Spam sur return path

Bare Metal and VPS
1

Bonjour,
ma société reçoit quelques dizaines de mails par jour sur notre adresse mail principale et ce sont des mails de retour "undelivery", "failure" etc.
A priori des spammeurs mettent notre mail en "return-path" et "from" aussi parfois.
Un exemple:
> Hi. This is the qmail-send program at mx1.ovh.net.
> I'm afraid I wasn't able to deliver your message to the following addresses.
> This is a permanent error; I've given up. Sorry it didn't work out.
> :
> ezmlm-reject: fatal: List address must be in To: or Cc: (#5.7.0)

> — Below this line is a copy of the message.

> Return-Path:
> Received: from localhost (HELO queue) (127.0.0.1)
> by localhost with SMTP; 4 Jul 2022 05:51:34 +0200
> Received: from unknown (HELO output46.mail.ovh.net) (192.168.13.103)
> by 192.168.9.25 with AES256-GCM-SHA384 encrypted SMTP; 4 Jul 2022 05:51:34 +0200
> Received: from vr43.mail.ovh.net (unknown [10.101.8.43])
> by out46.mail.ovh.net (Postfix) with ESMTP id 4LbsLG29R7zNy3HNQ
> for ; Mon, 4 Jul 2022 03:51:34 +0000 (UTC)
> Received: from in47.mail.ovh.net (unknown [10.101.4.47])
> by vr43.mail.ovh.net (Postfix) with ESMTP id 4LbsLF63tfz2dCCFh
> for ; Mon, 4 Jul 2022 03:51:33 +0000 (UTC)
> Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=59.126.84.139; helo=smtp05.smtpout.orange.fr; envelope-from=info@madeinaudio.com; receiver=tsmf_0114_32@tsm-fr.fr
> Authentication-Results: in47.mail.ovh.net; dkim=none; dkim-atps=neutral
> Received: from smtp05.smtpout.orange.fr (59-126-84-139.hinet-ip.hinet.net [59.126.84.139])
> by in47.mail.ovh.net (Postfix) with ESMTPS id 4LbsLC2BF8z1ktCKV;
> Mon, 4 Jul 2022 03:51:30 +0000 (UTC)
> Message-ID:
> From: 2258769
> Subject: Copy of: Re:
> Date: Mon, 4 Jul 2022 05:49:54 +0200
> Organization: smtp05.smtpout.orange.fr
> MIME-Version: 1.0
> Content-Type: multipart/alternative; boundary="228ac3689c58727ead074e6612d77ffe7eef"
> Job-ID: .
> X-OVH-Remote: 59.126.84.139 (59-126-84-139.hinet-ip.hinet.net)
> X-Ovh-Tracer-Id: 7189152381396923667
> X-VR-SPAMSTATE: SPAM
> X-VR-SPAMSCORE: 500
> X-VR-SPAMCAUSE: gggruggvucftvghtrhhoucdtuddrgedvfedrudehkedgjeehucetufdoteggodetrfdotffvucfrrhhofhhilhgvmecuqfggjfdpvefjgfevmfevgfenuceurghilhhouhhtmecuhedttdenucgohfhorhgsihguuggvnhfjughrucdlhedttddmnecujfgurhepkffhufffohggtgesrgdtreertddtnecuhfhrohhmpedvvdehkeejieeluceoihhnfhhosehmrgguvghinhgruhguihhordgtohhmqeenucfkphepheelrdduvdeirdekgedrudefleenucfhohhrsghiugguvghnjfgurhepkffhufffohggtgesrgdtreertddtpdfkhffuffhogggtsegrtderredttdenucfuphgrmhfuuhgsjhgvtghtpeevohhphicuohhfmecutfgvmeenucfuphgrmhetughnufhusghjvggttheptghllhhluchllhemucftgfemnecuufhprghmtehlphhhrgfuuhgsjhgvtghtpegtohhphihofhhrvgenucevlhhushhtvghrufhiiigvpedtnecurfgrrhgrmhepmhhouggvpehsmhhtphdphhgvlhhopehsmhhtphdthedrshhmthhpohhuthdrohhrrghnghgvrdhfrhdpihhnvghtpeehledruddviedrkeegrddufeelpdhmrghilhhfrhhomhepihhnfhhosehmrgguvghinhgruhguihhordgtohhmpdhnsggprhgtphhtthhopedupdhrtghpthhtohepthhsmhhfpgdtuddugegpuddtsehtshhmqdhfrhdrfhhrpdhsphhfpehprghsshdpughkihhmpehnohhnvgdpghgvohfkrfepvfghpdfovfetjfhoshhtpehvrhegfe
> X-Ovh-Spam-Status: SPAM
> X-Ovh-Spam-Reason: vr: SPAM; dkim: disabled; spf: disabled
> X-Ovh-Message-Type: SPAM
> X-Spam-Tag: YES

> --228ac3689c58727ead074e6612d77ffe7eef
> Content-Type: text/plain; charset="windows-1251"
> Content-Transfer-Encoding: quoted-printable

> Luna Classic (LUNC) crypto fera de vous un millionnaire en 2022!!

> --228ac3689c58727ead074e6612d77ffe7eef
> Content-Type: text/html; charset="windows-1251"
> Content-Transfer-Encoding: quoted-printable

>
>
> > -1251">
>
>
>


>

>
Luna Classic (LUNC) crypto fera de v=
> ous un millionnaire en 2022!!


> --228ac3689c58727ead074e6612d77ffe7eef–


Est-ce qu'il y a un moyen de lutter contre ça ?
Non seulement c'est pénible de recevoir ces notifications mais en plus j'imagine que notre réputation en prend un coup si des millions de spams partent avec notre adresse…
Merci !

2

Il faut utiliser SPF (avec -all), DKim et Dmarc avec reject pour essayer de réduire ces problèmes…

Faut pas s'attendre à des miracles, mais ça peut aider…

3

Merci. Je vais essayer de voir, mais autant que je sache (c'est à dire peu!) ces outils permettent de passer des barrières anti-spam. Je crois que dans mon cas il n'y a rien à faire :frowning:

4

le -all dans le spf va dire aux serveurs distants de refuser tout mail de votre domaine si il ne provient pas d'une IP autorisée.
Le dmarc reject va également renforcer (normalement) la politique de rejet d'un message si il n'est pas conforme à 100% (clé dkim valide, spf ok)..

ça n'empêchera pas des boulets d'envoyer des mails en se faisant passer pour vous, mais ça devrait limiter le nombre qui arrivent dans les boites mails des destinataires..

5

Grâce à toi, en vérifiant, je m'aperçois que j'ai un sale +all au lieu d'un -all dans le spf !
Le dkim c'est bon.
Merci :wink:

6

Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=59.126.84.139; helo=smtp05.smtpout.orange.fr; envelope-from=info@madeinaudio.com; receiver=tsmf_0114_32@1fr.frfr.fr
Authentication-Results: in47.mail.ovh.net; dkim=none; dkim-atps=neutral
Received: from smtp05.smtpout.orange.fr (59-126-84-139.1ip.hinet.netip.hinet.net [59.126.84.139])
by in47.mail.ovh.net (Postfix) with ESMTPS id 4LbsLC2BF8z1ktCKV;
Mon, 4 Jul 2022 03:51:30 +0000 (UTC)


Bonjour,
Clairement ce sont des spammeurs (hinet.net)

Votre SPF liste: Bouygues, vps-6737c959, 208.ip-51-77-195.eu, ovh12.madeinaudio.com suivi de -all instruction de rejeter ce qui n'est pas valide.

Je ne peux pas comprendre pourquoi OVH a indiqué :
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=59.126.84.139

A moins que vous ayez modifié votre SPF aujourd'hui ? (edit: je viens de voir la réponse)

Comme il semble que vous avez des serveurs dédiés/vps, je suppose qu'ils servent à expédier les mails.
Vous devriez dans ce cas implémenter DKIM sur les mails sortants.

Une fois SPF bien configuré et DKIM opérationnel , vous pouvez aller dans votre DMARC et passer à la phase agressive et mettre p=reject au lieu de p=none.