🛠️⚙️ MAINTENANCE 📩 Stalwart Mail Server yannig.net

Posté 08/06/2026

Par Yann

23 min lire

Parefeu - Rejeter une adresse IP

Parefeu UFW, rejeter une adresse IP

Pour rejeter l’IP publique 77.83.39.87 (sur tous les ports) :

sudo ufw reject from 77.83.39.87 to any

Si vous voulez bloquer seulement le SMTP (ports 25 et 587) :

sudo ufw reject from 77.83.39.87 to any port 25
sudo ufw reject from 77.83.39.87 to any port 587

Ensuite rechargez/activez et vérifiez :

sudo ufw reload
sudo ufw status numbered

Pour supprimer plus tard (remplacez N par le numéro de la règle) :

sudo ufw delete N

Pour un blocage silencieux (ne pas répondre aux tentatives de connexion), utilisez deny au lieu de reject.

Le parefeu après modification

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 55240/tcp                  ALLOW IN    Anywhere                  
[ 2] 443                        ALLOW IN    Anywhere                  
[ 3] 25                         ALLOW IN    Anywhere                  
[ 4] 993                        ALLOW IN    Anywhere                  
[ 5] 465                        ALLOW IN    Anywhere                  
[ 6] 587/tcp                    ALLOW IN    Anywhere                  
[ 7] Anywhere                   DENY IN     77.83.39.87               
[ 8] 55240/tcp (v6)             ALLOW IN    Anywhere (v6)             
[ 9] 443 (v6)                   ALLOW IN    Anywhere (v6)             
[10] 25 (v6)                    ALLOW IN    Anywhere (v6)             
[11] 993 (v6)                   ALLOW IN    Anywhere (v6)             
[12] 465 (v6)                   ALLOW IN    Anywhere (v6)             
[13] 587/tcp (v6)               ALLOW IN    Anywhere (v6)             

MTA Outbound Strategies

j’ai installé un serveur de messagerie stalwart en avril 2026, je souhaite avoir quelques explications sur le message d’avertissement suivant:

queueId = 310958057209264640, queueName = "default", from = "noreply-dmarc@yannig.net", to = ["dmarc@oglix.ba"], size = 2629, total = 1, id = "report", details = "Queue strategy not found"

Ce message signifie surtout que Stalwart a essayé d’envoyer ce rapport DMARC via une file d’attente nommée `default`, mais qu’il n’a trouvé aucune stratégie de file d’attente associée à cet envoi, donc le routage interne n’a pas pu être déterminé.

Analyse du problème

queueId = 310958057209264640 : identifiant interne de la file utilisée pour cet envoi.
queueName = "default" : Stalwart a placé le message dans la file logique default, qui existe comme concept de file virtuelle et doit être définie avec une stratégie.
from = "noreply-dmarc@yannig.net" et to = ["dmarc@oglix.ba"] : il s’agit d’un rapport DMARC, donc d’un message système de notification/authentification, pas d’un mail utilisateur classique.
details = "Queue strategy not found" : la cause est que la stratégie de planification/acheminement de cette file n’a pas pu être résolue pour ce message.

Le problème vient d’un décalage entre le nom retourné par ta stratégie de scheduling (report) et le nom de la file virtuelle associée à la stratégie de schedule (remote) dans Stalwart.

A-Ce qui est mal aligné

Dans ta stratégie Scheduling (MTA Outbound) :
1 2 3 IF source == 'report' THEN 'report' ELSE 'remote'
Cela signifie que si le message est de type rapport (comme ton DMARC), Stalwart doit retourner le nom de la stratégie report.
Dans ta configuration de Schedule Details (ce que tu as collé) :
Name : remote
Virtual Queue* : remote

Donc tu as défini une stratégie nommée remote associée à la file virtuelle remote, mais tu n’as pas défini la stratégie report qui retourne le nom, ni la file virtuelle correspondante lors de l’utilisation de ce nom.

Stalwart essaie donc d’utiliser la stratégie nommée report pour livrer le rapport DMARC, mais il ne trouve pas cette stratégie (ou bien la file associée), donc il remonte :

details = "Queue strategy not found"

B-Ce qui existe dans la config

Une file virtuelle :
- Name : report
- Description : “DMARC and TLS report delivery queue”
- Delivery Threads : 5
Une stratégie de schedule :
- Name : remote
- Virtual Queue* : remote

C-Mais il manque :

Une stratégie de schedule nommée report (ou une autre stratégie qui renvoie le nom de la file report), associée à la file virtuelle report.

Settings → MTA → Outbound → Strategy

Voici la configuration MTA Outbound Strategies à appliquer pour simplifier et tout envoyer vers une file unique, par exemple remote

Stratégies MTA Outbound : Settings → MTA → Outbound → Strategy

Routing

IF is_local_domain(rcpt_domain)
THEN 'local'
ELSE 'mx'

(Laisse cette partie telle quelle, elle ne change pas.)

Scheduling (à remplacer)

Remplace l’expression actuelle par celle-ci :

IF is_local_domain(rcpt_domain)
THEN 'local'
ELSE 'remote'

Cela signifie :

Si le destinataire est sur un domaine local → utilises la stratégie local.
Sinon (domaine distant, y compris pour les rapports DMARC, DSN, etc.) → utilises la stratégie remote.[^1][^2]

Ainsi, plus besoin de traiter séparément source == 'dsn' ou source == 'report' : tout le trafic sortant vers des domaines externes passe par remote, qui correspond bien à une stratégie qui est déjà configurée.

Connection

Laisser tel quel :

`default`

TLS

Laisser tel quel :

IF retry_num > 0 && last_error == 'tls'
THEN 'invalid-tls'
ELSE `default`

Cliquer sur Save

MTA Outbound Delivery Schedules

Vérifications :

Une stratégie nommée local → associée à une file virtuelle existante (par exemple local).
Une stratégie nommée remote → associée à la file virtuelle remote (déjà présente dans ton config).

Tu peux alors désactiver ou supprimer la file virtuelle report si tu ne veux plus de file séparée pour les rapports DMARC/TLS, ou la laisser inactive sans conséquence.

Sauvegarde et redémarrage (si nécessaire)

Management → Actions → Server settings

Le rapport DMARC de noreply-dmarc@yannig.net vers dmarc@oglix.ba sera envoyé via la stratégie remote.
Stalwart ne cherchera plus la stratégie report qui n’existe pas, donc l’avertissement Queue strategy not found ne devrait plus apparaître

Ajustements DNS OVH (spf)

Mail Tester:

[SPF] cinay.eu n'autorise pas votre serveur 51.38.37.240 à utiliser yani@cinay.eu

Le message d’erreur signifie que l’envoi d’un email avec l’adresse yani@cinay.eu échoue au test SPF parce que l’IP 51.38.37.240 (yannig.net) n’est pas considérée comme autorisée par le SPF de cinay.eu

Pour un domaine secondaire où le MX pointe vers un autre domaine, la configuration la plus simple et robuste

cinay.eu. IN TXT "v=spf1 include:yannig.net -all"

Cela évite les problèmes de résolution de MX et assure que 51.38.37.240 est bien autorisé.

Voici les lignes exactes à mettre dans OVH pour les domaines secondaires cinay.eu et yick.eu avec la meilleure configuration SPF.

Dans la zone DNS de cinay.eu, vérifier et ajouter ou remplacer

cinay.eu. IN MX 10 yannig.net.
cinay.eu. IN TXT "v=spf1 include:yannig.net -all"
_dmarc.cinay.eu. IN TXT "v=DMARC1; p=reject; rua=mailto:postmaster@cinay.eu"
_smtp._tls.cinay.eu. IN TXT "v=TLSRPTv1; rua=mailto:postmaster@cinay.eu"

Dans la zone DNS de yick.eu, vérifier et ajouter ou remplacer

yick.eu. IN MX 10 yannig.net.
yick.eu. IN TXT "v=spf1 include:yannig.net -all"
_dmarc.yick.eu. IN TXT "v=DMARC1; p=reject; rua=mailto:postmaster@yick.eu"
_smtp._tls.yick.eu. IN TXT "v=TLSRPTv1; rua=mailto:postmaster@yick.eu"

Pourquoi include:yannig.net ?

include:yannig.net utilise le SPF de yannig.net.
Si yannig.net autorise 51.38.37.240 (avec v=spf1 a mx -all), alors cinay.eu et yick.eu l’autorisent aussi.
Cela évite les problèmes de résolution de MX et garantit la cohérence.

Stalwart Default “Allow Relaying”

Cette configuration par défaut est essentielle pour éviter que votre serveur ne devienne un open relay, ce qui pourrait entraîner des problèmes de sécurité et faire que votre serveur soit blacklisté.

Settings › MTA › Session › RCPT TO Stage

Dans le WebUI, vous pouvez trouver cette règle sous Settings › MTA › Session › RCPT TO Stage, où le champ “Allow Relaying” dernier est par défaut à false pour les utilisateurs non authentifiés.

[session.rcpt]
relay = [ { if = "!is_empty(authenticated_as)", then = true }, 
          { else = false } ]

WebUI

Cela garantit que :

✅ Tous les utilisateurs authentifiés (yannig.net, cinay.eu, yick.eu) peuvent faire du relais , Allow Relaying = true (autorisé)
❌ Les utilisateurs non authentifiés ne peuvent pas faire du relais, Allow Relaying = false (interdit)

Test de relais (Allow Relaying)

Pour tester la règle Allow Relaying de Stalwart avec swaks, vous devez effectuer 2 tests : un sans authentification (doit être rejeté) et un avec authentification (doit être accepté).

Installation de swaks

        
      
# Sur Debian/Ubuntu
apt-get install swaks
# Ou télécharger le script Perl
wget https://jetmore.org/john/code/swaks/files/swaks-20201014.0/swaks
chmod +x swaks
mv swaks /usr/local/bin/

1-Pour confirmer que le relais est bloqué pour les non-authentifiés :

        
      
# Sans authentification (doit rejeter)
swaks --to user@external.com \
      --from sender@external.com \
      --server yannig.net:587 \
      --tls \
      --auth LOGIN \
      --auth-user yann@yannig.net \
      --auth-password yann_mot_de_passe \
      --quit-after RCPT

❌ <~* 501 5.5.4 You are not allowed to send from this address. 2-Et avec authentification (doit accepter) :

        
      
swaks --to user@external.com \
      --from yann@yannig.net \
      --server yannig.net:587 \
      --tls \
      --auth LOGIN \
      --auth-user yann@yannig.net \
      --auth-password yann_mot_de_passe \
      --quit-after RCPT

✅ <~ 250 2.1.5 OK

Tableau des résultats attendus

Test	Domaine	Authentification	Destinataire	Résultat
1	yannig.net	❌ Non	externe	`550 Relay not allowed`
2	yannig.net	✅ Oui	externe	`250 OK`
3	cinay.eu	✅ Oui	externe	`250 OK`
4	yick.eu	✅ Oui	externe	`250 OK`

Si Test 1 réussit (message accepté), votre serveur est un open relay,c'est une configuration dangereuse.

SPAM ‘FORGED_RECIPIENTS’

FORGED_RECIPIENTS (destinataire forgé) est un indicateur de spam détecté quand l’adresse visible dans le header To: ne correspond pas à l’adresse réelle du destinataire dans l’enveloppe SMTP (RCPT TO / Delivered-To:).

Filtre Thunderbird

J’applique un filtre Thunderbird (Pour, ne contient pas, @cinay.eu) afin de rejeter ce type de message

Delivered-To: [yani@cinay.eu](mailto:yani@cinay.eu)
X-Spam-Status: No
Received: from mx.wilde-wood.skin (mx.wilde-wood.skin [62.173.142.230] (AS34300 Internet-Cosmos LLC, RU))
	(using TLSv1.2 with cipher TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)
	by yannig.net (Stalwart SMTP) with ESMTPS id 455559D67A04A00;
	Thu, 11 Jun 2026 10:05:47 +0000
Authentication-Results: yannig.net;
	spf=none (yannig.net: no SPF records found for postmaster@mx.wilde-wood.skin) smtp.helo=mx.wilde-wood.skin;
	spf=pass (yannig.net: domain of [uwhedmn@zirenma.tech](mailto:uwhedmn@zirenma.tech) designates 62.173.142.230 as permitted sender) [smtp.mailfrom=uwhedmn@zirenma.tech](mailto:smtp.mailfrom=uwhedmn@zirenma.tech);
	iprev=pass policy.iprev=62.173.142.230;
	dmarc=pass header.from=zirenma.tech policy.dmarc=none
Received-SPF: pass (yannig.net: domain of [uwhedmn@zirenma.tech](mailto:uwhedmn@zirenma.tech) designates 62.173.142.230 as permitted sender)
	receiver=yannig.net; client-ip=62.173.142.230; envelope-from="uwhedmn@zirenma.tech"; helo=mx.wilde-wood.skin;
X-Spam-Result: DMARC_POLICY_ALLOW (-0.50),
	SPF_ALLOW (-0.20),
	MIME_GOOD (-0.10),
	ARC_NA (0.00),
	DBL_BLOCKED_OPENRESOLVER (0.00),
	DKIM_NA (0.00),
	DNSWL_BLOCKED (0.00),
	FROM_EQ_ENV_FROM (0.00),
	FROM_HAS_DN (0.00),
	HAS_ATTACHMENT (0.00),
	HTML_SHORT_1 (0.00),
	MID_RHS_MATCH_ENV_FROMTLD (0.00),
	MID_RHS_MATCH_FROMTLD (0.00),
	RBL_SENDERSCORE_REPUT_BLOCKED (0.00),
	RCPT_COUNT_ONE (0.00),
	RCVD_TLS_LAST (0.00),
	RWL_MAILSPIKE_POSSIBLE (0.00),
	SOURCE_ASN_34300 (0.00),
	TO_DN_NONE (0.00),
	RCVD_COUNT_ZERO (0.10),
	SUBJECT_ENDS_QUESTION (1.00),
	FORGED_RECIPIENTS (2.00)
X-Spam-Score: ham, score=2.30
Return-Path: <uwhedmn@zirenma.tech>
Message-ID: <05345665P85002234O26030028V22606824U@mta.uwhedmn.zirenma.tech>
From: "NooBark" <uwhedmn@zirenma.tech>
To: <g.singer@changestrategy.eu>
Subject: Dog barking nonstop?
Date: Thu, 11 Jun 2026 13:03:10 +0300
MIME-Version: 1.0
Content-Type: multipart/related;
	type="multipart/alternative";
	boundary="----=_NextPart_000_0006_01DCF9A2.A5630360"

This is a multi-part message in MIME format.
[...]

A-Ce que montrent les en-têtes

Delivered-To: yani@cinay.eu
Received: ... by yannig.net (Stalwart SMTP) ...
X-Spam-Result: ... FORGED_RECIPIENTS ...
To: <hello@cherryshop.eu>

Cela indique que le message a été livré à yani@cinay.eu, mais que l’expéditeur a mis un To: interne différent dans le corps du message. Les antispam détectent justement ce genre de décalage avec des règles comme FORGED_RECIPIENTS

B-Pourquoi ça arrive, Il y a plusieurs causes possibles

BCC / copie cachée : vous êtes le vrai destinataire SMTP, mais pas visible dans le To: du message.
Spam ou envoi de masse mal formé : l’expéditeur met un faux To: pour masquer la liste réelle des destinataires.
Forçage / falsification d’en-têtes : le champ To: peut être complètement inventé, car ce n’est pas lui qui décide de la distribution.
Alias ou capture de domaine : si cinay.eu ou yick.eu accepte plusieurs variantes d’adresses, le message peut être arrivé sur une adresse valide chez vous même si l’en-tête affiche autre chose.

C-Le plus probable est que votre serveur reçoit un spam envoyé à une adresse de votre domaine, puis que l’expéditeur ait mis un To: fictif (hello@cherryshop.eu) pour brouiller les pistes. Le score antispam contient d’ailleurs FORGED_RECIPIENTS, ce qui va dans ce sens.

Le X-Spam-Result: ... TO_DN_NONE, RCPT_COUNT_ONE et FORGED_RECIPIENTS suggèrent aussi un message techniquement livré à un seul destinataire réel, mais avec des en-têtes trompeurs.

Vérifier côté serveur Stalwart

les logs SMTP pour voir le RCPT TO réel ;
les éventuels alias, catch-all ou règles de routage sur cinay.eu et yick.eu ;
si Delivered-To correspond à une boîte réelle ou à une adresse attrape-tout ;
la politique anti-spam pour renforcer la détection des messages avec Recipient forgé.

Si vous voyez souvent des mails avec un To: qui ne vous concerne pas, ce n’est généralement pas une erreur de livraison : c’est presque toujours un message de masse, un BCC, ou un en-tête volontairement falsifié.

Pour filtrer sur le header To:, utilisez :

Thunderbird (filtre local) → ✅ Votre filtre actuel fonctionne
Score de spam avec FORGED_RECIPIENTS → Rejette les spams avec destinataire forgé

Définition de FORGED_RECIPIENTS

FORGED_RECIPIENTS (destinataire forgé) est un indicateur de spam détecté quand l’adresse visible dans le header To: ne correspond pas à l’adresse réelle du destinataire dans l’enveloppe SMTP (RCPT TO / Delivered-To:).

Dans le message reçu :

Header	Valeur
`Delivered-To:`	`yani@cinay.eu` ✅ (votre adresse réelle)
`To:`	`chris@chris-music.eu` ❌ (adresse forgée/fausse)

Le spammeur a forgé le header To: pour :

Faire croire au destinataire que le message n’est pas destiné à lui (réduire le taux de réponse)
Échapper aux filtres qui vérifient le To:
Rendre le spam plus “crédible” en apparence

Dans le message X-Spam-Result, FORGED_RECIPIENTS a un score de 2.00 :

FORGED_RECIPIENTS (2.00)

C’est un score élevé qui indique un spam probable.

A-Technique utilisée par les spammeurs
Un email forgé (spoofé) est un email maquillé :

La victime voit une adresse spécifique qui n’est pas l’adresse dont provient réellement le message
Cette technique permet de répandre plus facilement du spam, du phishing, ou des tentatives d’insultes/diffamations[hackersrepublic]

B-Pourquoi Sieve peut le détecter
Rspamd (et Stalwart qui utilise des mécanismes similaires) détecte FORGED_RECIPIENTS en comparant :

Les adresses dans le header To: / Cc:
Les adresses dans l’enveloppe SMTP (RCPT TO)

Quand ils ne correspondent pas → FORGED_RECIPIENTS est ajouté au rapport avec un score de 2.00[lists.rspamd]

Votre script Sieve qui rejette les messages avec FORGED_RECIPIENTS dans X-Spam-Result bloque correctement ce type de spam avec destinataire forgé. script Sieve avec le score de spam pour rejeter les messages FORGED_RECIPIENTS

Sieve - Rejet message FORGED_RECIPIENTS

Voici le script Sieve pour rejeter les messages avec le tag FORGED_RECIPIENTS dans le rapport de spam de Stalwart

reject-forged-recipients

        
      
require ["reject","regex","envelope","subaddress"];

if anyof (
  header :contains "X-Spam-Result" "FORGED_RECIPIENTS",
  header :contains "X-Spam-Status" "FORGED_RECIPIENTS",
  header :regex "X-Spam-Report" "FORGED_RECIPIENTS"
) {
  reject "Message rejeté : destinataire forgé détecté.";
}

if header :regex "X-Spam-Result" "\\bFORGED_RECIPIENTS\\b" {
  reject "Message rejeté : destinataire forgé détecté.";
}

Comment ça marche

Dans votre spam, l’en-tête X-Spam-Result contient :

X-Spam-Result: DMARC_POLICY_ALLOW (-0.50), SPF_ALLOW (-0.20), ..., FORGED_RECIPIENTS (2.00)

Ce script :

Vérifie si X-Spam-Result contient FORGED_RECIPIENTS
Si oui → rejette avec 554 erreur SMTP

Mise en place du script

Ouvrez le WebUI : Settings → Sieve → System Scripts
Créez un nouveau script :
- Script Id : reject-forged-recipients
- Script : collez le code Sieve ci-dessus
Sauvegardez
Settings → MTA → Session → DATA Stage
- Run Script : reject-forged-recipients
Redémarrez Stalwart :
1 sudo systemctl restart stalwart-mail
Test avec swaks

Le script sieve est valide, mode debug actif, pas de dovecot, me rappeler la commande de test swaks

Utilisez cette commande swaks (envoi direct vers yann@yannig.net, ajoute l’en-tête X-Spam-Result contenant FORGED_RECIPIENTS) :

        
      
swaks --server yannig.net --from tst@cinay.eu --to yann@yannig.net --header "X-Spam-Result: FORGED_RECIPIENTS" --header "To: yannig@forged.example" --data message.eml

Pour forcer un en-tête précis dans DATA sans utiliser –data file, vous pouvez inline le message ainsi :

        
      
(
  echo "From: tst@cinay.eu"
  echo "To: yannig@forged.example"
  echo "X-Spam-Result: FORGED_RECIPIENTS"
  echo "Subject: Test FORGED_RECIPIENTS"
  echo
  cat message.eml
) | swaks --server yannig.net --from tst@cinay.eu --to yann@yannig.net --data -

Surveillez les logs en temps réel après l’envoi (mode debug actif) :

sudo tail -f /var/log/stalwart/stalwart.2026-06-15

La zone correspondante à l’envoi du message de test

[...]
2026-06-15T06:12:32Z DEBUG Pyzor success (spam.pyzor) listenerId = "smtp", localPort = 25, remoteIp = fe80::f816:3eff:fe25:b53a, remotePort = 51144, result = false, details = [200, 0, 0], elapsed = 11ms
2026-06-15T06:12:32Z DEBUG Sieve action: Reject (sieve.action-reject) listenerId = "smtp", localPort = 25, remoteIp = fe80::f816:3eff:fe25:b53a, remotePort = 51144, id = "reject-forged-recipients", details = "Message rejeté : destinataire forgé détecté.", elapsed = 0ms
2026-06-15T06:12:32Z DEBUG SMTP QUIT command (smtp.quit) listenerId = "smtp", localPort = 25, remoteIp = fe80::f816:3eff:fe25:b53a, remotePort = 51144
2026-06-15T06:12:32Z DEBUG SMTP connection ended (smtp.connection-end) listenerId = "smtp", localPort = 25, remoteIp = fe80::f816:3eff:fe25:b53a, remotePort = 51144, elapsed = 1691ms
2026-06-15T06:12:32Z DEBUG HTTP store updated (store.http-store-fetch) url = "https://disposable.github.io/disposable-email-domains/domains_mx.txt", total = 21463, elapsed = 134ms
2026-06-15T06:12:32Z DEBUG HTTP store updated (store.http-store-fetch) url = "https://gist.githubusercontent.com/okutbay/5b4974b70673dfdcc21c517632c1f984/raw/993a35930a8d24a1faab1b988d19d38d92afbba4/free_email_provider_domains.txt", total = 96640, elapsed = 234ms
[...]

Le log montre que le script Sieve a bien rejeté le message :

2026-06-15T06:12:32Z DEBUG Sieve action: Reject ... id = "reject-forged-recipients" ... details = "Message rejeté : destinataire forgé détecté."

La règle Sieve reject-forged-recipients fonctionne et a rejeté le message à la réception.

Le filtre Sieve avec FORGED_RECIPIENTS ne bloque pas vos envois légitimes

rejet signifie que le message est refusé pendant la phase de livraison et n’est pas placé dans une boîte utilisateur (Inbox, Spam, Trash, etc.).

Rejet SMTP (reject) renvoie une erreur au client émetteur et empêche la livraison locale.

Aucun dossier utilisateur ne reçoit le message (ni Spam, ni Junk, ni Trash).

Le serveur peut conserver un enregistrement de l’événement dans ses logs et éventuellement une copie interne si vous avez explicitement configuré une quarantaine séparée — mais ce n’est pas automatique avec un simple reject Sieve.

Sieve fishing sites gouvernementaux

Filtrer/rejeter automatiquement les e-mails de phishing prétendant provenir de gouv.fr en combinant vérifications d’en-têtes (SPF, DKIM, DMARC) et règles Sieve/Thunderbird.

Ne pas rejeter automatiquement tout message contenant “gouv.fr” : certains légitimes utilisent d’autres domaines ou forwarding. Préférer un blocage des messages qui prétendent venir d’un domaine gouv.fr mais échouent aux contrôles d’authentification (SPF/DKIM/DMARC) ou dont l’adresse d’expéditeur est forgée.

domaines officiels utilisés par le gouvernement français

Voici une liste des principaux domaines officiels utilisés par le gouvernement français pour la messagerie et les sites officiels :

.gouv.fr — domaine principal des administrations et ministères français (ex. service-public.gouv.fr, interieur.gouv.fr).
.service-public.fr — portail officiel de l’administration française (utilisé pour certaines messageries/formulaires liés aux services publics).
.etat.fr — utilisé par certaines entités d’État (rare).
.pref.gouv.fr — domaines des préfectures (souvent préfecture-.gouv.fr ou pref..gouv.fr).
.france.fr — site institutionnel de promotion (moins utilisé pour messagerie).
.legifrance.gouv.fr — publications juridiques officielles (principalement site, pas messagerie).
.assemblee-nationale.fr — domaine de l’Assemblée nationale (emails officiels pour députés/personnel).
.senat.fr — domaine du Sénat.
.conseil-constitutionnel.fr — Conseil constitutionnel.
.cours-finances.gouv.fr / .dgfip.finances.gouv.fr — exemples de sous-domaines pour la direction générale des finances publiques (DGFIP).
.ac-.fr — académies (éducation nationale) ; messagerie des rectorats et établissements scolaires utilise souvent ces sous-domaines (ex. ac-paris.fr).
.collectivites-locales.fr / .departement.fr / .metropole.fr — domaines utilisés par certaines collectivités territoriales (mairies, départements, régions) ; beaucoup utilisent sous-domaines en .gouv.fr ou domaines locaux (ex. ville-xxx.fr).
.gendarmerie.interieur.gouv.fr et .police.interieur.gouv.fr — sous-domaines pour gendarmerie et police du ministère de l’Intérieur.

Remarques courtes :

La plupart des adresses e-mail officielles se présentent sous la forme prenom.nom@organisation.gouv.fr ou contact@organisation.gouv.fr.
Les administrations locales (mairies, régions, départements) peuvent utiliser des domaines propres (ex. mairie-xxx.fr) ; vérifier l’adresse sur le site officiel de l’entité.

Voici le script Sieve prêt à coller dans Settings → Sieve → System Scripts. Il fileinto “Junk”, ajoute le flag, et préfixe le sujet par “[POSSIBLE PHISHING]”. Après le script je fournis une commande swaks d’exemple pour tester (adaptée à un relais SMTP local ; ajustez destinataire/source/host).

Stalwart/Dovecot Sieve uses the “envelope” test with keys “from” or “to”. Change “envelope :matches ‘MAIL FROM’ …” to “envelope :matches “from” "@.gouv.fr"”. Also ensure quoting/escaping. Here’s the corrected script — compatible with Dovecot/Manage Sieve

phishing_gouv

require ["fileinto","imapflags","regex","variables","envelope","editheader"];

if header :regex "From" "(?i)(gouv|antai|anta[iï])" {

  if anyof (
    not header :regex "From" "(?i)@[^\\s>]+\\.gouv\\.fr",
    header :contains "Authentication-Results" "dmarc=fail",
    header :contains "Authentication-Results" "dmarc=permerror",
    header :contains "Authentication-Results" "spf=fail",
    header :contains "Authentication-Results" "dkim=fail"
  ) {
    if exists "Subject" {
      addheader "Subject" "[POSSIBLE PHISHING] ";
    } else {
      addheader "Subject" "[POSSIBLE PHISHING] (no subject)";
    }
    fileinto "Junk";
    setflag "\\Flagged";
    stop;
  }

  if allof (
    not envelope :matches "from" "*@*.gouv.fr",
    not header :contains "Authentication-Results" "dmarc=pass"
  ) {
    if exists "Subject" {
      addheader "Subject" "[POSSIBLE PHISHING] ";
    } else {
      addheader "Subject" "[POSSIBLE PHISHING] (no subject)";
    }
    fileinto "Junk";
    setflag "\\Flagged";
    stop;
  }
}

Collez et sauvegardez dans System Scripts

Remarques rapides :

Certains serveurs utilisent d’autres noms pour le dossier spam ; remplacez “Junk” si nécessaire.
L’usage de deleteheader “Subject” est optionnel selon le comportement de votre MTA/IMAP client ; testez et supprimez la ligne si ça supprime le sujet visible.

Commande swaks d’exemple pour tester (remplacez valeurs) :

but : envoyer un message simulant From “Agence… ...@oglix.ba” vers yannig.net via votre MX Stalwart.
ajustez –server, –from, –to, –h-Header, –data as needed.

Le serveur refuse l’adresse MAIL FROM car swaks a envoyé une adresse non-ASCII/avec espace/brackets — la syntaxe SMTP attend un adresse-mail simple entre <>. Utilisez l’option –from pour définir une adresse simple et mettez l’en-tête From séparément.

        
      
swaks --server yannig.net:25 \
  --from "amendes-antai-gouv@oglix.ba" \
  --to "yani@cinay.eu" \
  --header "From: Agence Nationale de Traitement Automatisé des Infractions <amendes-antai-gouv@oglix.ba>" \
  --header "Subject: ANTAI - test phishing" \
  --header "Authentication-Results: yannig.net; dkim=pass header.d=oglix.ba; spf=pass smtp.mailfrom=oglix.ba; dmarc=none header.from=oglix.ba" \
  --data "Ceci est un test."

Notes :

Ne mettez pas de nom convivial dans –from ; utilisez une adresse pure (ASCII). Placez le nom convivial dans l’en-tête “From”.
Si vous envoyez via TLS/REQUIRETLS, ajoutez –timeout et –tls –auth (si nécessaire) ou utilisez le port 587 avec authentification.

Avec la commande swaks , le message test a été placé dans le dossier “indésirables”

Debug

2026-06-15T09:06:57Z INFO Authentication successful (auth.success) listenerId = "imaps", localPort = 993, remoteIp = 2a01:e0a:95a:e2f0:d357:db0:cdb0:70ab, remotePort = 50666, accountName = "yani@cinay.eu", accountId = 4
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) accountId = 4, collection = "email", changeId = 1289, elapsed = 0ms
2026-06-15T09:06:57Z DEBUG IMAP ID command (imap.id) listenerId = "imaps", localPort = 993, remoteIp = 2a01:e0a:95a:e2f0:d357:db0:cdb0:70ab, remotePort = 50666, elapsed = 0ms
2026-06-15T09:06:57Z DEBUG IMAP ENABLE command (imap.enable) listenerId = "imaps", localPort = 993, remoteIp = 2a01:e0a:95a:e2f0:d357:db0:cdb0:70ab, remotePort = 50666, details = ["Utf8Accept"], elapsed = 0ms
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) key = 4, collection = "accessToken"
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) accountId = 4, collection = "email", changeId = 1289, elapsed = 0ms
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) accountId = 4, collection = "email", changeId = 1289, elapsed = 0ms
2026-06-15T09:06:57Z DEBUG IMAP SELECT command (imap.select) listenerId = "imaps", localPort = 993, remoteIp = 2a01:e0a:95a:e2f0:d357:db0:cdb0:70ab, remotePort = 50666, mailboxName = "Junk Mail", accountId = 4, mailboxId = 2, total = 1, uidNext = 34, uidValidity = 660552631, elapsed = 0ms
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) key = 4, collection = "accessToken"
2026-06-15T09:06:57Z DEBUG IMAP MYRIGHTS command (imap.my-rights) listenerId = "imaps", localPort = 993, remoteIp = 2a01:e0a:95a:e2f0:d357:db0:cdb0:70ab, remotePort = 50666, mailboxName = "Junk Mail", accountId = 4, mailboxId = 2, details = ["r", "l", "i", "t", "e", "s", "w", "k", "x", "p", "a"], elapsed = 0ms
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) key = 4, collection = "accessToken"
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) key = 4, collection = "account"
2026-06-15T09:06:57Z DEBUG IMAP GET ACL command (imap.get-acl) listenerId = "imaps", localPort = 993, remoteIp = 2a01:e0a:95a:e2f0:d357:db0:cdb0:70ab, remotePort = 50666, mailboxName = "Junk Mail", accountId = 4, mailboxId = 2, total = 1, elapsed = 0ms
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) key = 4, collection = "accessToken"
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) accountId = 4, collection = "email", changeId = 1289, elapsed = 0ms
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) key = 4, collection = "account"
2026-06-15T09:06:57Z DEBUG IMAP GETQUOTA command (imap.get-quota) listenerId = "imaps", localPort = 993, remoteIp = 2a01:e0a:95a:e2f0:d357:db0:cdb0:70ab, remotePort = 50666, mailboxName = "Junk Mail", details = [1514023, 0], elapsed = 0ms
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) accountId = 4, collection = "email", changeId = 1289, elapsed = 0ms
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) accountId = 4, collection = "email", changeId = 1289, elapsed = 0ms
2026-06-15T09:06:57Z DEBUG IMAP FETCH command (imap.fetch) listenerId = "imaps", localPort = 993, remoteIp = 2a01:e0a:95a:e2f0:d357:db0:cdb0:70ab, remotePort = 50666, accountId = 4, mailboxId = 2, documentId = [625], details = ["Uid", "Flags"], elapsed = 0ms
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) accountId = 4, collection = "email", changeId = 1289, elapsed = 0ms
2026-06-15T09:06:57Z DEBUG Cache hit (store.cache-hit) accountId = 4, collection = "email", changeId = 1289, elapsed = 0ms
2026-06-15T09:06:57Z DEBUG IMAP FETCH command (imap.fetch) listenerId = "imaps", localPort = 993, remoteIp = 2a01:e0a:95a:e2f0:d357:db0:cdb0:70ab, remotePort = 50666, accountId = 4, mailboxId = 2, documentId = [625], details = ["Uid", "Rfc822Size", "Flags", "BodySection { peek: true, sections: [HeaderFields { not: false, fields: ["From", "To", "Cc", "Bcc", "Subject", "Date", "Message-ID", "Priority", "X-Priority", "References", "Newsgroups", "In-Reply-To", "Content-Type", "Reply-To", "Received", "Reply-To"] }], partial: None }"], elapsed = 0ms

Les logs confirment que le message a bien été déplacé dans “Junk Mail” (mailboxId = 2, documentId = 625) et que l’IMAP client a récupéré l’en-tête.

VPS, OVH

messagerie

Cet article est sous licence CC BY 4.0 par l'auteur.