Bonjour
Je reçois des messages avec pour sujet "Report domain: webologix.com Submitter: google.com Report-ID" et en pièce jointe des xml dont voici les 2 derniers:
Le 20 février:
```
google.com
noreply-dmarc-support@google.com
https://support.google.com/a/answer/2466580
18038383049837189125
1645228800
1645315199
webologix.com
r
r
quarantine
quarantine
100
188.165.39.222
1
none
fail
fail
forwarded
looks forwarded, not quarantined for DMARC
webologix.comwebologix.comfail
dkim
webologix.comfail
dkim
helloasso.comfail
```
le 22 février
```
google.comnoreply-dmarc-support@google.com
https://support.google.com/a/answer/24665801001330155912869056
1645401600
1645487999
webologix.comr
r
quarantine
quarantine
100
94.23.227.123
1
none
pass
pass
webologix.comwebologix.compass
dkim
webologix.compass
dkim
webologix.compass
```
Je n'ai bien sur rien changé à ma config serveur mail entre le 20 et le 22
Quelqu'un peut-il m'aider à décrypter ces messages ou me renvoyer vers une source d'info digérable ?
Merci d'avance
Bonjour,
on serait pas sur la même chose qu'ici : https://community.ovhcloud.com/t/15726 ?
Sachant que pour le rapport du 20/02 c'est parce que le mail d'origine provient d'un serveur non autorisé dans le SPF
Cordialement, janus57
on serait pas sur la même chose qu'ici : https://community.ovhcloud.com/t/15726
Oui. Mais ce fil est demeuré sans réponse. Préférez vous que je relance dessus ?
On en était resté à l'hypothèse d'une mauvaise config dmarc. Voici ma config:
_dmarc 3600 TXT "v=DMARC1; p=quarantine; rua=mailto:mon@yahoo.fr; ruf=mailto:mon@yahoo.fr fo=1 adkim=r; aspf=r; pct=100; rf=afrf; ri=600"
Dans le RFC7489 que vous m'avez donné je vois:
> if a DMARC policy query for "
blue.example.com" contained
> "rua=mailto:reports@red.example.net", the host extracted from the
> latter ("
red.example.net") does not match "
blue.example.com", so this
> procedure is enacted
Est-ce que ça signifie que les mails donnés dans le rua (ici mon@yahoo.fr) doivent être sur le domaine défini par la zone DNS (ici
webologix.com) ?
Quelqu'un peut-il m'aider à décrypter ces messages
Non, vous avez demandé et obtenu des rapports d'activité DMARC
`
_dmarc.webologix.com. 3600 IN TXT "v=DMARC1; p=quarantine; rua=mailto:XXXXXX@hotmail.fr; ruf=mailto:XXXXX@hotmail.fr fo=1 adkim=r; aspf=r; pct=100; rf=afrf; ri=600"`
L'interprétation de ces fichiers XML parfois compressés doit se faire en conformité avec tout ce que vous trouverez à propos de DMARC.
<source_ip>188.165.39.222</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
<reason>
<type>forwarded</type>
<comment>looks forwarded, not quarantined for DMARC</comment>
Ce rapport montre 1 mail en échec
<dkim>pass</dkim>
<spf>pass</spf>
et ici c'est plutôt des bonnes nouvelles qui sont transmises dans ce rapport quotidien de Google.
Pouvez vous supprimer mon email de votre post SVP ?
Je ne trouve pas ce message positif car le message du 20 a bien été envoyé par moi, à en juger par le destinataire.
Si je viens demander de l'aide ici c'est que je n'arrive pas à comprendre la RFC mais je suppose que ma question dépasse le champ OVH. Auriez vous la bonté de m'indiquer où je pourrais trouver de l'aide sur ce sujet ?
Pouvez vous supprimer mon email de votre post SVP
C'est fait, mais c'est une fausse sécurité ; n'importe qui qui consulte _dmarc de votre domaine reçoit cette information.
Les rapports "ruf=" ne sont jamais reçus dans la pratique. On ne reçoit que les rapports agglomérés rua= ; et comme vous n'êtes pas responsable du serveur mail vous n'en avez pas les logs journaliers, il vous reste vos "Sent items" pour tenter de découvrir le message fautif qui effectivement vient des serveurs d'OVH et n'est sans doute pas frauduleux.