Abul.org
Association Bordelaise des Utilisateurs de Logiciels libres
Envoyer des mails au domaine AOL.com
Pour un administrateur de messagerie, l’envoi de messages au domaine aol.com peut s’avérer problématique depuis 2-3 ans. L’augmentation exponentielle du nombre de spams a poussé une grande partie des admins à adopter des règles draconiennes, tant pour freiner l’envoi par les malveillants et les serveurs piratés que pour retourner à la source du serveur, puis de l’usager frauduleux.
Ces règles ne sont pas toujours claires, elles diffèrent parfois très sensiblement d’un domaine à l’autre au gré de la saine paranoïa des administrateurs, ou de leur incompétence aveugle.
Pour une fois, un fournisseur d’accès compile et édite les règles à observer pour que vos messages arrivent correctement aux abonnés AOL. Suivant votre architecture de messagerie, l’accession à ces règles sera plus ou moins problématique. Par exemple, il n’est plus possible pour un abonné ADSL final d’envoyer un mail à aol.com sans passer par un hôte actif (smarthost) de type smtp.wanadoo.fr, reconnu et mis en liste blanche. Il faudra aussi que votre HELO et votre enregistrement PTR soient cohérents.
Je vous laisse découvrir ce livre des bonnes conduites à adopter.
—
Fabrice Clerc
titre documents joints
Répondre à cet article
8 commentaire(s)
-
Posté le 15 octobre 2004 à 20:56, par Antispam (lien)
Bonjour,
Je suis l’auteur de cette note technique... j’en profite pour préciser les points suivants :
Elle est destinée principalement aux expéditeurs de mail en masse vers AOL — par exemple, 10.000 ou 100.000 destinataires AOL par jour
Pour pouvoir envoyer du courrier électronique en quantité "normale" (quelques dizaines de destinataires AOL par jour) vers les boîtes aux lettres AOL, les conseils techniques sont beaucoup plus simples : il suffit
que l’adresse IP émettrice ait un enregistrement DNS inverse (reverse DNS, champ PTR)(il n’y a aucune exigence sur le champ HELO/EHLO, contrairement à ce qui est écrit)
et surtout que ce DNS inverse ne soit pas associé à une adresse "résidentielle", comme expliqué dans le document pages 4 et 5.Nous travaillons en étroite collaboration avec les autres Fournisseurs d’Accès à Internet (ou de services de messagerie), notamment au sein de l’Association française des Fournisseurs d’Accès, et ce sont souvent les autres FAI qui nous demandent explicitement de refuser sur les MX AOL l’acceptation de mail expédié directement vers AOL depuis les adresses IP de leurs abonnés.
La phrase "il n’est plus possible pour un abonné ADSL final d’envoyer un mail à aol.com sans passer par un hôte actif (smarthost) de type smtp.wanadoo.fr, reconnu et mis en liste blanche." constitue une interprêtation erronée de ce document :
Si vous souhaitez envoyer du mail directement à aol.com sans passer par un relais de type smtp.wanadoo.fr ou smtp.free.fr, il vous *suffit* de demander à votre FAI une personnalisation de votre DNS inverse afin qu’il ne ressemble plus à :
AC96CBEC.ipt.aol.com
l01v-58-230.d1.club-internet.fr
m34.net81-66-86.noos.fr
ip-101.net-80-236-24.asnieres.rev.numericable.fr
alesia-4-82-66-58-27.fbx.proxad.net, lns-p19-5-82-65-31-153.adsl.proxad.net
d213-101-205-201.cust.tele2.fr
dyn-83-154-152-33.ppp.tiscali.fr
atuileries-103-1-4-14.w80-11.abo.wanadoo.frmais plutôt fasse référence à votre propre domaine, par exemple "aragorn.mondomaine.org" ou "mail.mondomaine.fr".
Vous serez alors en mesure d’expédier du mail directement vers aol.com... sauf si votre FAI nous a explicitement demandé un blocage manuel de votre plage d’adresses IP... et là encore, il vous suffit de contacter AOL afin que votre adresse IP soit débloquée (sous réserve qu’elle soit fixe/statique !)
Bref ce n’est pas compliqué de pouvoir expédier du mail vers AOL... mais nous sommes obligés de procéder au blocage des adresses IP résidentielles, le plus souvent d’ailleurs à la demande du FAI concerné, du fait des virus Windows qui transforment les PC des abonnés haut-débit des FAI en "distributeurs de spam" capables de nous envoyer des millions de spams en quelques heures, du jour au lendemain.
On peut également noter que les FAI ont des comportements très peu homogènes dans le suivi des plaintes pour spam en provenance de leurs abonnés que nous leur remontons : certains les traitent automatiquement et en assurent le suivi, alors que d’autres les ignorent et ne font rien pour lutter contre leurs propres abonnés spammeurs.
Nous préférons évidemment, de loin, un FAI qui est activement impliqué dans la lutte contre le spam émis par ses propres abonnés — cela résultera en un nombre de plaintes pour spam le concernant minime côté AOL, et nous n’aurons pas besoin d’imposer des restrictions aux mails en provenance de ce FAI.
Malheureusement, d’autres FAI ne font rien du tout... et après mise en demeure, nous sommes alors obligés d’agir côté AOL en imposant des quotas ou autres restrictions sur la quantité de mail que nous acceptons de leurs serveurs, avec tous les dégâts collatéraux que ce type de pratiques peut occasionner, en particulier pour les envois légitimes de masse — qui ont fort peu de chance d’arriver à destination depuis un tel FAI.
Enfin, cette note technique est une traduction en français des éléments pertinents du site web http://postmaster.info.aol.com/ et son contenu se retrouve désormais posté publiquement en grande partie sur le site francophone http://postmaster.info.aol.fr/
N’hésitez pas à me faire part de toute remarque éventuelle sur ce document, même si en pratique il n’est pas destiné à des utilisateurs individuels mais plutôt à des sociétés de "marketing direct" ou de publi-postage qui effectuent de gros envois de masse récurrents vers les abonnés AOL.
Cordialement
Voir en ligne : Site de référence pour la messagerie AOL
-
-
Posté le 16 octobre 2004 à 00:37, par Antispam (lien)
Effectivement, les soucis sont souvent liés au fait qu’une PME ou association souscrit un abonnement Internet pour "particuliers" afin d’économiser sur ce poste budgétaire, et donc les services qu’on pourrait attendre d’un FAI pour "professionnels" tels qu’IP fixe, reverse-DNS personnalisé... ne sont pas forcément disponibles.
Il est probablement plus facile de comprendre les problèmes rencontrés à partir de quelques exemples concrets :
Je suis surpris des problèmes que vous avez eu avec Wanadoo — j’ai de très bons contacts avec eux, aussi bien côté équipe sécurité que côté cellule "Délits Internet" (ceux qui traitent les plaintes pour spam des abonnés AOL, que nous leur retournons sur leur adresse "abuse") et ils sont extrêmement actifs en ce qui concerne la remontée de nos plaintes en temps réel (qu’ils transmettent aux abonnés responsables) — et il me semble qu’ils n’hésitent pas à fermer les accès réseau de spammeurs multi-récidivistes après de multiples avertissements.
C’est à la demande expresse de Wanadoo que nous refusons d’accepter du mail en provenance de toute adresse IP dont le DNS inverse est sous *.abo.wanadoo.fr — en effet, ils considèrent que leurs abonnés n’ont pas à router leur mail directement sur Internet, mais que ces mails doivent impérativement transiter à travers smtp.wanadoo.fr afin de traverser peut-être leurs protections antivirus/antispam (s’ils en ont).
Si Wanadoo ne vous permet pas d’avoir un DNS inverse personnalisé, alors il n’y a effectivement aucun moyen de passer outre, et pour un serveur de mail installé au bout d’une ligne ADSL sous *.abo.wanadoo.fr, il faudra définir un "smarthost" vers smtp.wanadoo.fr.
Cette restriction n’est pas véritablement due à AOL, mais
au fait que Wanadoo n’offre pas de service de DNS inverse personnalisé sur ses abonnements pour particuliers, à ma connaissance
au fait que Wanadoo estime que tous les mails de leurs abonnés sortant de leur réseau sont supposés transiter par leur SMTPPar contre, la bonne nouvelle est que Wanadoo traitant les plaintes pour spam que nous leur remontons, une PME ou une association peut actuellement envoyer autant de mails qu’elle le souhaite par jour vers AOL.com à travers smtp.wanadoo.fr... mais attention aux avertissements de Wanadoo si le nombre de plaintes enregistrées chez AOL explose :-)
Prenons désormais un exemple diamétralement opposé : Free.fr / proxad.net
Ils ne traitent pas les plaintes envoyées sur leurs adresses "abuse"... En fait, ils ne souhaitent même pas recevoir nos plaintes ! Ils ne participent pas à l’AFA ni aux réunions antispam entre FAI français, et en fait il est quasiment impossible de joindre quelqu’un chez eux, y compris à mon niveau.
Faute de leur collaboration active, et devant l’explosion du taux de plaintes que nous avons enregistré de part le passé sur le domaine DNS inverse proxad.net, nous avons du :
bloquer l’acceptation de mail depuis les domaines DNS inverses *.proxad.net (avec leur accord implicite)
imposer des quotas quotidiens sur le nombre de destinataires auxquels chacun de leurs abonnés peut écrire via smtp.free.frPar voie de conséquence, une PME, une association ou un particulier sera capable d’envoyer quelques dizaines de mail par jour vers AOL.com via smtp.free.fr, mais au-delà nous refuserons tout mail en débordement du quota via une erreur SMTP de type 554 ISP:B1.
Il s’agit d’un exemple typique de "dégât collatéral" dont je parlais précédemment, et cela va probablement impacter des mails légitimes, mais c’est la seule chose que nous pouvons faire pour limiter la "casse" et continuer à accepter les mails de ce FAI en l’absence d’une collaboration active dans la lutte anti-spam de leur part.
Heureusement, les abonnés Free disposant d’une adresse IP fixe peuvent demander via un simple formulaire web la personnalisation de leur DNS inverse vers leur propre nom de société.
Si vous avez l’intention d’écrire à de nombreux destinataires AOL.com chaque jour, c’est la seule solution technique susceptible de fonctionner : je vous suggère vivement de modifier votre DNS inverse afin de désolidariser votre adresse IP le plus vite possible du domaine proxad.net
Enfin, dernier exemple : il y a des périodes de "crise" où nous recevons des quantités massives de spam depuis d’autres FAI français ou étrangers, qui sont totalement débordés par l’ampleur du phénomène. Un seul abonné infecté par le virus Gaobot peut générer à lui seul de millions de mail vers AOL en quelques heures, ce qui constitue une attaque de type "déni de service".
Un FAI français, qui nous expédie habituellement dans les 30.000 mails/destinataires AOL.com par jour depuis ses serveurs SMTP officiels, a récemment tenté de nous envoyer 102 millions de destinataires AOL.com en une seule journée... Inutile de dire que la réception des mails légitimes de ces SMTP a été perturbée pendant plusieurs jours, car le taux de plainte de la part de nos abonnés a explosé et nos systèmes antispam n’ont pas apprécié :-)
En conclusion, nous préférons, en général, "connaître" quel domaine nous envoie les mails afin de tabuler les plaintes pour spam directement sur ce domaine. Dans le cas du site "abul.org" par exemple, nous préférons donc très largement que les mails de l’ABUL nous parviennent directement chez AOL, retourner les plaintes éventuelles de nos abonnés directement sur l’adresse "abuse@abul.org", etc. — le lien avec le domaine abul.org est réalisé via le DNS inverse sur l’adresse IP source des mails. Cette configuration est véritablement la solution optimale, elle permet à une organisation de s’enregistrer individuellement sur liste blanche chez nous, ce qui désactive la quasi-totalité de nos protections anti-spam, et de ne pas avoir ses mails et ses plaintes mélangées avec ceux des autres clients du même FAI amont, surtout s’il y a des spammeurs (infectés par Gaobot) parmi eux !
C’est bien la configuration suggérée en filigrane en de multiples endroits de ce document :-)
Je ne souhaite surtout pas qu’on donne l’impression qu’AOL "forcerait" à faire transiter les mails via les "smarthosts" SMTP officiels de tel ou tel FAI... en fait, c’est plutôt l’inverse que nous préférons — ce sont souvent les FAI en question qui ne permettent pas une telle possibilité technique
soit parce qu’ils ne fournissent pas de service de personnalisation du DNS inverse
soit parce qu’ils nous demandent explicitement de bloquer certaines plages
soit parce qu’ils n’ont aucun suivi des plaintes pour spam qui leur sont transmises sur leur adresse "abuse". -
-
-
-
-