RE: RE: [FRnOG] [TECH] RFC 7208: Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
Michel Py a écrit : Le passage au RR SPF va demander des années, au mieux. Tant que les gens continuent à tester le TXT, ça n'encourage personne à mettre à jour vers le SPF, ce qui perpétue la nécessité d'utiliser le TXT... Air connu. Nicolas Cartron a écrit : Euh Michel, justement le RR SPF ne *doit* plus être utilisé :) Visiblement j'ai loupé une marche, et possiblement plusieurs. La vérité dans la pub: ça fait des années que j'avais pas regardé ça de près, j'étais aux réunions au tout début ceci dit. J'utilise toujours TXT avec la syntaxe antique. Le RR SPF a été abandonné? Moi, j'ai pas peur de poser des questions con. Michel. nslookup server 8.8.8.8 Default Server: google-public-dns-a.google.com set type=txt arneill-py.sacramento.ca.us Non-authoritative answer: arneill-py.sacramento.ca.us text = v=spf1 a mx -all --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] RFC 7208: Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
Nous gérons le cas par des trusted host : ici, on considère que gmail a déjà fait son boulot de vérification des spf (et autres contrôles anti-spam) et sont les seuls à avoir le droit de te transmettre des mails, donc on accepte tout ce qui vient des serveurs google (cf les champs SPF justement de _netblocks.google.com et _netblocks2.google.compour de l'ipv6), en faisant gaffe de pas devenir pour autant openrelay de nos amis google. Ensuite pour les mails sortants, c'est selon : -soit tu refait passer tes mails par google, dans ce cas là ton champ spf sera du type : spf1 include:_spf.google.com -all -soit tu relais via ta/tes lignes internets, auquel cas ça ressemblerait plus à : spf1 ip4:x.x.x.x ip4:y.y.y.y -all Dans tous les cas, il faut faire confiance à google (je ne me permettrai pas de troll aujourd'hui). Bonne soirée. Le 28/04/2014 15:00, Thibaud CANALE a écrit : Bonjour à tous. 2014-04-27T10:06:46+0200, Stephane Bortzmeyer bortzme...@nic.fr wrote: http://www.bortzmeyer.org/7208.html ../.. Je n'ai pas lu la RFC elle-même, que l'article de Bortzmeyer, mais qu'en est-il des cas avec alias ? J'ai rencontré de nombreux cas où une personne utilise une adresse électronique, comme l'adresse de son lieu de travail par exemple, comme foo@monemploi.com, mais qui se traduit par un alias vers la boîte personne de la personne, comme jean.dup...@mamaison.com. Et comme attendu, le serveur qui se trouve à l'adresse mamaison.com, voit arriver un courriel, avec l'adresse de l'expéditeur, sauf que c'est le serveur monemploi.com qui est vu comme l'expéditeur du courriel en question. Du coup, s'il y a un enregistrement TXT (je pensais que SPF était utilisé maintenant) disant mx -all, et que le serveur mamaison.com a un politique sévère, les courriels n'arriveront jamais à destination. Ce type d'exemple arrive souvent, je vois de nombreux courriels, les personnes utilisant Ghandi pour avoir un TLD, font une redirection vers leur boîte GMail, et à chaque fois : Received-SPF: fail (google.com: domain of XXX(at)thican.net does not designate 2001:4b98:c:538::198 as permitted sender) client-ip=2001:4b98:c:538::198; En conclusion, nous sommes plusieurs à penser que le Sender Policy Framework est un projet mort-né. Je ne veux pas provoquer les personnes qui travaillent dessus, mais faire des alias est monnaie courante, et de nombreux services de boîte courriels (GMail dans cette exemple), traduisent donc les politiques hardfail en softmail, au risque de voir des tas de courriels ne jamais arrivaient à destination, rendant inefficace ce dispositif (« La décision finale est une décision locale. »), mais vu qu'il s'agit de la majorité, cet outil devient désuet avant même qu'il n'est eu le temps de se démocratiser. Bonne journée, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] RFC 7208: Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
Le 2014-04-27 10:06, Stephane Bortzmeyer a écrit : http://www.bortzmeyer.org/7208.html Auteur(s) du RFC: S. Kitterman (Kitterman Technical Services) Chemin des normes [Attention, méchanceté gratuite suit] Tous les trolls qui avaient refusé de déployer SPF en arguant que le RFC n'avait que le statut « expérimental » vont-ils changer d'avis et le déployer, maintenant qu'il est officiellement norme ? Je ne sais pas ce qui est le pire, ceux qui me déploient pas ou ceux qui ne déploient n'importe comment (Cf: la folie du DMARC chez Yahoo). Dans le deuxième cas ça met pas mal de monde dans la panade jusqu'au cou. Cordialement Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] RFC 7208: Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
Bonjour à tous. 2014-04-27T10:06:46+0200, Stephane Bortzmeyer bortzme...@nic.fr wrote: http://www.bortzmeyer.org/7208.html ../.. Je n'ai pas lu la RFC elle-même, que l'article de Bortzmeyer, mais qu'en est-il des cas avec alias ? J'ai rencontré de nombreux cas où une personne utilise une adresse électronique, comme l'adresse de son lieu de travail par exemple, comme foo@monemploi.com, mais qui se traduit par un alias vers la boîte personne de la personne, comme jean.dup...@mamaison.com. Et comme attendu, le serveur qui se trouve à l'adresse mamaison.com, voit arriver un courriel, avec l'adresse de l'expéditeur, sauf que c'est le serveur monemploi.com qui est vu comme l'expéditeur du courriel en question. Du coup, s'il y a un enregistrement TXT (je pensais que SPF était utilisé maintenant) disant mx -all, et que le serveur mamaison.com a un politique sévère, les courriels n'arriveront jamais à destination. Ce type d'exemple arrive souvent, je vois de nombreux courriels, les personnes utilisant Ghandi pour avoir un TLD, font une redirection vers leur boîte GMail, et à chaque fois : Received-SPF: fail (google.com: domain of XXX(at)thican.net does not designate 2001:4b98:c:538::198 as permitted sender) client-ip=2001:4b98:c:538::198; En conclusion, nous sommes plusieurs à penser que le Sender Policy Framework est un projet mort-né. Je ne veux pas provoquer les personnes qui travaillent dessus, mais faire des alias est monnaie courante, et de nombreux services de boîte courriels (GMail dans cette exemple), traduisent donc les politiques hardfail en softmail, au risque de voir des tas de courriels ne jamais arrivaient à destination, rendant inefficace ce dispositif (« La décision finale est une décision locale. »), mais vu qu'il s'agit de la majorité, cet outil devient désuet avant même qu'il n'est eu le temps de se démocratiser. Bonne journée, -- Thibaud CANALE thican [at] thican [dot] net http://thican.net/ GPG: 4096R/50733A18 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] RFC 7208: Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
Thibaud CANALE, le Mon 28 Apr 2014 15:00:35 +0200, a écrit : J'ai rencontré de nombreux cas où une personne utilise une adresse électronique, comme l'adresse de son lieu de travail par exemple, comme foo@monemploi.com, mais qui se traduit par un alias vers la boîte personne de la personne, comme jean.dup...@mamaison.com. Et comme attendu, le serveur qui se trouve à l'adresse mamaison.com, voit arriver un courriel, avec l'adresse de l'expéditeur, sauf que c'est le serveur monemploi.com qui est vu comme l'expéditeur du courriel en question. Du coup, s'il y a un enregistrement TXT (je pensais que SPF était utilisé maintenant) disant mx -all, et que le serveur mamaison.com a un politique sévère, les courriels n'arriveront jamais à destination. Oui, on a le souci chez @ens-lyon.org. Dans ce cas on utilise SRS pour réécrire le Return-path, et ça passe. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] RFC 7208: Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
Thibaud CANALE a écrit: Du coup, s'il y a un enregistrement TXT (je pensais que SPF était utilisé maintenant) Le passage au RR SPF va demander des années, au mieux. Tant que les gens continuent à tester le TXT, ça n'encourage personne à mettre à jour vers le SPF, ce qui perpétue la nécessité d'utiliser le TXT... Air connu. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: RE: [FRnOG] [TECH] RFC 7208: Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
On Mon Apr 28 2014 18:41:37 GMT+0200 (CEST), Michel Py wrote: Thibaud CANALE a écrit: Du coup, s'il y a un enregistrement TXT (je pensais que SPF était utilisé maintenant) Le passage au RR SPF va demander des années, au mieux. Tant que les gens continuent à tester le TXT, ça n'encourage personne à mettre à jour vers le SPF, ce qui perpétue la nécessité d'utiliser le TXT... Air connu. Euh Michel, justement le RR SPF ne *doit* plus être utilisé :) -- Nicolas --- Liste de diffusion du FRnOG http://www.frnog.org/