Email provenant d'une adresse x.gouv.fr rejetés

intradef.gouv.fr

ip: [87.98.177.220]

Bonjour,

Il faut arrêter avec les redirections (particulièrement vers Gmail qui est de plus en plus contraignant) et lire vos mails directement sur les serveurs d'OVH.

Si ce mail a été rejeté, c'est que intradef.gouv.fr ne signe pas ses mails avec DKIM ?
Il faudrait voir les en-têtes d'un de ces e-mails pour en dire plus.

Bonjour,

Voici un extrait de ce que l'expéditeur a recu:
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=185.24.185.97; helo=boxmsg12.pfai.rie.gouv.fr; envelope-from=dominique.xxxxx@intradef.gouv.fr; receiver=michel.lemer@1track.comtrack.com
Authentication-Results: in69.mail.ovh.net; dkim=none; dkim-atps=neutral
:
X-Ovh-Spam-Status: OK
X-Ovh-Spam-Reason: vr: OK; dkim: disabled; spf: disabled

J'ai du mal a croire qu'un expéditeur comme xxxx.gouv.fr ne soit pas compatible avec OVH et gmail. (ce n'est pas que intradef, il y a des problèmes avec d'autres organismes) .
OVH n'a jamais indiqué que les redirections ne fonctionnent pas. Par contre le prélèvement fonctionne très bien.

Cordialement
Mich

OVH n'a jamais indiqué que les redirections ne fonctionnent pas.

Bonjour,

C'est un problème complexe et ce n'est pas que de la faute d'OVH.
Dans internet, rien n'est bétonné et immuable.
Au contraire tout évolue, et c'est comme pour les radars sur les routes, tout est toujours plus strict et plus règlementé.
OVH n'est pas à la pointe des derniers mécanismes de redirection (qui sont optionnels, rappelons-le) et ce qui fonctionnait avant, n'est plus accepté par Gmail aujourd'hui.

En gros:
vous recevez un mail de intradef.gouv.fr sur votre mail OVH.
Dans un enregistrement SPF, le propriétaire du domaine intradef.gouv.fr donne la liste des serveurs autorisés à expédier leurs mails:
`"v=spf1 ip4:185.24.186.29 ip4:185.24.186.30 ip4:185.24.186.31 ip4:185.24.186.32 ip4:185.24.186.96 ip4:185.24.186.97 -all"`
et OVH n'y figure évidemment pas.
OVH reçoit donc le mail et le retransfère à Gmail.
Gmail décrète donc que le mail est une usurpation puisqu'il ne provient pas d'un serveur autorisé par l'émetteur, et le rejette.

Il existe des mécanismes pour que ça passe quand même:

- DKIM où le serveur de l'expéditeur appose un "sceau d'authenticité numérique" - c'est un mécanisme optionnel et recommandé, mais visiblement l'expéditeur n'en fait pas usage.
Ce qui fait que le message est toujours à considérer comme usurpé.

- ARC où le serveur OVH ajouterait une information comme quoi le message reçu semblait authentique, et de ce fait demande à Gmail le le considérer comme authentique à son tour.
ARC est aussi facultatif.

- SRS qui est une autre solution que ARC, mais se retrouve mise en défaut dans certains cas

Implémenter ARC dans une infrastructure à multiples types de serveurs comme chez OVH est une opération probablement périlleuse au niveau technique, mais aussi administratif et/ou de réputation.

Faut-il donner blanc-seing pour rediriger des mails qui semblent être des spams mais qui sont valides pour SPF ? Vous allez me dire que c'est authentique, mais il faut savoir qu'une proportion non négligeable de spams sont souvent émis par des canaux autorisés qui sont ceux de clients qui se sont fait pirater. Ou de spammeurs qui achètent des noms de domaine et émettent donc des mails d'apparence légitime. C'est déjà délicat de les transférer, et encore plus de leur apposer un certificat d'authenticité ARC.
Après on se plaindrait que OVH est blacklisté.
C'est le spam qui a tué tous ces mécanismes qui ont été créés à une époque où "tout le monde il est beau tout le monde il est gentil".

En conclusion, l'émetteur ne devrait pas publier une politique SPF restrictive tant qu'il n'a pas mis en place la signature DKIM de tous les mails qui sortent. C'est lui qui est au départ de vos problèmes.

Voyez aussi cette discussion:
https://community.ovh.com/t/DMARC-et-entetes-ARC-pour-les-mails-redirig%C3%A9s/62394/5

Bonjour,

En conclusion, l'émetteur ne devrait pas publier une politique SPF restrictive tant qu'il n'a pas mis en place la signature DKIM de tous les mails qui sortent.

perso je suis pas d'accord, il faut une liste restrictive en SPF, un DKIM seule ne confirme en rien que le mail est bien légitime de mon point de vue, tout comme le fait que un SPF et DKIM valide ne prouvent pas qu'un mail est légitime.

Pour ma part je force une application stricte du SPF ce qui soit refuse le mail soit le bascule en quarantaine.

Cordialement, janus57

un DKIM seule ne confirme en rien que le mail est bien légitime

et pourtant si, puisque le serveur de l'émetteur y met une signature cryptographique qui est invalidée si le contenu est altéré.

Bonjour,

et pourtant si, puisque le serveur de l'émetteur y met une signature cryptographique qui est invalidée si le contenu est altéré.

sauf que rien ne garantit que la clé DKIM n'est pas compromise, par exemple dans le cas d'un piratage de site web ou que le pirate ne signe pas avec sa propre clé DKIM (voir note).
Pour moi il faut obligatoirement SPF+DKIM pour éventuellement dire que c'est légitime (et là on se base sur le contenu pour finaliser l'analyse).

Ce n’est pas parce que c'est une signature crypto qui faut y faire confiance de manière aveugle, et ça, c'est également valide avec HTTPS, ce n’est pas parce que le site dispose d'un certificat HTTPS valide qu'il n'est pas compromis ou que sa chaine de transmission n'est pas compromise (si la clé privée a été compromise).

Et dans le cas d'un mail, je rappel que DKIM est juste présent pour garantir l’intégrité du mail et certifier que celui-ci n'a pas été modifié en chemin, il ne valide en aucun cas l'émetteur du mail vu que c'est justement le rôle du SPF.

Note : exemple de débat SPF/DKIM qui date de 2021 : https://serverfault.com/questions/1055385/does-dkim-alone-not-solve-the-spam-issue-why-do-i-need-spf

Cordialement, janus57

vous recevez un mail de intradef.gouv.fr sur votre mail OVH.
Dans un enregistrement SPF, le propriétaire du domaine intradef.gouv.fr donne la liste des serveurs autorisés à expédier leurs mails:
"v=spf1 ip4:185.24.186.29 ip4:185.24.186.30 ip4:185.24.186.31 ip4:185.24.186.32 ip4:185.24.186.96 ip4:185.24.186.97 -all"
et OVH n'y figure évidemment pas.

Bonjour,

Merci pour cette réponse très détaillée.
Je trouve juste hallucinant qu'OVH "n'y figure pas". Si OVH n'est pas capable d'y figurer alors on oublie toute idée de favoriser la souveraineté Européenne et on se contente de serveur Americain....
De plus j'ai regardé les prestataires suggérés par OVH: il n'y a que des SSII génériques .... Aucune société spécialiste ...
Il ne reste plus qu'a espérer que nos expéditeurs renvoient les emails manuellement vers gmail.

Est-ce que si je configure pour garder une copie sur les serveurs OVH les emails ne seront pas perdus?

Cordialement
Michel

Merci pour cette réponse très détaillée.
Je trouve juste hallucinant qu'OVH "n'y figure pas".

Mais c'est normal.
Gouv.fr n'envoie pas ses e-mails via les serveurs d'OVH !

Est-ce que si je configure pour garder une copie sur les serveurs OVH les emails ne seront pas perdus?

Absolument.

Super, merci,
Reste plus qu'a configurer Thunderbird pour aller voir sur gmail et ovh ....

Par contre je n'ai pas trouvé ou se trouve cette option dans la configuration OVH.
Est-ce que vous auriez une idée?

je n'ai pas trouvé ou se trouve

Selon votre plateforme d'hébergement mail, la recette diffère.
Suivez les guides svp.
https://help.ovhcloud.com/csm/fr-mx-plan-email-address-creation?id=kb_article_view&sysparm_article=KB0051910

Mais c'est normal.
Gouv.fr n'envoie pas ses e-mails via les serveurs d'OVH !

Désolé je n'avais pas saisi la "nuance" envoie - renvoie.

J'ai tout lu, mais rien vu la-dessus. La seule solution semble être de supprimer les redirections puis de les re-créer en choisissant "Conserver une copie du mail chez OVH".

Je ne peux pas vous aider plus. Nous ne sommes peut-être pas dans la même situation, et vous n'avez rien dévoilé de la vôtre.
Bon succès quand même.