Depuis fin août 2024, et surtout depuis fin septembre et début octobre, nous sommes confrontés à des refus aléatoires d'Orange/Wanadoo d'échanger avec notre serveur SMTP. En pratique, les abonné⋅es Orange / Wanadoo (mais tous, et pas chaque fois) aux listes que nous hébergeons ne reçoivent pas les courriels qui leur sont destinés (mais pas tous, et pas toujours), sans que cela ne génère systématiquement de message d'erreur informant destinataire et expéditeur. Ponctuellement cela peut concerner aussi des adresses en laposte.net ou gmail.com

Quelques adhérent⋅es de Sud-Ouest.org, victimes de phishing, ont vu leur adresse en @sud-ouest.org, @aquitania.org, @neutralite.org, mailz.org ou oxymail.org compromise et utilisée pour envoyer du spam. Nous en avons aidé à retrouver la maîtrise de leur adresse. Sans réponse, nous avons parfois supprimé ces boîtes. Mais toutes les adresses concernées ne sont pas identifiées…

Puis, ayant eu des retours d'adhérents faisant état de blocage par Cloudmark, nous avons utilisé le formulaire ad hoc https://csi.cloudmark.com/fr/reset/?ip=87.98.220.65 pour demander le “délistage”, et cela a bien fonctionné, mais pour un temps seulement, sans remédiation pérenne.

Pour y faire face, nous avons plusieurs serveurs SMTP, actuellement hébergés chez OVH, avec des IP différentes pour pouvoir basculer de l'un vers l'autre le temps que celui qui serait blacklisté soit délisté, et on vient encore d'en ajouter. Mais ça n'est pas suffisant.

Ainsi, le contrôle (le 16/10/2024) de l'IP 87.98.220.65 sur https://www.blacklistalert.org/ indique une seule inscription sur une liste de blocage, il s'agit de la liste dnsbl-3.uceprotect.net On voit sur cette page que 87.98.128.0/17 est notée sur Level 2, et cette adresse est un “range” (0/17) : ce n'est pas une IP isolée, mais une plage d'IP. En dessous en Level 3 c'est l'AS - “Autonomous System”, l'autorité liée aux IP en question, cf. https://fr.wikipedia.org/wiki/Autonomous_System - qui est listée, à savoir OVH. Là, nous ne pouvons pas faire grand chose d'autre que d'informer OVH et de leur demander de faire le nécessaire auprès de UCE pour qu'ils soient traités comme Microsoft, Apple, Google et autres. Bref, c'est pas gagné…

L'association Sud-Ouest.org a donc ouvert un nouveau serveur début novembre 2024 - et les nouvelles adresses IP qui vont avec - chez Scaleway en plus de OVH, et toujours en France. Au fur et à mesure de la réception des rapports d'incident, le contenu est transmis au listmaster du domaine concerné.

Mais commençons par balayer devant notre porte :

Chacun doit vérifier la configuration de ses listes, en particulier la partie SPF, DKIM et DMARC :

https://sud-ouest2.org/configuration-de-votre-domaine-pour-heberger-vos-listes-de-diffusion

Enfin, les administrateurs de listes ont du travail à faire régulièrement pour vérifier et nettoyer les listes de discussion hébergées par notre plateforme : vérifier les adresses abonnées, purger les adresses courriel abandonnées, inutilisées et potentiellement compromises. Sympa, le logiciel moteur des listes, gère automatiquement les abonnés en erreur : selon le nombre d'erreurs, les abonnés en erreur sont notifiés, puis désabonnés, ou leur score est remis à zéro si l'erreur cesse de se reproduire.

https://sud-ouest2.org/nettoyage-des-listes-de-diffusion

En pratique, chaque propriétaire de liste peut commencer par envoyer un message de rappel d'abonnement puis, dans le doute et après avoir prévenu ou tenté de prévenir les personnes concernées, désabonner les adresses en erreur pour lesquelles il n'y a pas eu de confirmation du souhait de rester abonné.

Exemple : https://listes.sud-ouest.org/wws/help/admin-bounces.html