Bonjour,

j'ai pu enfin m'en occuper ce matin. Quelqu'un a abusé de https://paste.frsag.net/ pour y déposer du code malveillant, à la base ce paste était une blague à base de vim lors de la création de frsag... C'était évident que ça allait arriver... leçon retenue. Dans la hâte, j'ai supprimé ce paste, le code malveillant et restreint les règles DKIM.

Mais Mailman est pour l'instant incompatible avec DKIM: https://wiki.list.org/DEV/DKIM La version de mailman installée est l'officielle de Debian Buster.

Ce serveur n'héberge pas que la liste FRsAG, il est multi-domaines. Ajoutez à ça PostSRSd qui rewrite tout sans réfléchir et vous pouvez obtenir un serveur en open relay qui en plus signe les mails avec DKIM... (via les bounces).

J'ai remplacé PostSRSd par Postforward afin qu'il ne rewrite plus les mails de la liste, adapté la config virtual_alias en conséquence, par contre je n'arrive pas à configurer DKIM avec Mailman dans une config avec SRS. Donc pour l'instant, les mails de la liste ne sont plus signé. Je remettrais peut-être DKIM lors de la sortie de Mailman 2.2 ou 2.3.

J'espère ne pas regretter d'avoir été transparent avec vous. Bon dimanche, Greg

Le dim. 7 juin 2020 à 07:39, Jean-Francois Billaud via FRsAG < frsag@frsag.org> a écrit :

On 07/06/2020 02:28, Jonathan Leroy - Inikup via FRsAG wrote:

...

Plop,

Apparement la liste était cassée depuis le 14/05 chez les gens qui valident DKIM. Ça va mieux ?

Faut voir.

JFB

-- Un pessimiste, c'est un optimiste avec de l'expérience.

---

Liste de diffusion du FRsAG http://www.frsag.org/

Effectivement, c'est ce que je fais aussi. Un pool de serveurs relais sortants, qui s'occupe des signatures DKIM et des règles de routage si besoin.

Tous les serveurs applicatifs/infra ont un petit Postfix en local, qui fait "relayhost = relay-out.mondomaine.ext:587"

et quand l'enregistrement n'est pas encadré de [], Postfix sait faire une requête MX sur le nom fourni.

Ce qui donne un joli load balancers SMTP vers les relais sortants à pas cher :-)

Le 07/06/2020 à 13:46, Julien Escario a écrit :

Le 07/06/2020 à 11:01, Greg a écrit :

...

Bonjour,

[...]

...

Je remettrais peut-être DKIM lors de la sortie de Mailman 2.2 ou 2.3.

J'espère ne pas regretter d'avoir été transparent avec vous. Bon dimanche, Greg

J'espère bien que non !

My 2 cts : on a renoncé à mettre en place les signatures DKIM sur chaque SMTP sortant, notamment parce qu'on tombe TOUJOURS sur un MTA qui ne sait pas le faire. Maintenant, on fait passer par un smarthost qui contient les clés et fait le boulot de signature avant d'envoyer le mail vers le destinataire.

Ca fait un étage de plus mais beaucoup d'emmerdes en moins avec une gestion centralisée des clés. Et SMTP, c'est plutôt costaud niveau résilience/failover donc si le MTA de signature se casse la gueule, c'est facile de faire sortir par ailleurs.

Julien _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/

Le jeu. 25 juin 2020 à 00:19, Olivier Bonvalet frsag.list@daevel.fr a écrit :

c'est cassé chez moi !

Pareil ici :

ARC-Authentication-Results: i=1; mx.google.com; dkim=neutral (body hash did not verify) header.i=@daevel.fr header.s=default header.b=Rw9vJZMB; spf=pass (google.com: domain of frsag-bounces@frsag.org designates 62.210.131.4 as permitted sender) smtp.mailfrom=frsag-bounces@frsag.org

Et ce message n'est jamais arrivé chez moi : https://frsag.org/pipermail/frsag/2020-June/011617.html J'ai signalé au chef mais pas de retour pour le moment...

-- Jonathan Leroy