Re: [fr-users] Re: Problème de distribution des mail à la liste users.

Hello back,

TL;DR: J'ai trouvé le souci. Zaclys utilise une politique adkim=r et
aspf=r qui fait que toute adresse chez Zaclys ne peut fonctionner pour
les listes de discussions. Les correspondants hébergés chez des
fournisseurs de services mail (comme Google) qui vérifient les champs
adkim et aspf recevront en spam les emails de Zaclys transitant par le
biais de mailing lists.



Analyse technique:

Deux lignes ont attiré mon attention dans les headers de ton email:

> Authentication-Results: mail.zaclys.net;
>  dmarc=fail (p=reject dis=none) header.from=zaclys.net
> Authentication-Results: mail.zaclys.net;
>  spf=fail smtp.mailfrom=ocleyr2lalune@zaclys.net

Avant même que le mail arrive à la VM de TDF hébergeant cette mailing
liste, le test dmarc est rapporté comme un échec bien que la signature
DKIM soit reportée valide mais "fail (body has been altered)" expliqué
par les lignes ajoutées par la mailing list:

> Envoyez un mail à users+unsubscribe@fr.libreoffice.org pour vous désinscrire
> Les archives de la liste sont disponibles à https://listarchives.libreoffice.org/fr/users/
> Privacy Policy: https://www.documentfoundation.org/privacy 

Qu'est ce que faisait Zaclys pour que ça échoue comparé à un Google,
Microsoft ou autre ?

$ dig TXT _dmarc.microsoft.com
[...]
_dmarc.microsoft.com.   3600    IN      TXT     "v=DMARC1; p=reject;
pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com; fo=1"
[...]

$ dig TXT _dmarc.zaclys.net
[...]
_dmarc.zaclys.net.      329     IN      TXT
"v=DMARC1;p=reject;rua=mailto:root@zaclys.net;ruf=mailto:root@zaclys.net;adkim=r;aspf=r;pct=100;rf=afrf;sp=reject";

On remarque que Zaclys utilise 2 champs en plus: adkim et aspf, 2 champs
qu'il n'est pas courant d'utiliser en réputation e-mail, car ils sont
généralement trop restrictifs.

Les variantes *a* de kim et spf s'occupent en effet de l'alignement. En
réputation email, l'alignement est le fait de comparer le nom de domaine
de l'adresse source avec *le dernier serveur qui s'est occupé de l'envoi*.

zaclys.net étant différent de fr.libreoffice.org, la politique DMARC
(p=reject) échoue.

J'ai fait un test de mon coté en implémentant une configuration
similaire avec PHPMailer et 2 serveurs mails que je contrôle. J'obtiens
le même résultat.

Le problème ne viendrait donc pas de la liste de LibreOffice, qui fait
le job qu'on lui a demandé, et qui signe correctement les emails, mais
bel et bien d'une politique trop restrictive de la part de Zaclys.

Cette constatation corrobore d'ailleurs les propos de Zaclys dans le
lien que tu m'as passé[1]:
> et comme je vous l'expliquais les listes de diffusions tierces ne sont pas actuellement 
> supportées par notre service (car sécurités et restrictions sur nos réglages DMARC)
Pourquoi Zaclys utilise donc une politique plus stricte que la normale?

Zaclys étant une petite structure, elle ne peut pas investir dans une
politique antispam onéreuse comme le font Google et Microsoft en se
basant sur de l'intelligence artificielle.

La solution à moindre coût est donc d'"enforcer" la politique dmarc et
rejeter les emails entrants.

C'est d'ailleurs une des raisons pour lesquelles, tu n'as pas de SPAM,
mais au prix de te rendre incompatible avec les mailing lists.


Belle journée,

[1] https://forum.zaclys.com/viewtopic.php?t=7807

-- 
William Gathoye
Hyper<hack>tive volunteer for LibreOffice
Proud member of The Document Foundation
Member of LaMouette - French based association promoting ODF and LibreOffice

-- 
Envoyez un mail à users+unsubscribe@fr.libreoffice.org pour vous désinscrire
Les archives de la liste sont disponibles à https://listarchives.libreoffice.org/fr/users/
Privacy Policy: https://www.documentfoundation.org/privacy