Mails rejetés en raison de SPF ou DKIM manquant

songbo.wang · Février 6, 2024, 7:39

Bonjour,

Je suis propriétaire d’une mailing liste hébergée sur listes.math.cnrs.fr et sur l’interface de gestion je vois régulièrement des mails rejetés par les serveurs destinataires parce que le SPF ou le DKIM est manquant. Voici un bounce email :

Diagnostic-Code: smtp; 550-5.7.26 This mail has been blocked because the sender
    is unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate
    with either SPF or DKIM. 550-5.7.26  550-5.7.26  Authentication results:
    550-5.7.26  DKIM = did not pass 550-5.7.26  SPF [math.u-bordeaux.fr] with
    ip: [134.157.23.156] = did not pass 550-5.7.26  550-5.7.26  For
    instructions on setting up authentication, go to 550 5.7.26
    https://support.google.com/mail/answer/81126#authentication
    q4-20020a05600c2e4400b0040fc6aeed12si2861678wmf.190 - gsmtp

(il me semble que l’utilisateur a configuré le transfert automatique vers Gmail, mais il n’a évidemment rien reçu…)

En regardant les headers dans les mails de listes.math.cnrs.fr que j’ai reçus, je vois parfois des adresses IP qui ne sont pas contenus dans les records SPF.

(Extrait d’un mail)

Received: from smail.math.u-bordeaux.fr (smail.math.u-bordeaux1.fr [147.210.16.22])
    by mx-a.polytechnique.fr (tbp 25.10.18/2.0.8) with ESMTP id 415AOars025289;
    Mon, 5 Feb 2024 11:24:37 +0100

(alors que…)

$ echo listes.math.cnrs.fr | smtpctl spf walk
134.214.255.150
134.214.255.154
147.210.16.22
152.77.200.56
152.77.200.51
152.77.200.52
152.77.200.55
152.77.2.202
193.54.238.254
152.77.250.210
134.214.255.150
134.214.255.150

Merci d’avance.

sylvain.allemand · Février 7, 2024, 8:52

Bonjour,

Le problème vient de là. Faire des redirections vers Google est plutôt périlleux…

Le serveur listes.math.cnrs.fr utilise un serveur smtp de l’IMB pour envoyer les mails (domaine en math.u-bordeaux.fr).
D’après ce que je vois dans vos extraits de logs, c’est un utilisateur de paris-sorbonne qui reçoit un mail provenant d’une liste et qui fait une redirection vers Google :

le mail a bien transité par le serveur de Bordeaux car la vérification SPF se fait avec ce domaine ( SPF [math.u-bordeaux.fr])
le mail est reçu par un serveur de l’université de paris-sorbonne ( ip: [134.157.23.156]) et ce dernier le redirige vers Google
Google refuse le mail car le serveur de paris-sorbonne n’est pas un serveur autorisé dans l’enregistrement SPF.

Pour résoudre le point 3, Paris-Sorbonne pourrait ajouter l’outil postSRS à leur serveur de mail afin de ne pas casser la vérification SPF lors des redirections.
Il faudrait aussi regarder pourquoi ce mail n’a pas de signature DKIM (à voir avec l’expéditeur initial du mail).

songbo.wang · Février 7, 2024, 9:29

Merci pour cette réponse rapide et très détaillée ! Vous avez raison, 134.157.23.156 appartient à la Sorbonne Université au lieu de Bordeaux, donc c’est le transfert qui est responsable pour le problème. (L’adresse au début 134...* m’a fait penser que c’est à Bordeaux.)

Pour le deuxième point, je ne sais pas pourquoi j’ai cru que 147.210.16.22 n’était pas inclue dans les records SPF, alors qu’elle se trouvait à la troisième ligne de l’output de ma commande…

Vous avez aussi raison pour le DKIM et le SRS. Vous en pouvez pas trop faire…

Merci encore !