Quand Orange blackliste les newsletters

 

Vous êtes webmaster, vous informez vos visiteurs des mises à jours via une newsletter, quoi de plus classique ? L'ennui, c'est que vos visiteurs, bien peu conscients de l'énorme travail que représente la rédaction d'une newsletter, oublient de vous tenir au courant quand ils changent d'adresse mail. Ou, pire, au lieu de prendre le temps de se désabonner proprement, cliquent bêtement le bouton Spam sur leur client mail.

Et un jour, vous vous apercevez que toutes les newsletters que vous envoyez vers certains domaines vous sont retournés. Ou, si votre site est hébergé sur un serveur dédié, vous voyez les mails s'accumuler dans la file des envois… avant disparaître au bout de 6 jours… et éventuellement vous revenir en erreur (ou pas).

Pas de chance, dans mon cas c'était Orange qui bloquait. C'est à dire que tous les mails envoyés vers des adresses mail en @orange.fr, @wanadoo.fr, @voila.fr et @laposte.net étaient bloqués. En gros, si votre cœur de cible est francophone, pas très jeune et/ou libéral, artisan, petit commerçant… votre newsletter ne passe plus.

Et si vous-mêmes êtes chez Orange, et que le formulaire de contact de votre site redirige vers votre adresse mail… vous ne recevez plus de message à partir de ce formulaire !

Et là c'est le début du cauchemar, car vous allez devoir jongler entre :

  • votre hébergeur (qui, si vous êtes sur un serveur dédié, va se retrancher derrière le fait que vous êtes responsable de votre serveur et que c'est à vous de vous débrouiller)
  • Orange (ou tout autre hébergeur de messagerie qui vous a blacklisté (qui va se retrancher derrière le fait qu'ils se basent sur des services en ligne listant les serveurs et leur réputation).
  • Le ou les organismes (car il y en a plein, avec des noms fleuris du genre Spamcannibal, Cloudmark etc) à qui vous devez prouver par A+B et dans la langue de Shakespeare que non, vous n'êtes pas des méchants spammeurs.

Le pire, c'est que même quand Cloudmark vous annonce que la pénalité est levée et que vous voyez avec soulagement les mails circuler à nouveau, vous n'êtes pas à l'abri d'un nouveau blocage 15 jours plus tard !

 

Comment vérifier si son IP est blacklistée

Il existe plusieurs outils permettant d'interroger un certain nombre de ces innombrables listes
http://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a213.000.000.000&run=toolpage (en remplaçant l'IP en gras par celle de votre serveur).

 

Ce que j'ai appris de cette mésaventure (de la part de mon hébergeur qui, devant mon insistance, a quand même fini par lâcher des infos, mais il a vraiment fallu réclamer), c'est que désormais, si on veut envoyer des mails à partir d'un serveur (dédié ou mutualisé), il faut soigneusement paramétrer 2-3 bricoles.

Pour l'exemple, nous dirons que notre site est hébergé chez Ikoula sur un serveur dédié sous Plesk 9 dont l'IP est 213.000.000.000 et que son nom de domaine est www.nomdomaine.com

 

Le champ SPF

SPF signifie Sender Policy Framework. Wikipedia nous explique que c'est « une norme de vérification du nom de domaine de l'expéditeur d'un courrier électronique, normalisé dans la RFC 4408. L'adoption de cette norme est de nature à réduire le spam. »

Bon, où est ce que ça se passe ? Au niveau de votre nom de domaine. Quelque part dans l'espace client permettant d'administrer votre nom de domaine (rappel : dans notre cas il est distinct de l'hébergement du  site).

Chez OVH (manager v3), aller dans Accueil > Mutualisé > Domaines & DNS > Zone DNS (Mode avancé) et cliquer sur Type SPF

Bouton ajout champ SPF sous OVH

Chez Gandi, la liste des enregistrements se trouve dans Fichier de zone (le lien est en bas à droite du tableau de bord du nom de domaine).

Zone DNS chez Gandi

Elle ressemble à ceci :

Zone DNS chez Gandi

Dans la liste de DNS déjà existants (A, FTP, etc) vous allez ajouter un ou plusieurs enregistrements. Dans le cas d'OVH, un enregistrement SPF suffit.

Dans le cas de Gandi, il faut un enregistrement  SPF ET AUSSI un enregistrement  TXT, le SPF tout seul ne fonctionnera pas (attention aussi : chez Gandi il faut dupliquer la liste des enregistrements avant de pouvoir la modifier ou ajouter un enregistrement, et ensuite ne pas oublier d'activer cette nouvelle liste).

Quoi mettre dedans ? Tout dépend de votre politique d'envoi de mail.

v=spf1 a ~all

signifie que tout le monde est autorisé à envoyer les emails au nom de votre domaine. C'est un peu large. Attention avant le all c'est un tilde, pas un tiret. Sinon, cela signifiera exactement l'inverse.

v=spf1 mx ip4:213.000.000.000 mx:fb.mail.gandi.net mx:spool.mail.gandi.net ~all

Là, on est dans le cas d'un nom de domaine acheté chez Gandi, avec des boîtes mail configurées dessus et un hébergement dédié séparé, situé à l'IP 213.000.000.000. Signifie que les boîtes mails chez Gandi mais aussi les sites hébergés sur le serveur 213.000.000.000 ont le droit d'envoyer des mails.

Patienter quelques heures, l'effet n'est pas immédiat.

Pour vérifier que cela a bien fonctionné, il existait autrefois le wizard de Microsoft, qui pouvait également vous servir à paramétrer votre enregistrement SPF, même si à l'époque je n'avais pas trop compris comment il fonctionnait. On renseignait son nom de domaine dans le champ de droite et on cliquait sur Start.

SPF record wizard by Microsoft

 

Si l'enregistrement SPF a été correctement mis en place, on obtient cet écran.

SPF record wizard by Microsoft

Si ce n'est pas le cas, on obtient cet écran

SPF record wizard by MIcrosoft, SPF non détecté

Cet outil n'est désormais plus disponible (merci à Debra Peterson), et Microsoft ne semble pas super motivé à nous le remettre en ligne. En voici trois autre, que je n'ai pas eu le temps de tester…

 

Le reverse-DNS

Le reverse DNS d'une adresse IP est le nom associé à cette IP. Pour obtenir le reverse DNS d'une adresse IP il vous suffit de tester en ligne de commande (dans DOS, quoi) avec nslookup.

nslookup 213.000.000.000

 

Par défaut, ce reverse DNS existe déjà, mais il est imbouffable. On va donc le remplacer par le nom de domaine du site, sans le www (ici nomdomaine.com).

Chez Ikoula, on peut modifier le reverse DNS de son serveur très facilement (ce n'est pas toujours le cas). Rendez-vous sur l'espace client Ikoula (PAS sur le Plesk !). Son adresse change de temps à autres, actuellement c'est sur order.ikoula.com/cp ou parfois sur extranet.ikoula.com

Dans mon cas, je choisis Serveur physique (pas difficile, il n'y en a qu'un)

Espace client Ikoula

Ce qui m'emmène vers la liste des serveurs physiques, je clique sur celui qui m'intéresse

Espace client Ikoula serveur dédié

Ensuite, je scrolle tout en bas de page, vers le groupe d'icônes Gestion technique, et je clique sur Reverse DNS.

Espace client Ikoula

Ce qui démasque le formulaire permettant de modifier ce fameux reverse DNS (après un dernier clic sur Modifier)

Espace client ikoula reverse DNS

Comme toute manipulation concernant les DNS, le résultat n'est pas immédiat. Il faut attendre un délai variable, en général plusieurs heures, pour constater la prise en compte de la modification.

 

Le hostname

Par défaut, sur un dédié, lui aussi porte un nom imbouffable. De préférence, le même que le reverse DNS avant que vous l'ayiez changé. Du coup c'est encore pire, votre hostname ne concorde plus avec le reverse DNS. Alors vite, on va le remplacer lui aussi par le nom de domaine du site, sans le www (là encore nomdomaine.com).

Dans le cas de mon serveur dédié sous Plesk 9, ça se passe dans les paramètres du serveur. Le lien pour y accéder est soigneusement dissimulé…

Lien vers les paramètres du serveur sous Plesk 9

La valeur à changer est dans le champ Nom d'hôte complet

Paramètres du serveur

 

Par contre, ce qui est navrant, c'est que personne, ni l'hébergeur du site, ni l'hébergeur du site, ni l'organisme de blacklistage ne sont capables de donner des informations concrètes et précises sur la cause de ce blacklistage. Comment dans ce cas mener une politique de prévention efficace ?

Bon, pour l'instant la pénalité est levée et les mails circulent à nouveau. Mais pour combien de temps ?

File d'attente des mails sur le serveur (linux sous Plesk 9)

Le rêve : une file d'attente des mails sur le serveur VIDE ! (linux sous Plesk 9)

 

Depuis, les techniques de filtrage de mails indésirables ont évolué. Des champs supplémentaires ont fait leur apparition : DKIM et DMARC

Karine SANCHE

Partager cet article