Re: [sympa-fr] champ From:

[Patrick Proniewski <adresse@cachée>]

On 4 mars 2015, at 17:11, David Verdin <adresse@cachée> wrote:


> Se créer une boîte mail chez yahoo.com et gmail est un bon moyen de tester.
> Perso, j'ai la collèque : gmail.com, yahoo.com et laposte.net.
> Tous les boulets...


J'y pense...


>> J'ai publié une policy DMARC chez moi, pour tester, et j'ai eu l'occasion 
>> de la mettre en p=reject pendant une bonne semaine en décembre :
> Alors ? Beaucoup de listes de diffusion ont râlé ?

non, mais les listes perso que j'héberge sont à très faible trafic, donc ça 
n'a pas valeur de test à cet endroit. C'est juste pour montrer que même sur 
un serveur perso avec peu de mails qui passent la policy reject est à 
utiliser avec circonspection. On attendrait encore plus de retenue de la part 
de Youpi.


>>  des spammers avaient décidé d'envoyer des milliers de messages avec mon 
>> adresse perso comme From.
> Y a plus de respect...

C'est la consécration. 15 ans que j'utilise la même adresse email, et c'est 
seulement maintenant que les spammers s'en servent massivement dans un From. 
Un peu mon césar d'honneur quoi.


>> Je n'ai pas encore mis en place de filtrage sur DMARC, je filtre sur SPF, 
>> et l'antispam tire quelques conclusions de DKIM.
> Voui, c'est déjà pas mal.
> DMARC, ça semble un bon moyen de se protéger contre les usurpations 
> d'identités.

DKIM et SPF suffisent, à mon sens. Mais c'est sûr que le jour où DMARC pourra 
être implémenté en reject partout sans rien casser, ce sera la martingale.


> Le problème, c'est que c'est le mode paranoïaque. On ne fait confiance qu'à 
> soi-même, et tout entête qui pourrait avoir été positionné par un autre 
> n'est pas digne de foi. J'attends les résultats de tes tests avec SRS, mais 
> j'ai quelques doutes sur la possibilité de contourner DMARC aussi 
> proprement. Mais si tu y arrives, on est preneurs !

J'ai mis SRS en place parce qu'à Lyon 2 on a pas mal de redirection de 
messages vers l'extérieur (anciens personnels ou étudiants qui conservent 
leur adresse univ et qui la font pointer ailleurs). Et un jour en creusant un 
problème de forward vers une adresse laposte.net, j'ai découvert que le 
nombre de bounce liés à un fail SPF avait explosé : 
http://perso.univ-lyon2.fr/~pproniew/bounce-spf.png
Maintenant j'ai zéro bounce due à SPF pour les forward de mails.

Je ne pense pas le tester pour réécrire les adresses d'expéditeur (autrement 
que dans l'enveloppe pour SPF). C'est une utilisation qui est possible mais 
je ne souhaite pas la mettre en œuvre sur mes serveurs, perso comme boulot. 
Les éditeurs de serveurs de listes de tout bord semblent s'orienter vers la 
modification de leur code, pour implémenter la chose avec plus de finesse, et 
avec surtout une volonté de repenser les usages. Je ne suis pas un dinosaure 
coincé dans le passé, et même si le fonctionnement actuel des serveurs de 
listes me convient bien, ça ne me défrise pas trop de le voir évoluer.

Si j'étais coincé sur une solution non-évolutive, je dis pas. Mais chez moi 
je suis en Mailman, au boulot en Sympa, les deux prennent le parti d'évoluer 
pour s'adapter à DMARC.


Patrick PRONIEWSKI
-- 
Responsable pôle Opérations - DSI - Université Lumière Lyon 2
Responsable Sécurité des Systèmes d'Information

Attachment: signature.asc
Description: Message signed with OpenPGP using GPGMail