De temps en temps, les clients finissent par être bloqués par une liste noire rarement vue appelée « RFC-Ignorant ». Contrairement aux listes noires classiques qui sont généralement pilotées par des pots de miel, celle-ci est dirigée par des personnes qui vous ont signalé manuellement comme violant la RFC.

RFC-Ignorant cible 5 faux-pas spécifiques :

1. Absence d’adresse Postmaster sur le serveur
2. Incapacité d’accepter une adresse courriel vide (mailfrom : <>)
3. Absence d’une boîte aux lettres
pour les mauvais traitements 4. Mauvaise information WHOIS sur votre domaine
5. Mauvais dossier MX pour votre domaine

1. Absence d’adresse du maître de poste

J’ai souvent affaire à des clients qui utilisent des serveurs Microsoft Exchange, et il est très surprenant qu’un serveur de messagerie aussi populaire n’ait pas d’adresse électronique Postmaster par défaut. Il est d’une importance vitale d’en avoir un. Voici ce que dit la RFC822 à ce sujet :

« Il est souvent nécessaire d’envoyer du courrier à un site, sans connaître ses adresses valides. Par exemple, il peut y avoir des dysfonctionnements du système de courrier ou un utilisateur peut vouloir trouver l’adresse exacte d’une personne à ce site.

Cette norme spécifie une seule adresse de boîte aux lettres réservée (partie locale) qui doit être valide sur chaque site. Le courrier envoyé à cette adresse doit être acheminé à une personne responsable du système de courrier du site ou à une personne responsable de l’exploitation générale du site. Le nom de l’adresse de la partie locale réservée est : Postmaster, de sorte que ‘Postmaster@domain’ doit être valide.

En d’autres termes, pour vous conformer à la RFC, vous devez avoir une adresse Postmaster.

RFC-Ignorant va encore plus loin : la plupart des gens qui ont un maître de poste auront un auto-ack (accusé de réception automatique). Vous ne devez pas dire dans votre auto-ack « Veuillez alternateadress@yourdomain.com envoyer un courriel si vous avez un problème », sinon c’est aussi un motif de mise sur liste noire.

Au mieux, vous pourriez écrire quelque chose comme « Merci pour votre soumission. Veuillez noter que vous obtiendrez une réponse plus rapide si vous alternateaddress@yourdomain.com envoyez un courriel.

Donc, pour résumer :

– Vous devez avoir une adresse Postmaster pour chacun de vos domaines
– S’il y a un auto-ack, il ne doit PAS dire « envoyez un courriel à quelqu’un d’autre, sinon il ne sera pas lu »
– Un être humain doit vérifier régulièrement le contenu de la boîte aux lettres Postmaster

2. Incapacité d’accepter une adresse courriel vide (mailfrom : <>)

Habituellement, lorsqu’une notification de retour à l’expéditeur arrive, elle provient soit d’postmaster@externaldomain.com , soit d’une adresse vide. Votre serveur de messagerie DOIT accepter les courriels avec un courrier SMTP de : <>. Rejeter ces éléments est un motif de mise sur liste noire.

Cela est couvert par RFC1123 :

« La syntaxe indiquée dans la RFC-821 pour la commande MAIL FROM : omet la casse d’un chemin vide : « MAIL FROM : <>» (voir RFC-821, page 15). Un chemin inverse vide DOIT être soutenu.

3. Absence d’une boîte aux lettres pour les abus

Si, lorsque vous enregistrez un domaine et que vous prévoyez fournir un serveur de messagerie, vous devez fournir une adresse courriel abuse@yourdomain.com . Ne pas avoir de boîte aux lettres d’abus (surtout si vous êtes un FAI) est un motif de mise sur liste noire. Encore une fois, Microsoft Exchange et la plupart des MTA, par défaut, ne sont pas livrés avec une boîte d’abus.

Pour un FAI ou un xSP, il est très important d’avoir une boîte d’abus. C’est là que la plupart des plaintes de pourriel se retrouvent si un spammeur parvient à prendre le contrôle de l’un de vos comptes d’utilisateur (par hameçonnage par mot de passe) et commence à spammer en général, ou si l’un de vos utilisateurs commence à spammer parce que sa machine a été compromise par un réseau de zombies.

L’absence d’une boîte d’abus peut être un motif de mise sur liste noire par RFC-Ignorant.

L’article 4 de RFC2142 précise le but de l’abus (et d’autres) parties locales :

« Les adresses d’exploitation sont destinées à fournir un recours aux clients, aux fournisseurs et à d’autres personnes qui éprouvent des difficultés avec le service Internet de l’organisation. »

Les règles relatives à la boîte du maître de poste s’appliquent également à la boîte d’abus :

– Vous devez avoir une adresse d’abus pour chacun de vos domaines
– S’il a un ack automatique, il ne doit PAS dire « envoyer un courriel à quelqu’un d’autre, sinon il ne sera pas lu ».

4. De mauvaises informations WHOIS sur votre domaine

RFC-Ignorant peut vous mettre sur liste noire si les informations WHOIS de votre domaine sont obsolètes ou tout simplement inexactes. C’est assez rare puisque quelqu’un doit se plaindre pour que vous soyez répertorié, mais il est généralement sage de garder à jour le WHOIS de votre domaine, y compris les coordonnées, (le contact abusif étant l’aspect le plus important).

RFC1032 précise que les données de contact des domaines peuvent être trouvées via le système WHOIS :

Vérification des données

« Le processus de vérification peut être accompli de plusieurs façons. L’une d’entre elles est le serveur NIC WHOIS. S’il a accès à WHOIS, le procureur peut taper le domaine « whois »

‘. La réponse de WHOIS fournira ce qui suit : le nom et l’adresse de l’organisation « propriétaire » du domaine; le nom du domaine; ses contacts administratifs, techniques et de zone; les noms d’hôte et les adresses réseau des sites fournissant un service de noms pour le domaine.

5. Mauvais dossier MX pour votre domaine

RFC-Ignorant peut vous mettre sur liste noire si vous avez un enregistrement MX qui pointe vers une adresse IP interne (une adresse réservée qui n’est pas routable externement).

Ceci est défini dans les RFC suivantes :

– Si un enregistrement MX répertorié publiquement pour un domaine contient un nom d’hôte qui pointe vers un faux espace d’adressage IP, tel que ceux documentés dans la RFC 3330, ou les réservations IPv6 détaillées dans les RFC 3879, 4048, 4193 et 4291,
– Ou si le domaine contient un MX RR qui pointe vers une adresse IP, en violation de la RFC 1035,
– Ou si le domaine a des MX RR qui pointent vers des noms d’hôtes qui n’ont pas eux-mêmes d’enregistrement A associé (y compris les MX qui renvoient un NXDOMAIN ou qui sont CNAME)
Pour faire une histoire courte

– Assurez-vous d’avoir une adresse Postmaster pour chaque domaine
– Assurez-vous d’avoir une adresse abusive pour chaque domaine
– Assurez-vous que quelqu’un LIT ces boîtes aux lettres et RÉPOND aux plaintes
– Assurez-vous que, si vous avez un auto-ack, il ne stipule pas que les boîtes aux lettres ne seront pas lues et de rediriger les plaintes vers une autre boîte
– Assurez-vous que votre MTA ne bloque pas les mails vides (mailfrom : <>)
– Assurez-vous d’avoir un enregistrement WHOIS valide pour votre ou vos domaines-
Assurez-vous que vous n’avez pas d’enregistrement MX pointant vers une adresse non routable (c’est-à-dire : interne/réservée)

Liens :

http://www.faqs.org/rfcs/rfc822.html
http://www.faqs.org/rfcs/rfc1123.html
http://www.faqs.org/rfcs/rfc2142.html
http://www.faqs.org/rfcs/rfc3030.html