Quand Orange blackliste les newsletters

 

Vous êtes webmaster, vous informez vos visiteurs des mises à jours via une newsletter, quoi de plus classique ? L'ennui, c'est que vos visiteurs, bien peu conscients de l'énorme travail que représente la rédaction d'une newsletter, oublient de vous tenir au courant quand ils changent d'adresse mail. Ou, pire, au lieu de prendre le temps de se désabonner proprement, cliquent bêtement le bouton Spam sur leur client mail.

Et un jour, vous vous apercevez que toutes les newsletters que vous envoyez vers certains domaines vous sont retourn√©s. Ou, si votre site est h√©berg√© sur un serveur d√©di√©, vous voyez les mails s'accumuler dans la file des envois… avant¬†dispara√ģtre au bout de 6 jours… et √©ventuellement vous revenir en erreur (ou pas).

Pas de chance, dans mon cas c'√©tait Orange qui bloquait. C'est √† dire que tous les mails envoy√©s vers des adresses mail en @orange.fr, @wanadoo.fr, @voila.fr et @laposte.net √©taient bloqu√©s. En gros, si votre cŇďur de cible est francophone, pas tr√®s jeune et/ou lib√©ral, artisan, petit commer√ßant… votre newsletter ne passe plus.

Et si vous-m√™mes √™tes chez Orange, et que le formulaire de contact de votre site redirige vers votre adresse mail… vous ne recevez plus de message √† partir de ce formulaire !

Et là c'est le début du cauchemar, car vous allez devoir jongler entre :

  • votre h√©bergeur (qui, si vous √™tes sur un serveur d√©di√©, va se retrancher derri√®re le fait que vous √™tes responsable de votre serveur et que c'est √† vous de vous d√©brouiller)
  • Orange (ou tout autre h√©bergeur de messagerie qui vous a blacklist√© (qui va se retrancher derri√®re le fait qu'ils se basent sur des services en ligne listant les serveurs et leur r√©putation).
  • Le ou les organismes (car il y en a plein, avec des noms fleuris du genre Spamcannibal, Cloudmark etc) √† qui vous devez prouver par A+B et dans la langue de Shakespeare que non, vous n'√™tes pas des m√©chants spammeurs.

Le pire, c'est que même quand Cloudmark vous annonce que la pénalité est levée et que vous voyez avec soulagement les mails circuler à nouveau, vous n'êtes pas à l'abri d'un nouveau blocage 15 jours plus tard !

 

Comment vérifier si son IP est blacklistée

Il existe plusieurs outils permettant d'interroger un certain nombre de ces innombrables listes
http://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a213.000.000.000&run=toolpage (en remplaçant l'IP en gras par celle de votre serveur).

 

Ce que j'ai appris de cette m√©saventure (de la part de mon h√©bergeur qui, devant mon insistance, a quand m√™me fini par l√Ęcher des infos, mais il a vraiment fallu r√©clamer), c'est que d√©sormais, si on veut envoyer des mails √† partir d'un serveur (d√©di√© ou mutualis√©), il faut soigneusement param√©trer 2-3 bricoles.

Pour l'exemple, nous dirons que notre site est hébergé chez Ikoula sur un serveur dédié sous Plesk 9 dont l'IP est 213.000.000.000 et que son nom de domaine est www.nomdomaine.com

 

Le champ SPF

SPF signifie¬†Sender Policy Framework. Wikipedia nous explique que c'est ¬ę¬†une norme de v√©rification du nom de domaine de l'exp√©diteur d'un courrier √©lectronique, normalis√© dans la RFC 4408. L'adoption de cette norme est de nature √† r√©duire le spam.¬†¬Ľ

Bon, o√Ļ est ce que √ßa se passe ? Au niveau de votre nom de domaine. Quelque part dans l'espace client permettant d'administrer votre nom de domaine (rappel : dans notre cas il est distinct de l'h√©bergement du ¬†site).

Chez OVH (manager v3), aller dans Accueil > Mutualisé > Domaines & DNS > Zone DNS (Mode avancé) et cliquer sur Type SPF

Bouton ajout champ SPF sous OVH

Chez Gandi, la liste des enregistrements se trouve dans Fichier de zone (le lien est en bas à droite du tableau de bord du nom de domaine).

Zone DNS chez Gandi

Elle ressemble à ceci :

Zone DNS chez Gandi

Dans la liste de DNS déjà existants (A, FTP, etc) vous allez ajouter un ou plusieurs enregistrements. Dans le cas d'OVH, un enregistrement SPF suffit.

Dans le cas de Gandi, il faut un enregistrement  SPF ET AUSSI un enregistrement  TXT, le SPF tout seul ne fonctionnera pas (attention aussi : chez Gandi il faut dupliquer la liste des enregistrements avant de pouvoir la modifier ou ajouter un enregistrement, et ensuite ne pas oublier d'activer cette nouvelle liste).

Quoi mettre dedans ? Tout dépend de votre politique d'envoi de mail.

v=spf1 a ~all

signifie que tout le monde est autorisé à envoyer les emails au nom de votre domaine. C'est un peu large. Attention avant le all c'est un tilde, pas un tiret. Sinon, cela signifiera exactement l'inverse.

v=spf1 mx ip4:213.000.000.000 mx:fb.mail.gandi.net mx:spool.mail.gandi.net ~all

L√†, on est dans le cas d'un nom de domaine achet√© chez Gandi, avec des bo√ģtes mail configur√©es dessus et un h√©bergement d√©di√© s√©par√©, situ√© √† l'IP 213.000.000.000.¬†Signifie que les bo√ģtes mails chez Gandi mais aussi les sites h√©berg√©s sur le serveur 213.000.000.000 ont le droit d'envoyer des mails.

Patienter quelques heures, l'effet n'est pas immédiat.

Pour vérifier que cela a bien fonctionné, il existait autrefois le wizard de Microsoft, qui pouvait également vous servir à paramétrer votre enregistrement SPF, même si à l'époque je n'avais pas trop compris comment il fonctionnait. On renseignait son nom de domaine dans le champ de droite et on cliquait sur Start.

SPF record wizard by Microsoft

 

Si l'enregistrement SPF a été correctement mis en place, on obtient cet écran.

SPF record wizard by Microsoft

Si ce n'est pas le cas, on obtient cet écran

SPF record wizard by MIcrosoft, SPF non détecté

Cet outil n'est d√©sormais plus disponible (merci √† Debra Peterson), et Microsoft ne semble pas super motiv√© √† nous le remettre en ligne. En voici trois autre, que je n'ai pas eu le temps de tester…

 

Le reverse-DNS

Le reverse DNS d'une adresse IP est le nom associé à cette IP. Pour obtenir le reverse DNS d'une adresse IP il vous suffit de tester en ligne de commande (dans DOS, quoi) avec nslookup.

nslookup 213.000.000.000

 

Par défaut, ce reverse DNS existe déjà, mais il est imbouffable. On va donc le remplacer par le nom de domaine du site, sans le www (ici nomdomaine.com).

Chez Ikoula, on peut modifier le reverse DNS de son serveur très facilement (ce n'est pas toujours le cas). Rendez-vous sur l'espace client Ikoula (PAS sur le Plesk !). Son adresse change de temps à autres, actuellement c'est sur order.ikoula.com/cp ou parfois sur extranet.ikoula.com

Dans mon cas, je choisis Serveur physique (pas difficile, il n'y en a qu'un)

Espace client Ikoula

Ce qui m'emmène vers la liste des serveurs physiques, je clique sur celui qui m'intéresse

Espace client Ikoula serveur dédié

Ensuite, je scrolle tout en bas de page, vers le groupe d'ic√īnes Gestion technique, et je clique sur Reverse DNS.

Espace client Ikoula

Ce qui démasque le formulaire permettant de modifier ce fameux reverse DNS (après un dernier clic sur Modifier)

Espace client ikoula reverse DNS

Comme toute manipulation concernant les DNS, le résultat n'est pas immédiat. Il faut attendre un délai variable, en général plusieurs heures, pour constater la prise en compte de la modification.

 

Le hostname

Par défaut, sur un dédié, lui aussi porte un nom imbouffable. De préférence, le même que le reverse DNS avant que vous l'ayiez changé. Du coup c'est encore pire, votre hostname ne concorde plus avec le reverse DNS. Alors vite, on va le remplacer lui aussi par le nom de domaine du site, sans le www (là encore nomdomaine.com).

Dans le cas de mon serveur d√©di√© sous Plesk 9, √ßa se passe dans les param√®tres du serveur. Le lien pour y acc√©der est soigneusement dissimul√©…

Lien vers les paramètres du serveur sous Plesk 9

La valeur √† changer est dans le champ Nom d'h√īte complet

Paramètres du serveur

 

Par contre, ce qui est navrant, c'est que personne, ni l'hébergeur du site, ni l'hébergeur du site, ni l'organisme de blacklistage ne sont capables de donner des informations concrètes et précises sur la cause de ce blacklistage. Comment dans ce cas mener une politique de prévention efficace ?

Bon, pour l'instant la pénalité est levée et les mails circulent à nouveau. Mais pour combien de temps ?

File d'attente des mails sur le serveur (linux sous Plesk 9)

Le rêve : une file d'attente des mails sur le serveur VIDE ! (linux sous Plesk 9)

 

Depuis, les techniques de filtrage de mails indésirables ont évolué. Des champs supplémentaires ont fait leur apparition : DKIM et DMARC

Karine SANCHE

Partager cet article