Abul.org

Site valide W3C XHTML 1.0
Site valide W3C CSS 2.1

Rechercher

Des mêmes auteurs

Dans la même rubrique

Association Bordelaise des Utilisateurs de Logiciels libres

Accueil ›› Utilisation de logiciels libres ›› Système ›› Envoyer des mails au domaine AOL.com

Envoyer des mails au domaine AOL.com

Posté le mardi 24 août 2004 par Fabrice Clerc

Pour un administrateur de messagerie, l’envoi de messages au domaine aol.com peut s’avérer problématique depuis 2-3 ans. L’augmentation exponentielle du nombre de spams a poussé une grande partie des admins à adopter des règles draconiennes, tant pour freiner l’envoi par les malveillants et les serveurs piratés que pour retourner à la source du serveur, puis de l’usager frauduleux.
Ces règles ne sont pas toujours claires, elles diffèrent parfois très sensiblement d’un domaine à l’autre au gré de la saine paranoïa des administrateurs, ou de leur incompétence aveugle.

Pour une fois, un fournisseur d’accès compile et édite les règles à observer pour que vos messages arrivent correctement aux abonnés AOL. Suivant votre architecture de messagerie, l’accession à ces règles sera plus ou moins problématique. Par exemple, il n’est plus possible pour un abonné ADSL final d’envoyer un mail à aol.com sans passer par un hôte actif (smarthost) de type smtp.wanadoo.fr, reconnu et mis en liste blanche. Il faudra aussi que votre HELO et votre enregistrement PTR soient cohérents.

Je vous laisse découvrir ce livre des bonnes conduites à adopter.

— 
Fabrice Clerc

titre documents joints

Liste blanche pour mails AOL (PDF - 274.1 ko)

Répondre à cet article

8 commentaire(s)
  • Posté le 15 octobre 2004 à 20:56, par Antispam (lien)

    Bonjour,

    Je suis l’auteur de cette note technique... j’en profite pour préciser les points suivants :

    Elle est destinée principalement aux expéditeurs de mail en masse vers AOL — par exemple, 10.000 ou 100.000 destinataires AOL par jour

    Pour pouvoir envoyer du courrier électronique en quantité "normale" (quelques dizaines de destinataires AOL par jour) vers les boîtes aux lettres AOL, les conseils techniques sont beaucoup plus simples : il suffit

     que l’adresse IP émettrice ait un enregistrement DNS inverse (reverse DNS, champ PTR)

    (il n’y a aucune exigence sur le champ HELO/EHLO, contrairement à ce qui est écrit)

     et surtout que ce DNS inverse ne soit pas associé à une adresse "résidentielle", comme expliqué dans le document pages 4 et 5.

    Nous travaillons en étroite collaboration avec les autres Fournisseurs d’Accès à Internet (ou de services de messagerie), notamment au sein de l’Association française des Fournisseurs d’Accès, et ce sont souvent les autres FAI qui nous demandent explicitement de refuser sur les MX AOL l’acceptation de mail expédié directement vers AOL depuis les adresses IP de leurs abonnés.

    La phrase "il n’est plus possible pour un abonné ADSL final d’envoyer un mail à aol.com sans passer par un hôte actif (smarthost) de type smtp.wanadoo.fr, reconnu et mis en liste blanche." constitue une interprêtation erronée de ce document :

    Si vous souhaitez envoyer du mail directement à aol.com sans passer par un relais de type smtp.wanadoo.fr ou smtp.free.fr, il vous *suffit* de demander à votre FAI une personnalisation de votre DNS inverse afin qu’il ne ressemble plus à :
     AC96CBEC.ipt.aol.com
     l01v-58-230.d1.club-internet.fr
     m34.net81-66-86.noos.fr
     ip-101.net-80-236-24.asnieres.rev.numericable.fr
     alesia-4-82-66-58-27.fbx.proxad.net, lns-p19-5-82-65-31-153.adsl.proxad.net
     d213-101-205-201.cust.tele2.fr
     dyn-83-154-152-33.ppp.tiscali.fr
     atuileries-103-1-4-14.w80-11.abo.wanadoo.fr

    mais plutôt fasse référence à votre propre domaine, par exemple "aragorn.mondomaine.org" ou "mail.mondomaine.fr".

    Vous serez alors en mesure d’expédier du mail directement vers aol.com... sauf si votre FAI nous a explicitement demandé un blocage manuel de votre plage d’adresses IP... et là encore, il vous suffit de contacter AOL afin que votre adresse IP soit débloquée (sous réserve qu’elle soit fixe/statique !)

    Bref ce n’est pas compliqué de pouvoir expédier du mail vers AOL... mais nous sommes obligés de procéder au blocage des adresses IP résidentielles, le plus souvent d’ailleurs à la demande du FAI concerné, du fait des virus Windows qui transforment les PC des abonnés haut-débit des FAI en "distributeurs de spam" capables de nous envoyer des millions de spams en quelques heures, du jour au lendemain.

    On peut également noter que les FAI ont des comportements très peu homogènes dans le suivi des plaintes pour spam en provenance de leurs abonnés que nous leur remontons : certains les traitent automatiquement et en assurent le suivi, alors que d’autres les ignorent et ne font rien pour lutter contre leurs propres abonnés spammeurs.

    Nous préférons évidemment, de loin, un FAI qui est activement impliqué dans la lutte contre le spam émis par ses propres abonnés — cela résultera en un nombre de plaintes pour spam le concernant minime côté AOL, et nous n’aurons pas besoin d’imposer des restrictions aux mails en provenance de ce FAI.

    Malheureusement, d’autres FAI ne font rien du tout... et après mise en demeure, nous sommes alors obligés d’agir côté AOL en imposant des quotas ou autres restrictions sur la quantité de mail que nous acceptons de leurs serveurs, avec tous les dégâts collatéraux que ce type de pratiques peut occasionner, en particulier pour les envois légitimes de masse — qui ont fort peu de chance d’arriver à destination depuis un tel FAI.

    Enfin, cette note technique est une traduction en français des éléments pertinents du site web http://postmaster.info.aol.com/ et son contenu se retrouve désormais posté publiquement en grande partie sur le site francophone http://postmaster.info.aol.fr/

    N’hésitez pas à me faire part de toute remarque éventuelle sur ce document, même si en pratique il n’est pas destiné à des utilisateurs individuels mais plutôt à des sociétés de "marketing direct" ou de publi-postage qui effectuent de gros envois de masse récurrents vers les abonnés AOL.

    Cordialement

    Voir en ligne : Site de référence pour la messagerie AOL

    repondre message

    • Posté le 15 octobre 2004 à 21:59, par Fabrice Clerc (lien)

      En tout premier lieu, je vous remercie pour ces précisions.
      Je me permet également de faire remarquer qu’en tant que professionnel,
      je n’ai pas eu de soucis, pour joindre des gens compétents de chez AOL,
      qui m’ont aidé à trouver pourquoi les mails de ma société ne parvenaient
      pas aux destinataires AOL. Cette attitude très professionnelle est très
      appréciable. J’ai eu beaucoup plus de mal à joindre des ingés de chez
      Wanadoo.

      La phrase "il n’est plus possible pour un abonné ADSL final
      d’envoyer un mail à aol.com sans passer par un hôte actif (smarthost) de
      type smtp.wanadoo.fr, reconnu et mis en liste blanche." constitue une
      interprêtation erronée de ce document

      Il me semble tout de même que s’il n’est pas difficile de mettre
      l’enregistrement PTR souhaité sur une adresse IP profesionnelle avec des
      abonnements TDSL ou sur des LL, à part peut-être avec Nerim, je serais
      curieux de voir la tête du service technique de wanadoo, club-internet,
      free et consors si on leur demandait la modification d’un enregistrement
      PTR existant. Ils considèrent qu’avoir une IP fixe est déjà un grand
      service, alors... ...d’où ma remarque.

      N’hésitez pas à me faire part de toute remarque éventuelle sur ce
      document, même si en pratique il n’est pas destiné à des utilisateurs
      individuels mais plutôt à des sociétés de "marketing direct" ou de
      publi-postage qui effectuent de gros envois de masse récurrents vers les
      abonnés AOL.

      L’abul est une association à laquelle adhèrent des ingénieurs qui
      travaillent sur des systèmes de messagerie d’entreprise, et qui
      pourraient être amenés à faire du publipostage. Je dois convenir que la
      majorité d’entre eux travaille avec des abonnements professionnels, mais
      certains dont l’entreprise est jeune et dispose de peu de moyens exploite
      des lignes grand-public. A c’est à destination de ces administrateurs
      que j’ai posté ce documents. Ils peuvent donc vous remercier de l’avoir
      fait, il est souvent difficile d’obtenir des informations claires de la
      part des administrateurs de messagerie des autres grands fournisseurs
      d’accès.

      On peut juste regretter de ne pas avoir votre nom :-)

      Fabrice Clerc

      repondre message

      • Posté le 16 octobre 2004 à 00:37, par Antispam (lien)

        Effectivement, les soucis sont souvent liés au fait qu’une PME ou association souscrit un abonnement Internet pour "particuliers" afin d’économiser sur ce poste budgétaire, et donc les services qu’on pourrait attendre d’un FAI pour "professionnels" tels qu’IP fixe, reverse-DNS personnalisé... ne sont pas forcément disponibles.

        Il est probablement plus facile de comprendre les problèmes rencontrés à partir de quelques exemples concrets :

        Je suis surpris des problèmes que vous avez eu avec Wanadoo — j’ai de très bons contacts avec eux, aussi bien côté équipe sécurité que côté cellule "Délits Internet" (ceux qui traitent les plaintes pour spam des abonnés AOL, que nous leur retournons sur leur adresse "abuse") et ils sont extrêmement actifs en ce qui concerne la remontée de nos plaintes en temps réel (qu’ils transmettent aux abonnés responsables) — et il me semble qu’ils n’hésitent pas à fermer les accès réseau de spammeurs multi-récidivistes après de multiples avertissements.

        C’est à la demande expresse de Wanadoo que nous refusons d’accepter du mail en provenance de toute adresse IP dont le DNS inverse est sous *.abo.wanadoo.fr — en effet, ils considèrent que leurs abonnés n’ont pas à router leur mail directement sur Internet, mais que ces mails doivent impérativement transiter à travers smtp.wanadoo.fr afin de traverser peut-être leurs protections antivirus/antispam (s’ils en ont).

        Si Wanadoo ne vous permet pas d’avoir un DNS inverse personnalisé, alors il n’y a effectivement aucun moyen de passer outre, et pour un serveur de mail installé au bout d’une ligne ADSL sous *.abo.wanadoo.fr, il faudra définir un "smarthost" vers smtp.wanadoo.fr.

        Cette restriction n’est pas véritablement due à AOL, mais
         au fait que Wanadoo n’offre pas de service de DNS inverse personnalisé sur ses abonnements pour particuliers, à ma connaissance
         au fait que Wanadoo estime que tous les mails de leurs abonnés sortant de leur réseau sont supposés transiter par leur SMTP

        Par contre, la bonne nouvelle est que Wanadoo traitant les plaintes pour spam que nous leur remontons, une PME ou une association peut actuellement envoyer autant de mails qu’elle le souhaite par jour vers AOL.com à travers smtp.wanadoo.fr... mais attention aux avertissements de Wanadoo si le nombre de plaintes enregistrées chez AOL explose :-)

        Prenons désormais un exemple diamétralement opposé : Free.fr / proxad.net

        Ils ne traitent pas les plaintes envoyées sur leurs adresses "abuse"... En fait, ils ne souhaitent même pas recevoir nos plaintes ! Ils ne participent pas à l’AFA ni aux réunions antispam entre FAI français, et en fait il est quasiment impossible de joindre quelqu’un chez eux, y compris à mon niveau.

        Faute de leur collaboration active, et devant l’explosion du taux de plaintes que nous avons enregistré de part le passé sur le domaine DNS inverse proxad.net, nous avons du :
         bloquer l’acceptation de mail depuis les domaines DNS inverses *.proxad.net (avec leur accord implicite)
         imposer des quotas quotidiens sur le nombre de destinataires auxquels chacun de leurs abonnés peut écrire via smtp.free.fr

        Par voie de conséquence, une PME, une association ou un particulier sera capable d’envoyer quelques dizaines de mail par jour vers AOL.com via smtp.free.fr, mais au-delà nous refuserons tout mail en débordement du quota via une erreur SMTP de type 554 ISP:B1.

        Il s’agit d’un exemple typique de "dégât collatéral" dont je parlais précédemment, et cela va probablement impacter des mails légitimes, mais c’est la seule chose que nous pouvons faire pour limiter la "casse" et continuer à accepter les mails de ce FAI en l’absence d’une collaboration active dans la lutte anti-spam de leur part.

        Heureusement, les abonnés Free disposant d’une adresse IP fixe peuvent demander via un simple formulaire web la personnalisation de leur DNS inverse vers leur propre nom de société.

        Si vous avez l’intention d’écrire à de nombreux destinataires AOL.com chaque jour, c’est la seule solution technique susceptible de fonctionner : je vous suggère vivement de modifier votre DNS inverse afin de désolidariser votre adresse IP le plus vite possible du domaine proxad.net

        Enfin, dernier exemple : il y a des périodes de "crise" où nous recevons des quantités massives de spam depuis d’autres FAI français ou étrangers, qui sont totalement débordés par l’ampleur du phénomène. Un seul abonné infecté par le virus Gaobot peut générer à lui seul de millions de mail vers AOL en quelques heures, ce qui constitue une attaque de type "déni de service".

        Un FAI français, qui nous expédie habituellement dans les 30.000 mails/destinataires AOL.com par jour depuis ses serveurs SMTP officiels, a récemment tenté de nous envoyer 102 millions de destinataires AOL.com en une seule journée... Inutile de dire que la réception des mails légitimes de ces SMTP a été perturbée pendant plusieurs jours, car le taux de plainte de la part de nos abonnés a explosé et nos systèmes antispam n’ont pas apprécié :-)

        En conclusion, nous préférons, en général, "connaître" quel domaine nous envoie les mails afin de tabuler les plaintes pour spam directement sur ce domaine. Dans le cas du site "abul.org" par exemple, nous préférons donc très largement que les mails de l’ABUL nous parviennent directement chez AOL, retourner les plaintes éventuelles de nos abonnés directement sur l’adresse "abuse@abul.org", etc. — le lien avec le domaine abul.org est réalisé via le DNS inverse sur l’adresse IP source des mails. Cette configuration est véritablement la solution optimale, elle permet à une organisation de s’enregistrer individuellement sur liste blanche chez nous, ce qui désactive la quasi-totalité de nos protections anti-spam, et de ne pas avoir ses mails et ses plaintes mélangées avec ceux des autres clients du même FAI amont, surtout s’il y a des spammeurs (infectés par Gaobot) parmi eux !

        C’est bien la configuration suggérée en filigrane en de multiples endroits de ce document :-)

        Je ne souhaite surtout pas qu’on donne l’impression qu’AOL "forcerait" à faire transiter les mails via les "smarthosts" SMTP officiels de tel ou tel FAI... en fait, c’est plutôt l’inverse que nous préférons — ce sont souvent les FAI en question qui ne permettent pas une telle possibilité technique
         soit parce qu’ils ne fournissent pas de service de personnalisation du DNS inverse
         soit parce qu’ils nous demandent explicitement de bloquer certaines plages
         soit parce qu’ils n’ont aucun suivi des plaintes pour spam qui leur sont transmises sur leur adresse "abuse".

        repondre message

        • Posté le 16 octobre 2004 à 11:13, par Fabrice Clerc (lien)

          Je suis surpris des problèmes que vous avez eu avec Wanadoo —
          j’ai de très bons contacts avec eux, aussi bien côté équipe sécurité que
          côté cellule "Délits Internet" (ceux qui traitent les plaintes pour spam
          des abonnés AOL, que nous leur retournons sur leur adresse "abuse") et
          ils sont extrêmement actifs en ce qui concerne la remontée de nos
          plaintes en temps réel (qu’ils transmettent aux abonnés responsables) —
          et il me semble qu’ils n’hésitent pas à fermer les accès réseau de
          spammeurs multi-récidivistes après de multiples avertissements.

          Ça a **beaucoup** changé. Mais on ne va pas s’en plaindre.

          au fait que Wanadoo estime que tous les mails de leurs abonnés
          sortant de leur réseau sont supposés transiter par leur SMTP

          Les abonnés auraient préféré être avertis directement par Wanadoo. Ca
          n’a pas été le cas. Lorsque j’ai été confronté au problème il y a deux
          ans, j’ai été obligé d’escalader vers le support technique "messagerie"
          AOL de Boston (Ma boite achète des espaces publicitaires à AOL, j’ai été
          facilement en contact avec les bonnes personnes), et c’est grâce au
          support technique de Boston, et un sens du service que j’ai trouvé
          exceptionnel pour un FAI de cette taille, que j’ai su que Wanadoo avait
          demandé explicitement à AOL de bloquer tou mail ne provenant pas d’un de
          leurs smarthosts smtp.wanadoo.fr

          Là où c’est devenu encore plus drôle, c’est que comme tous les smtp de
          wanadoo ne sont pas configurés de la même manière, en passant par les
          relais wanadoo, les mails étaient parfois refusés par certains domaines
          qui les considéraient comme du Spam, et d’autres fois ils passaient. Ça
          dépendait du serveur smtp qui avait fait transiter le mail. La vie d’un
          administrateur de messagerie n’est pas forcément un long fleuve tranquille.

          Je ne souhaite surtout pas qu’on donne l’impression qu’AOL
          "forcerait" à faire transiter les mails via les "smarthosts" SMTP
          officiels de tel ou tel FAI...

          Personne ne pense (à l’ABUL en tous cas) que c’est le cas. Le problème a
          déjà été discuté sur nos listes, et les menus soucis expliqués plus haut
          ont déjà été décrits.

          En tant qu’informaticiens et adeptes de logiciels libres, nous ne sommes
          pas toujours d’accord avec tout ce que peut faire AOL, mais pour autant
          nous reconnaissons tous les efforts faits pour clarifier le
          fonctionnement de la réception des mails. Votre présence ici en témoigne.

          Fabrice Clerc

          repondre message

          • Posté le 7 novembre 2005 à 20:40, par Hazera Sylvain (lien)

            Bonjour

            Je me permets de repondre car je suis exactement dans le cas decrit ci dessus et je souhaite en temoigner.

            J’administre un petit serveur mail sous linux pour une association et je suis abonne chez wanadoo.

            Nous avons depose 2 noms de domaine mais aucun RDNS n’a ete attribue a notre addresse ip fixe.

            Ainsi nous avions donc des problemes pour envoyer des mails vers les comptes AOL.

            Sur ce j’ai contacte l’assistance technique d’AOL pour comprendre, et je dois le recconnaitre, je suis tombe sur quelqu’un qui m’a bien explique le probleme, qui m’a meme envoye par mail le dossier de demande d’inscription dans la whitelist.
            Merci et chapeau a ce techinicien.

            Donc me voila parti dans l’assistance technique de mon FAI, wanadoo. Que de peripetie ...

            En cherchant chez wanadoo, une technicienne a su me conseiller de mettre un smarthost, mais personne ne semblait connaitre ce qu’etait un RDNS.

            Au contraire, j’ai meme insiste pour avoir des cadres ou des techniciens superieur, jsqu’au moment ou l’un d’entre eux ( apres plus de 2h de communication ) m’a clairement affirme que si je ne pouvais ecrire vers AOL ce n’est que de MA faute puisque je serais un spammeur, facilitant la propagation de virus, sur un ton limite respectacle ! sur ce je lui ai raccroche au nez j’ai continue mes recherches.

            Compte tenu de notre faible traffic en mail, moins de 300 par mois, dans tout les cas nous ne pourrions rester inscrit dans les whitelist AOL, par contre, le fait d’utiliser un smarthost m’empeche d’envoyer des malis vers d’autres domaines, qui eux rejettent nos mails sous pretexte justement que j’utilise un smarthost !

            Qu’elle solution me conseillez vous ? Changer la configuration de notre serveur a chaque envoie d’un mail vers tel ou tel domaine ?

            Merci
            Sylvain HAZERA
            Responsable Web
            Association cantondepodensac.com

            repondre message

    • Posté le 22 mars 2006 à 12:35, par martin (lien)

      Je suis abonné chez free et j’utilise sarbacane. Je n’ai donc pas d’autre moyen que d’utiliser un serveur smtp (catapulte) sur mon ordinateur. Evidement les abonnés aol ne reçoive pas mes newsletter. (J’ai 80 000 abonnés, dont 12% d’aol). Donc je viens d’enregistrer un nom de domaine spécialement pour AOL (on devrait pouvoir vous envoyer la facture) pour paramétrer mon NDS inverse (free le permet). Si cela ne fonctionne pas, je ne vais pas me prendre la tête. Je vais envoyer un mail à tous les utilisateurs AOL pour leur demander de me fournir une autre adresse email, ensuite je vais bannire les adresses AOL à l’inscriptions... ça serra plus simple comme ça.

      repondre message

      • Posté le 11 août 2006 à 16:46, par Antispam (lien)

        SpamCop / SenderBase publie un classement des principaux réseaux sources de spam à l’échelle de la planète.

        Ce qui est intéressant dans le cas de free.fr / proxad.net est que les domaines DNS sont clairement distincts :

        proxad.net correspond à l’ensemble des adresses IP "résidentielles" des abonnés Free
        (IP attribuées à des freebox).

        free.fr correspond aux serveurs SMTP "officiels" de Free : smtp.free.fr, etc.

        On peut supposer que la majorité des mails légitimes des abonnés Free est expédiée sur Internet via leurs serveurs officiels, smtp.free.fr, et donc comptabilisée par SpamCop/SenderBase sous le domaine free.fr

        Autrement dit, ce qui est comptabilisé sous le domaine proxad.net, en provenance directe des adresses IP de Freebox, est très probablement du spam en provenance de machines "zombies".

        Or, "proxad.net" se classe par SenderBase, selon les jours, entre la 3e et la 7e position des principales sources de mail au niveau mondial !
        Voir le classement du jour sur www.senderbase.org

        En consultant les détails de ce domaine, on trouve environ 50.000 freebox listées, qui sont autant de "canons à spam" envoyant chacun probablement plusieurs dizaines de millions de spams par jour sur Internet.

        Ce n’est donc pas étonnant que beaucoup de FAI ou d’entreprises refusent les mails en provenance directe d’adresses IP correspondant à un DNS inverse *.fbx.proxad.net — il s’agit très probablement de spam massif à plus de 99,999% — voir même probablement à plus de 99,9999%, soit moins d’un mail légitime par million de spams envoyés — d’autant plus que l’immense majorité des mails légitimes émis depuis le réseau Free/Proxad arrivent de machines dont le DNS inverse référence le domaine free.fr.

        Si vous souhaitez tout de même router directement des mails sur Internet (sans passer par smtp.free.fr comme "smarthost"), alors effectivement il vous faut personnaliser l’enregistrement DNS inverse de votre Freebox pour "sortir" du domaine *.fbx.proxad.net.

        Autre avantage : en cas de spam, le reste de la planète saura comment vous contacter, via vos adresses mail administratives postmaster@ et abuse@ du domaine DNS inverse sous lequel vous avez fait déclarer votre adresse IP de freebox — vous pourrez ainsi gérer directement vos listes et les plaintes que vos mails vont générer, surtout si elles n’ont pas été constituées en "double opt-in" et donc que les adresses mail n’ont pas été vérifiées — ce qui est le cas de la très grande majorité des listes utilisées en France d’après les dires des associations professionnelles (FEVAD, SNCD) qui jugent le "double opt-in" trop contraignant (sic).

        repondre message