Bien plus qu'un hébergeur !

Vous expérimentez des problèmes de délivrabilité d’email ? Vous recevez des erreurs 550 issues de Spamhaus, le célèbre organisme anti-spam ?
Vous ne rêvez pas ! Spamhaus a profité de la fin de l’été pour déployer une importante mise à jour.
Celle-ci concerne potentiellement des millions d’utilisateurs hébergés sur des serveurs web utilisant des DNS Publics ou Open Resolvers, comme ceux de Google (8.8.8.8) ou Cloudflare (1.1.1.1).

Spamhaus Error 550 : Open Resolver. Les DNS publics sont maintenant interdits

En effet, en tant qu’Utilisateurs, nous sommes nombreux à Utiliser les serveurs DNS de Google, Cloudflare ou OpenDNS, pour bénéficier d’une résolution d’IP performante, fiable et rapidement “mise à jour” (cf. “propagations DNS”).

En tant qu’Hébergeur Web ou simple propriétaire d’un Serveur Dédié, nous sommes également très nombreux à profiter de ces importants Resolvers Publics, pour les mêmes raisons de Performance et de Fiabilité.

Côté Sécurité, tous les bons Sys Admin connaissent l’intérêt d’inclure une ou plusieurs RBL (Real-time Blackhole List, ou Liste Noire en direct), à leur Firewall et leur dispositif Anti Spam… Et la meilleure RBL (la plus fiable et populaire), c’est très probablement la ZEN blocklist de Spamhaus !

Définition de RBL ou Real-time blackhole list :
Une RBL est une liste noire en temps réel (une liste noire dynamique en direct), contenant les adresses IPs de serveurs ou d’utilisateurs s’étant montrés coupables de spam, de piratage ou d’autres activités de cybercriminalité. On parle aussi de Listes noires DNS (DNSBL).
Une RBL peut aller jusqu’à attribuer de mauvais “tags” à des Ranges d’adresses IP entières, voire mêmes, des fournisseurs ou des réseaux entiers, connus pour “laisser faire” les spammeurs et les pirates sur leur infrastructure.

Ce matin, en relevant vos e-mails, voici peut-être le genre d’erreur que vous avez peut-être eu la mauvaise surprise de recevoir…

« SMTP error from remote mail server, JunkMail rejected, IP is in an RBL, Error 550 “open resolver” from Spamhaus.org »

En suivant le lien fourni par Spamhaus (spamhaus.org/returnc/pub), vous retrouvez une page contenant beaucoup d’informations sur la raison de ce blocage d’e-mail, dont voici l’essentiel traduit en français.

Si vous consultez cette page, vous avez probablement envoyé un e-mail qui n’a pas été remis au destinataire. Dans l’e-mail renvoyé qui en résulte, vous avez trouvé et cliqué sur ce lien :
https://www.spamhaus.org/returnc/pub/

Spamhaus : Your email has bounced back from the recipient, error 550, open resolver (dns publics)

Le problème n’est pas lié à la configuration de votre messagerie.

Pourquoi mon e-mail n’a-t-il pas été livré ?

  • Le problème vient de la configuration du serveur de messagerie du destinataire.
  • Cela n’est pas dû à un problème de configuration de votre messagerie.
  • Ce n’est pas parce que vous êtes inscrit sur l’une de nos listes de blocage.

Que dois-je faire ensuite ?

Si l’e-mail est urgent ou essentiel :

Pour les e-mails non urgents

  • Essayez de renvoyer l’e-mail dans les 24 heures, afin de laisser le temps aux administrateurs de messagerie du destinataire de résoudre le problème.

Plus de détails techniques sur Spamhaus ?

Nous avons fourni les informations ci-dessus pour l’utilisateur de messagerie du quotidien ; 

Si vous êtes un administrateur de serveur et que vous voulez tous les détails techniques, continuez votre lecture ci-dessous…

Les requêtes ne peuvent plus être envoyées aux Listes noires de Spamhaus via des résolveurs publics/ouverts. Il s’agit de protéger l’infrastructure contre les abus par les spammeurs. Si vous souhaitez approfondir ce sujet : Comment accéder aux Listes noires de Spamhaus en utilisant des DNS Publics ?

Certains utilisateurs continuent d’interroger les listes de blocage de Spamhaus via des serveurs web utilisant des résolveurs publics, mais ignorent que ce procéder réduit l’efficacité de nos filtres antispam. Nous avons introduit un code d’erreur pour ces utilisateurs afin de signaler clairement qu’il y a un problème et que la configuration du serveur de messagerie doit être mise à jour.

Une nouvelle initiative gratuite : Spamhaus DQS

Pour interroger Spamhaus avec succès via des résolveurs publics/ouverts, il existe maintenant un service GRATUIT, plus rapide et tout aussi intelligent, avec des Blacklists supplémentaires améliorant encore l’antispam de Spamhaus.

Il s’agit du Spamhaus Data Query Service ou DQS.

Voici les détails sur la façon d’effectuer ce changement :

Alternativement, si vous souhaitez continuer à utiliser l’infrastructure publique gratuite, veuillez vous assurer que vos requêtes proviennent d’une adresse IP dédiée avec un Forward & Reverse DNS direct. 
Voici des informations sur la manière de configurer correctement les MTA couramment utilisés, pour pouvoir continuer à utiliser des DNS Publics.

 * La configuration appropriée du serveur, c’est sur ce point que cela pourrait “coincer” pendant quelques jours, à suivre 😉

Si vous êtes actuellement sur un Hébergement cPanel, vous pouvez vérifier la présence de ce type d’Erreur 550 « Open Resolver » sous l’onglet « Suivre la Remise » (« Track Delivery ») de votre Compte cPanel

Voici à quoi cela peut ressembler sur un Hébergement EasyHoster :

JunkMail rejected, IP is in an RBL : Error, open resolver spamhaus.org sur Hébergement cPanel
Spamhaus.org bloque les publics/open DNS servers (resolvers) :
le 31 août 2022 sur l’infrastructure EasyHoster, les serveurs Spamhaus DNSBL retournent l’erreur « not listed » (NXDOMAIN, non-existent domain), lorsque la RBL est appelée depuis l’un de nos serveurs utilisant l’un des principaux DNS mondial (Google, OpenDNS, etc) comme Resolver Primaire.

Il est probable que le déploiement de l’Open Resolver Update de Spamhaus soit progressif.

Notre infrastructure a été touchée pour la première fois, ce mercredi 31 août 2022, mais voyez ce tweet épinglé sur le compte Twitter officiel de Spamhaus, le 18 août 2022 :

Vous pouvez retrouver, en anglais, tout le détail de cette nouvelle initiative de Spamhaus, en suivant le lien suivant :

Comment passer de la “Spamhaus Legacy Blocklist” au nouveau DQS de Spamhaus pour continuer à utiliser des DNS Publics →

Des milliers (ou millions) d’e-mails impactés par des problèmes de délivrabilité

Si vous le souhaitez, vous pouvez lire sur le Forum de cPanel, que l’un des membres de leur équipe (cPRex), s’indigne de voir que certains emails légitimes envoyés depuis Gmail, sont eux-mêmes Bloqués suite à la nouvelle politique de Spamhaus sur les Open Resolvers.

Pourtant, Google a l’un des systèmes de vérification des e-mails les plus stricts et intelligents du secteur ! 

Certains utilisateurs ont d’ailleurs confirmé expérimenter des blocages avec Gmail, mais aussi Google Workspace et Microsoft 365 !

Spamhaus veut plus de “sécurité” et EasyHoster apprécie ça !

Nous vous partageons ci-dessous un résumé du Pourquoi du Comment de cette mise à jour de Spamhaus (DQS et Open Resolver), ainsi que les avantages qui devraient accompagner ce déploiement dans les prochaines semaines.

Si vous utilisez les listes de blocage gratuites de Spamhaus pour protéger votre serveur contre le spam et si vous utilisez actuellement les DNS publics de Google, Cloudflare, ou un serveur récursif public équivalent, vous ne savez peut-être pas qu’avec cette combinaison, chaque fois que vous faisiez une requête à Spamhaus, il renvoyait une erreur non critique « non existent-domain » (NXDOMAIN).

Cependant, à présent, le code d’erreur renvoyé empêche la bonne réception des e-mails. Cela signifie que Spamhaus est passé d’une mesure d’Avertissement à une mesure de Blocage Strict pour les serveurs utilisant des résolveurs publics. Donc, Spamhaus n’est tout simplement plus en mesure de jouer son rôle d’antispam. Par exemple, vous signaler quel email est un spam, ou pas.

https://www.spamhaus.com/resource-center/successfully-accessing-spamhauss-free-block-lists-using-a-public-dns/

Les DNS Publics sont excellents ! (mais ils peuvent être exploités de manière anonyme)

C’est bien cela le problème !

Il existe de nombreuses raisons pour lesquelles on peut choisir d’utiliser un résolveur DNS public, tel que Google Public DNS. Malheureusement, Spamhaus a dû bloquer les principaux résolveurs DNS publics (Serveurs DNS mondiaux), car certains utilisateurs peuvent les exploiter pour dépasser des quotas d’utilisation raisonnables.

Spamhaus sait qu’il est difficile de résister à tout ce qui est gratuit. Par conséquent, l’utilisation de ces DNSBL gratuits est à présent surveillée, pour s’assurer que cette ressource n’est pas exploitée de façon malicieuse.

Si une adresse IP dépasse régulièrement les larges quotas autorisés par Spamhaus, il lui est possible de payer pour l’utilisation du service commercial de DNSBL Data Query Service (DQS).

Pourquoi bloquer les requêtes provenant de serveurs de noms récursifs publics, si ces serveurs DNS publics sont si efficaces et sécurisés ?

C’est très simple !

Les serveurs de noms récursifs publics agissent comme un service anonyme qu’il est impossible de contrôler, car utilisés par des millions d’utilisateurs à travers le monde !

Ils permettent aux utilisateurs malicieux de se cacher derrière eux, pour exécuter un nombre illimité de requêtes vers Spamhaus.

Compte tenu du manque de transparence et de l’incapacité à identifier ceux qui abusent de ce service gratuit, une décision courageuse a été prise par Spamhaus, l’organisme dont la RBL est la plus populaire et la plus abondamment utilisée…

Les requêtes issues des principaux Serveurs DNS Publics sont désormais bloquées par Spamhaus.

Pour quantifier le problème, Spamhaus reçoit environ 2.000.000.000 de requêtes issues de serveurs DNS Publics, toutes les 24 heures !

Ce qui représente environ 20% du nombre total de requêtes effectuées au cours de la même période vers Spamhaus.

Continuer à utiliser Spamhaus et des DNS Publics comme résolveurs, possible ?

Si vous souhaitez utiliser à la fois des DNS Publics pour vos serveurs et les listes de blocage « ouvertes » de Spamhaus, cela vous sera possible, si vous configurez correctement le DQS, à moins d’utiliser des résolveurs d’IP locaux.

Tant que vous répondez aux critères détaillés ci-dessus, Spamhaus peut vous fournir un accès gratuit à ses données DNSBL via leur service de requêtes DQS. En vous enregistrant, vous pourrez bénéficier d’un compte DQS gratuit réservé aux faibles volumes de requête.

Une fois configuré, le DQS vous permettra d’avoir accès aux listes noires de Spamhaus, même en utilisant des résolveurs publics.

L’utilisation du DQS de Spamhaus présenterait d’autres avantages

Vous pouvez améliorer votre utilisation de Spamhaus grâce à deux autres listes de blocage incluses dans leurs services, sans frais supplémentaires.

  1. Zero Reputation Domains (ZRD) :
    Cette liste de domaines nouvellement enregistrés est valable 24 heures. Les domaines qui viennent d’être enregistrés sont rarement utilisés immédiatement par des organisations légitimes ; pendant ce temps, les cybercriminels enregistrent et grillent des centaines de domaines chaque jour pour vous spammer.
    The Zero Reputation Domain (ZRD) blocklist aide donc les utilisateurs à ne pas cliquer sur des liens vers des domaines de moins de 24 heures (ou jusqu’à ce qu’il soit établi qu’ils ne sont pas associés à des attaques de type « zero-day », à des campagnes de phishing, de bot-herding, de spyware, de ransomware, etc).
  2. Auth Blocklist (Auth BL) :
    Il s’agit d’un sous-ensemble de la liste XBL, qui répertorie les adresses IP connues pour héberger des bots utilisant les attaques Brute Force ou des identifiants SMTP_AUTH volés pour envoyer des menaces par email.
    Cette liste de blocage est proposée séparément par Spamhaus et peut être utilisée pour les services SMTP, comme score de confiance, pour vous assurer que quelqu’un n’essaie pas d’abuser du compte d’un utilisateur.

Pour une comparaison complète des fonctionnalités des DNSBL proposés par Spamhaus, consultez ce tableau.

DNSBL Spamhaus (DQS, Open Resolver Gate)

Source :
spamhaus.com/…/successfully-accessing-spamhauss-free-block-lists-using-a-public-dns

Comment résoudre l’erreur 550 “open resolver” de Spamhaus ?

Voici 2 solutions pour vous permettre de retrouver rapidement une bonne délivrabilité :

  1. Passer votre serveur sur le Resolver Local de votre Datacenter :
    il s’agira donc de se passer des performances et de la fiabilité des resolvers publics de Google, OpenDNS, Cloudfalre, etc

et/ou

  1. S’enregistrer et configurer le service DQS de Spamhaus :
    en ce qui nous concerne, il est trop tôt pour vous donner la marche à suivre pour configurer le DQS de Spamhaus sur un serveur d’hébergement cPanel (attention, peinture fraîche)

ou

  1. Se passer de Spamhaus, comme antispam complémentaire :
    (sur Serveur Dédié cPanel, rendez-vous dans WHM > Exim et désactivez Spamhaus de la liste de vos RBL antispam)
Utilisateur d’un Hébergement EasyHoster ?
Du côté de l’infrastructure EasyHoster, nous avons déjà fait tout le nécessaire, en faisant d’abord remonter notre Serveur DNS local, en tant que Primary Resolver, pour résoudre les adresses IP associées aux milliers de serveurs avec lesquels nous échangeons quotidiennement.
En complément, pour pouvoir traiter l’urgence et éviter à nos utilisateurs de perdre des e-mails, nous avons suivi le mouvement global constaté au sein de la communauté des hébergeurs web, en désactivant temporairement Spamhaus de nos Listes noires Antispam.

La prochaine étape serait de vérifier avec les équipes de développeurs software, si nous pouvons redéployer sereinement Spamhaus via leur Data Query Service (DQS), pour continuer à offrir à nos utilisateurs, la protection antispam la plus intelligente qui soit, grâce au renfort de Spamhaus.

Nous équipe prévois de travailler activement sur l’implémentation de ce nouveau système, dans les prochains jours et les prochaines semaines, dans l’espoir de rapidement jouir à nouveau du complément de sécurité offert par l’Antispam de Spamhaus, sans pour autant rogner sur les Performances et la fiabilité de nos Services Mail & DNS.

Les utilisateurs d’EasyHoster seront bien sûr tenus informés de toute modification réalisée à ce sujet (voir “News” du compte client). Comme toujours, nous restons à disposition via le Support EasyHoster, pour tout complément d’information.

On se follow

Le site WordPress speed.easyhoster.net ➚ permet de tester le potentiel des solutions d'Hébergement Web EasyHoster.