Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Rejeter les emails qui ne passent ni SPF ni DKIM

nicolas

Suite à une grosse vague de SPAM, j’ai configuré Postfix pour rejeter tous les mails qui échouent la vérification SPF.
SPF permet de vérifier que le serveur qui a envoyé l’email correspond bien à un serveur autorisé par le propriétaire du nom de domaine de l’adresse from.
Jusqu’à maintenant cette vérification ne produisait qu’un warning.

Pour bien faire, il ne faudrait pas directement rejeter tous ces emails, mais plutôt se baser sur la politique DMARC du domaine en question. Celle-ci est sensée nous informer sur ce qu’il faut faire en temps que récipiendaire.

Je crois me souvenir que rspamd était justement capable de faire ce genre de chose, voir Installation et configuration de Rspamd pour filtrer les SPAMs email #36

nicolas

Aaaaaah ça fait du bien :

Mar 22 13:52:47 club1 policyd-spf[563724]: 550 5.7.23 Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=mfrom;id=info@news.ovhcloud.com;ip=212.86.101.70;r=<UNKNOWN>
Mar 22 13:52:47 club1 postfix/smtpd[563718]: NOQUEUE: reject: RCPT from vm4977774.1nvme.had.wf[212.86.101.70]: 550 5.7.23 <nouvelles-unsubscribe@club1.fr>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.openspf.net/Why?s=mfrom;id=info@news.ovhcloud.com;ip=212.86.101.70;r=<UNKNOWN>; from=<info@news.ovhcloud.com> to=<nouvelles-unsubscribe@club1.fr> proto=ESMTP helo=<vps2361714.servdiscount-customer.com>

nicolas

Je préviens tout de même qu’il risque d’y avoir des messages legit qui risquent de se faire rejeter avec la configuration actuelle. Notamment certaines mailing-lists. Je continue de vérifier dans les logs qu’il n’y a pas trop de faux positifs.

Je note aussi ici que l’option TestOnly de postfix-policyd-spf-python m’a bien fait bugger, parce qu’il faut la définir à 1 pour la désactiver et à 0 pour l’activer. J’ai du mal à comprendre comment on peut avoir une idée aussi farfelue.