'information SPF, avec un TTL de 600, tu auras au pire du pire: 2x600=1200s, 20mn pour être sûr que toute la planète utilise le nouveau SPF

j'ai déjà un champ SPF . Faut il en rajouter un autre de type TXT ?

> j'ai déjà un champ SPF

c'est toi qui le dit

> en rajouter un autre de type TXT ?

non pas un 2e

si besoin, indique ton domaine, pas de devin ici

j'ai ces deux champs je garde lequel ?

akropolisinvest.com.
600 SPF "v=spf1 include:mx.ovh.com ~all"

akropolisinvest.com.
600 TXT "v=spf1 include:mx.ovh.com ~all"

> 600 SPF "v=spf1 include:mx.ovh.com ~all"

à supprimer: périmé

ne **conserver que le TXT**

J'espère que ça résout le problème des spams qui parviennent à mes destinataires à partir de ma boite mail. merci !

non, il ne faut pas rêver

Ovh ne fait rien pour la réputation des serveurs d'envoi smtp et les mails ne sont pas signés DKIM

il n'y a de solution finale pour ce problème car en fait l'adresse mail appartient à un client ?

Bonjour,

la seule chose que vous pouvez faire c'est remplacer le "~" par "-" pour dire au serveur qui va recevoir un mail que si il respecte le SPF il doit refuser le mail, si il décide quand même de laisser passer un mail qui usurpe votre identité il en est de la responsabilité du gestionnaire du serveur mail de réception.

Après c'est aussi à l'utilisateur finale de faire attention à ce qu'il reçoit surtout ces derniers temps ou l'ANSSI a lancé une alerte a cause d'une vague de phishing/spoofing et de propagation du virus "emotet".

Cordialement, janus57

Les réponses sont actuellement désactivées pour cette question.