Re: [FRnOG] [TECH] SPF v1 ou v2
Hello, On 14 févr. 2012, at 19:38, Benjamin BILLON wrote: > > Ow et tant qu'on y est, il est préférable d'avoir des enregistrements TXT > _et_ SPF (type 99) pour SPF (v1) et SenderID (v2). Tout simplement parce que > le rr SPF est requêté en premier (le TXT n'est qu'un fallback pour que les > serveurs ne sachant pas requêter du SPF puissent quand même vérifier les > enregistrements. Hum la RFC sur le RR type SPF n'est plus en experimental ? -- Nicolas. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SPF v1 ou v2
Haha ok, je vois pour qui tu travailles =D --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SPF v1 ou v2
2012/2/14 Benjamin BILLON : >> Ca me fait penser: j'ai çà depuis des années, est-ce qu'il faut vraiment >> upgrader à v2 ? >> >> arneill-py.sacramento.ca.us text = "v=spf1 a mx -all" > > v1 = SPF (rfc4408), check sur le HELO et le MAIL FROM > > v2 = SenderID (rfc4406), check possible sur le PRA (Resent-Sender:, ou > Resent-From:, ou Sender:, ou From:, dans cet ordre, cf. rfc4407), ou sur le > MAIL FROM, ou sur le PRA et le MAIL FROM. > > Là où SPF fait de de l'autorisation, SenderID souhaite permettre > l'identification. Bon c'est pas non plus DKIM, et d'ailleurs pour Hotmail si > tu n'as pas de SenderID configuré (ouais, le spfv2.0, là), il va se tourner > vers DKIM. > > Configurer un enregistrement SenderID pour son domaine ne signifie pas > "upgrader" de v1 à v2, et les deux enregistrements sont conseillés (SenderID > surtout pour Hotmail, mais bon). > > Ow et tant qu'on y est, il est préférable d'avoir des enregistrements TXT > _et_ SPF (type 99) pour SPF (v1) et SenderID (v2). Tout simplement parce que > le rr SPF est requêté en premier (le TXT n'est qu'un fallback pour que les > serveurs ne sachant pas requêter du SPF puissent quand même vérifier les > enregistrements. > > Donc Michel, tu pourrais avoir : > > arneill-py.sacramento.ca.us IN SPF "v=spf1 a mx -all" > arneill-py.sacramento.ca.us IN SPF "spf2.0/mfrom a mx -all" > arneill-py.sacramento.ca.us IN TXT "v=spf1 a mx -all" > arneill-py.sacramento.ca.us IN TXT "spf2.0/mfrom a mx -all" > > > Sans te casser le chou (si c'est bien ton domaine de HELO et MAIL FROM). > > Et Si tu veux mettre SenderID sur ton Sender: ou From: > > arneill-py.sacramento.ca.us IN SPF "v=spf1 a mx -all" > arneill-py.sacramento.ca.us IN SPF "spf2.0/pra a mx -all" > arneill-py.sacramento.ca.us IN TXT "v=spf1 a mx -all" > arneill-py.sacramento.ca.us IN TXT "spf2.0/pra a mx -all" > > > > Voilà. > > Maintenant, au tour des banques. >> >> # dig txt fortuneo.fr +short >> "v=spf1 a mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 >> ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 >> ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all" >> "v=spf2.0/mfrom mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 >> ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 >> ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 >> ip4:195.101.71.21/24 ~all" > > Ouch. "v=spf2.0" ? Ca n'existe pas. La syntaxe commence par "spf2.0" ah oui, merge de rfc je pense. thx. >> >> # dig spf fortuneo.fr +short > > ked'. comment ça ked' ? $ dig TXT fortuneo.fr +short "v=spf1 a mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all" "spf2.0/mfrom mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all" $ dig SPF fortuneo.fr +short "spf2.0/mfrom mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all" "v=spf1 a mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all" Puisqu'on y est... tournée générale : $ dig SPF cmb.fr +short "spf2.0/mfrom mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all" "v=spf1 a mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all" $ dig SPF cmmc.fr +short "v=spf1 a mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all" "spf2.0/mfrom mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all" $ dig SPF cmso.com +short "spf2.0/mfrom mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all" "v=spf1 a mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all" $ dig SPF suravenir.fr +short "v=spf1 a mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all" "spf2.0/mfrom mx ip4:93.20.45.21 ip4:195.101.71.21 ip4:80.124.164.144 ip4:93.20.41.20 ~all" ... > > Quant aux autres : >> >> # dig txt socgen.com +short >> "v=spf1 a:tigmail.socgen.com a:realmail2.socgen.com a:realmail3.socgen.com >> a:realmail4.socgen.com a:realmail10.socgen.com a:realmail20.socgen.com >> a:realmail30.socgen.com a:realmail40.socgen.com ip4:193.178.155.96/28 >> ip4:207.45.249.160/27 ?all" > > Ok, ils n'ont pas de type 99, et avec le "?all" à la fin ils ne se mouillent > pas beaucoup, mais hé, il y 'a quand même un effort. Il faut juste regarder > sur le bon domaine, forcément. >> >> # dig txt bnpparibas.com +short >> "v=spf1 ip4:155.140.133.128/26 ip4:159.50.169.64/26 ip4:159.50.101.64/26 >> ip4:159.50.176.0/26 ip4:137.236.179.183 ip4:137.236.179.133 >> ip4:
Re: [FRnOG] [TECH] SPF v1 ou v2
On Tue, 14 Feb 2012 09:03:18 -0800, "Michel Py" said: > > Steven Le Roux a écrit: > > C'est parce que tu n'essaies pas sur les bonnes banques ;) > > Ca me fait penser: j'ai çà depuis des années, est-ce qu'il faut vraiment > upgrader à v2 ? > > arneill-py.sacramento.ca.us text = "v=spf1 a mx -all" Au cas ou, tu peux mettre v1 *et* v2. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SPF v1 ou v2
Ca me fait penser: j'ai çà depuis des années, est-ce qu'il faut vraiment upgrader à v2 ? arneill-py.sacramento.ca.us text = "v=spf1 a mx -all" v1 = SPF (rfc4408), check sur le HELO et le MAIL FROM v2 = SenderID (rfc4406), check possible sur le PRA (Resent-Sender:, ou Resent-From:, ou Sender:, ou From:, dans cet ordre, cf. rfc4407), ou sur le MAIL FROM, ou sur le PRA et le MAIL FROM. Là où SPF fait de de l'autorisation, SenderID souhaite permettre l'identification. Bon c'est pas non plus DKIM, et d'ailleurs pour Hotmail si tu n'as pas de SenderID configuré (ouais, le spfv2.0, là), il va se tourner vers DKIM. Configurer un enregistrement SenderID pour son domaine ne signifie pas "upgrader" de v1 à v2, et les deux enregistrements sont conseillés (SenderID surtout pour Hotmail, mais bon). Ow et tant qu'on y est, il est préférable d'avoir des enregistrements TXT _et_ SPF (type 99) pour SPF (v1) et SenderID (v2). Tout simplement parce que le rr SPF est requêté en premier (le TXT n'est qu'un fallback pour que les serveurs ne sachant pas requêter du SPF puissent quand même vérifier les enregistrements. Donc Michel, tu pourrais avoir : arneill-py.sacramento.ca.us IN SPF "v=spf1 a mx -all" arneill-py.sacramento.ca.us IN SPF "spf2.0/mfrom a mx -all" arneill-py.sacramento.ca.us IN TXT "v=spf1 a mx -all" arneill-py.sacramento.ca.us IN TXT "spf2.0/mfrom a mx -all" Sans te casser le chou (si c'est bien ton domaine de HELO et MAIL FROM). Et Si tu veux mettre SenderID sur ton Sender: ou From: arneill-py.sacramento.ca.us IN SPF "v=spf1 a mx -all" arneill-py.sacramento.ca.us IN SPF "spf2.0/pra a mx -all" arneill-py.sacramento.ca.us IN TXT "v=spf1 a mx -all" arneill-py.sacramento.ca.us IN TXT "spf2.0/pra a mx -all" Voilà. Maintenant, au tour des banques. # dig txt fortuneo.fr +short "v=spf1 a mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all" "v=spf2.0/mfrom mx ip4:176.31.225.29/32 ip4:83.206.208.128/25 ip4:81.252.92.0/23 ip4:86.64.210.0/23 ip4:195.2.74.0/23 ip4:80.124.164.144/32 ip4:93.20.41.20/32 ip4:93.20.45.21/32 ip4:195.101.71.21/24 ~all" Ouch. "v=spf2.0" ? Ca n'existe pas. La syntaxe commence par "spf2.0" # dig spf fortuneo.fr +short ked'. Quant aux autres : # dig txt socgen.com +short "v=spf1 a:tigmail.socgen.com a:realmail2.socgen.com a:realmail3.socgen.com a:realmail4.socgen.com a:realmail10.socgen.com a:realmail20.socgen.com a:realmail30.socgen.com a:realmail40.socgen.com ip4:193.178.155.96/28 ip4:207.45.249.160/27 ?all" Ok, ils n'ont pas de type 99, et avec le "?all" à la fin ils ne se mouillent pas beaucoup, mais hé, il y 'a quand même un effort. Il faut juste regarder sur le bon domaine, forcément. # dig txt bnpparibas.com +short "v=spf1 ip4:155.140.133.128/26 ip4:159.50.169.64/26 ip4:159.50.101.64/26 ip4:159.50.176.0/26 ip4:137.236.179.183 ip4:137.236.179.133 ip4:137.236.179.83 ip4:155.140.121.252 ip4:155.140.122.252 ip4:74.112.67.22 ip4:89.206.4.135 ip4:217.167.24.180 mx ~all" Un peu mieux pour la BNP, avec le ~all. Je n'ai pas regardé les autres, il faut bien partager le fun. -- Benjamin --- Liste de diffusion du FRnOG http://www.frnog.org/
