Bonjour à toutes et à tous,
Mon serveur de mail est installé sur un VPS selon la démarche décrite dans ce tutoriel : Postfix + Dovecot + certif LE. Notez que je n’ai pas encore installé SpamAssassin.
En plus des enregistrements A et AAAA pour la partie web du serveur, j’ai configuré un seul enregistrement MX qui pointe vers le nom de domaine : freecad-france.com.
J’ai un problème avec Gmail qui place mes mails dans le dossier SPAM, voici la source d’un mail provenant de mon serveur, envoyé via thunderbird à une adresse @gmail.
Delivered-To: destinataire@gmail.com
Received: by 10.157.17.37 with SMTP id g34csp3227999ote;
Sun, 9 Oct 2016 06:40:11 -0700 (PDT)
X-Received: by 10.195.17.226 with SMTP id gh2mr27287626wjd.15.1476020411275;
Sun, 09 Oct 2016 06:40:11 -0700 (PDT)
Return-Path: <contact@freecad-france.com>
Received: from freecadfrance.freecad-france.com ([163.172.187.210])
by mx.google.com with ESMTP id bk4si1361128wjc.90.2016.10.09.06.40.10
for <destinataire@gmail.com>;
Sun, 09 Oct 2016 06:40:11 -0700 (PDT)
Received-SPF: neutral (google.com: 163.172.187.210 is neither permitted nor denied by best guess record for domain of contact@freecad-france.com) client-ip=163.172.187.210;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 163.172.187.210 is neither permitted nor denied by best guess record for domain of contact@freecad-france.com) smtp.mailfrom=contact@freecad-france.com
Received: from [IPv6:2a01:e35:8a2d:c6b0:7c2e:2833:4e2a:b896] (unknown [IPv6:2a01:e35:8a2d:c6b0:7c2e:2833:4e2a:b896])
by freecadfrance.freecad-france.com (Postfix) with ESMTPSA id BA8CD60599
for <destinataire@gmail.com>; Sun, 9 Oct 2016 13:40:10 +0000 (UTC)
To: destinatire <destinataire@gmail.com>
From: FreeCAD France <contact@freecad-france.com>
Subject: Ceci est l'objet du message
Message-ID: <14e7a0c1-3302-a07e-80b4-073224671c19@freecad-france.com>
Disposition-Notification-To: FreeCAD France <contact@freecad-france.com>
Date: Sun, 9 Oct 2016 15:40:03 +0200
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101
Thunderbird/45.3.0
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 8bit
Bonjour,
Ceci est le corps du message.
Cordialement
---
Prénom Nom
---
Signature automatique
de quelques lignes
de simple texte
Pourriez vous m’aidez à cerner le problème ?
Mes recherches me disent qu’il faut configurer un enregistrement SPF, ok, mais concrètement j’y mets quoi ?
Bon tout en écrivant ce message, j’ai essayé avec cet enregistrement SPF de type TXT :
v=spf1 a mx ip4:163.172.187.210 ~all
Et ça marche ! Mais j’ai vu des configs spécifique à gmail d’autre non, comment savoir si je n’ai pas le même problème avec yahou, chaudmail, etc ?
Avec une config précédente j’ai aussi eu un message de gmail à propos d’une mauvaise config ipv6. (Je n’ai plus le mail).
C’est peut être un problème de configuration du serveur ? fqdn, postfix ?
Merci d’avance pour votre aide.
# comprendre le but du SPF
Posté par NeoX . Évalué à 4.
le SPF est là pour que le destinataire de l'email puisse verifier que l'emetteur de l'email est bien celui qu'il pretend.
en gros tu vas par exemple dire dans le SPF que la machine toto.example.org, l'IP A.B.C.D et toutes les machines ovh.com sont autorisées à envoyer de l'email pour le domaine @freecad-france.fr
ainsi cela evite que j'envoie des emails avec emetteur @freecad-france.fr depuis mes serveurs, et donc ca limite les spams
dans ton cas, tu lui dit que le serveur ayant le A ou le MX du domaine ou l'IP 163.172.187.210
plus de detail ici
http://www.openspf.org/SPF_Record_Syntax
[^] # Re: comprendre le but du SPF
Posté par gouttegd . Évalué à 4.
J’ajouterai que dans le cas présent, le
a
et lemx
sont inutiles, et alourdissent la tâche du validateur SPF. Après avoir demandé et obtenu l’enregistrement SPF, il doit à présent demander les enregistrements A et MX, puis les enregistrements A correspondants au MX, afin d’avoir la liste complète des adresses contre lesquelles vérifier l’adresse de l’émetteur.Pour une installation simple, mono-serveur, autant spécifier directement et uniquement les adresses IP (v4 et v6) du serveur via les champs
ip4
etip6
, et éviter ainsi toute indirection :(Et si tu es sûr — vraiment sûr — de ne jamais envoyer de mail via une autre machine, remplacer le
~all
par-all
pour informer les serveurs tiers qu’ils ne doivent pas hésiter à rejeter purement et simplement tout message venant d’ailleurs.)[^] # Re: comprendre le but du SPF
Posté par rockn (site web personnel) . Évalué à 1. Dernière modification le 09 octobre 2016 à 22:18.
Merci, je vois un peu mieux comment ça marche.
À votre avis je rajoute l'ipv6 ?
Edit (je viens de voir la réponse de gouttegd)
exemple :
v=spf1 ip4:XX.XX.X.XX ip6:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX ~all
# Ce ne sont pas forcément les "gros" qui posent problème…
Posté par gouttegd . Évalué à 2.
D’expérience, avec un enregistrement SPF correct et des mails sortants signés par DKIM, je n’ai pas eu de problèmes ni avec GMail, ni avec Yahoo.
Dans le cas de Microsoft (Live.com, feu Hotmail), ni SPF ni DKIM n’ont été suffisants, il a fallu que je demande explicitement à blanchir l’adresse IP de mon serveur via leur service Smart Network Data Service.
Oui, ça pue, mais je reconnais au moins à Microsoft qu’ils offrent quand la même la possibilité de blanchir une adresse simplement en en faisant la demande. Je ne peux pas en dire autant d’autres fournisseurs (plus modestes comparés aux gros poissons que sont GMail/Yahoo/Live) qui rejettent des serveurs sur la base de DNS blacklists arbitraires d’où il est quasiment impossible, pour certaines, de faire retirer une adresse.
[^] # Re: Ce ne sont pas forcément les "gros" qui posent problème…
Posté par rockn (site web personnel) . Évalué à 2.
Ah ouais, créer un compte microsoft juste pour ça :( Je vais voir si j'ai pas une connaissance avec un compte pour me le faire…
[^] # Re: Ce ne sont pas forcément les "gros" qui posent problème…
Posté par gouttegd . Évalué à 5.
Tu n’es pas forcément obligé de le faire. Avec un peu de chance, l’adresse de ton serveur est « propre », et sera acceptée par les serveurs de live.com sans action de ta part.
C’est seulement si l’adresse a une mauvaise réputation (parce qu’elle a précédemment été utilisée par des spammeurs, généralement) que tu peux avoir besoin de la faire blanchir. Dans ce cas, les serveurs de live.com t’en informeront lorsque tu tenteras (toi ou un de tes utilisateurs, si tu n’es pas le seul à utiliser ton serveur) de contacter un utilisateur de live.com (du coup, si tu as une connaissance avec un compte live.com tu peux tenter de lui envoyer un message et voir si « ça passe »).
Indépendamment de Live.com, tu peux aussi évaluer la réputation générale de ton adresse IP en vérifiant sa présence dans les principales blacklists.
[^] # Re: Ce ne sont pas forcément les "gros" qui posent problème…
Posté par rockn (site web personnel) . Évalué à 1.
Ça n'a pas loupé, le mail vers hotmail est allé dans les spams. Je vais donc m'occuper de montrer patte blanche à l'aide du lien que tu m'as donné.
J'ai fais aussi un test avec mail-tester.com, je poste un nouveau commentaire à ce sujet.
[^] # Re: Ce ne sont pas forcément les "gros" qui posent problème…
Posté par Kerro . Évalué à 0.
Il existe des personnes (par exemple moi) qui estiment que si un serveur expédie du SPAM ou un truc mal fichu une fois, alors il n'est pas utile d'accepter quoi que ce soit venant de ce serveur dans le futur proche (par exemple à l'horizon de 2 ans).
Ça pénalise les incompétents ? Je ne vois pas où est le problème, d'autant plus que nous subissons les incompétents à longueur de journée, donc réduire un peu ce point est vraiment nécessaire.
[^] # Re: Ce ne sont pas forcément les "gros" qui posent problème…
Posté par Jehan (site web personnel, Mastodon) . Évalué à 5.
Quand tu récupères une IP d'un réseau (OVH, Gandi…) et que son précédent "locataire" spammait (sciemment ou à cause d'une erreur technique genre relai mail ouvert), tu ne pénalises absolument pas la bonne personne/le bon serveur. Le spammeur a déjà bougé et est allé voir ailleurs. Par contre tu pénalises quelqu'un de potentiellement tout à fait fiable et compétent qui a récupéré cette IP récemment.
Aussi j'espère que tu bloques tout email venant d'une IP/adresse gmail, outlook, yahoo… enfin tous les gros serveurs quoi. Non parce qu'ils envoient tous du spam (et pas qu'une fois, mais constamment. Même avec de bonnes détections des spammeurs, les comptes bots/volés ne sont pas immédiatement repérés et ont le temps de spammer).
Sinon c'est un peu du 2 poids/2 mesures, et au final tu ne fais que pénaliser ceux qui hébergent leurs propres emails (particuliers, entreprises et autres petits groupes, genre assos, collectifs…), les petits hébergeurs, enfin un peu le web complet quoi. Ils sont pénalisés juste pour avoir l'audace d'être petits, les vilains! Alors que les gros, même s'ils spamment encore plus, ils sont whitelistés pour ne jamais être ajoutés dans les diverses blacklists. À part si tu prônes le fait qu'on devrait tous utiliser les gros hébergeurs d'email (et leur donner notre vie privée en pâture en échange de belle pubs dans nos têtes, par la même occasion), ce n'est pas mon internet idéal.
Tout serveur email, dès qu'il ouvre ses comptes à plus qu'un micro-groupe de gens proches, peut être vecteur de spam pour un temps court (typiquement un utilisateur va se faire prendre le contrôle du compte car il a mis un mot de passe trop faible ou l'a laissé fuiter, ou encore son ordi s'est fait infecter). Bloquer un serveur pour 2 ans car il a été vecteur d'un seul spam à ta destination, tu peux aussi bien couper ton serveur email tout court, ça sera plus rapide.
Attention, je ne dis pas que les blacklists sont totalement mauvaises. C'est un moindre mal qui peut être acceptable, mais seulement si elles sont bien maintenus. Et ça veut dire que non, bloquer une IP pour 2 ans même après qu'elle ait changé de propriétaire, ben ce n'est pas acceptable. On n'a pas tous la chance d'avoir des plages entières d'adresse IP bloquées pour nous, et ça veut dire que les IPs changent très régulièrement de mains.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: Ce ne sont pas forcément les "gros" qui posent problème…
Posté par rockn (site web personnel) . Évalué à 3.
On va dire que je vois pas trop où tu veux en venir…
Mais je ne peux m’empêcher de te dire ça : j'ai cliqué sur ton site et firefox m'affiche ça :
Du coup tu ne m'en voudras pas si je retourne sur ton site que dans 2 ans ?!
Bref des erreurs ça arrive à tout le monde, les IP (v4) on l'air d'être attribué / réattribué très souvent donc le risque de se voir attribuer une ancienne IP malfaisante est pas nul et faudra faire avec , non ?
[^] # Re: Ce ne sont pas forcément les "gros" qui posent problème…
Posté par Kerro . Évalué à 1.
Je n'y vois strictement aucun inconvénient.
La différence avec les emails est qi'ils arrivent dans ta boîte sans que tu l'ai demandé, alors qu'un site web c'est tout de même toi qui va le visiter volontairement.
Pour le https c'est OVH qui vient de merder (depuis quelques années ils sont devenus vraiment mauvais, et j'ai encore quelques services chez eux par flemme).
[^] # Re: Ce ne sont pas forcément les "gros" qui posent problème…
Posté par gouttegd . Évalué à 3. Dernière modification le 14 octobre 2016 à 14:42.
Non, ça pénalise ceux qui, compétents ou non, récupèrent une adresse IP dont le précédent utilisateur était incompétent ou spammeur, et qui se retrouve dans une blacklist :
(Au passage, il s’agit de violations flagrantes du RFC 6471, qui donne les « bonnes pratiques » que les opérateurs de DNSBL devraient respecter.)
Et je ne parle même pas du cas des DNSBL qui n’hésitent pas à blacklister un /24 entier juste parce qu’une adresse dans le bloc a été utilisée par un spammeur. Au diable les dommages collatéraux, après tout le spam c’est une guerre.
Ah oui, et puis il y a aussi ceux qui blacklistent les adresses que les FAI allouent à leurs abonnés. Rien à foutre de l’auto-hébergement, on est en guerre que je vous dis.
Bref, ça n’a rien à voir avec la compétence de l’administrateur du serveur. Au contraire, si tu rejettes un serveur sur la seule base de la présence de son adresse dans une blacklist, tu dis clairement que tu te moques éperdument des compétences de l’administrateur : peu importe que sa configuration soit irréprochable, que SPF, DKIM et DMARC soient parfaitement mis en œuvre, que tous les RFC relatifs au courrier électronique soient respectés… l’adresse a le malheur d’être blacklistée, c’est tout ce qui compte pour toi.
Si tu voulais pénaliser les « incompétents », nul besoin de blacklist : rejettes ceux dont le serveur est mal configuré (par exemple ceux qui annoncent dans le HELO un nom d’hôte inexistant dans la zone DNS, comme c’est précisément le cas de l’auteur du message initial) et ne respecte pas les RFC.
Libre à toi de penser que quelqu’un dont l’adresse est blacklistée est un incompétent. Pour ma part, je pense qu’un administrateur qui pense avoir fait son travail de lutte contre le spam en ayant délégué cette tâche à une DNSBL est un incompétent à qui on n’aurait jamais du confier l’administration d’un serveur mail.
[^] # Re: Ce ne sont pas forcément les "gros" qui posent problème…
Posté par Kerro . Évalué à 0.
Tu veux dire qu'une personne compétente va utiliser un serveur venant d'un hébergeur non adapté ?
Ah ok.
J'imagine que tu es au courant que les serveurs d'emails c'est devenu un métier à part entière depuis, pfiou, 10 ans.
Donc forcément prendre un dédié chez Online/OVH/etc ça ne fait pas partie du job. Mais alors pas du tout.
Et ce n'est pas parce que beaucoup le font que ça transforme magiquement la bêtise en chose bien.
Cela dit, j'ai clairement indiqué que c'est un avis personnel.
Libre à toi de ne pas utiliser les vilaines listes noires trop strictes.
Et libre à moi de ne pas recevoir d'emails non désirés (oui enfin, d'en limiter la réception).
# mail-tester
Posté par rockn (site web personnel) . Évalué à 1.
J'ai fais un test avec le site mail-tester.com
La note est pas terrible : 4.7/10
Dans les problèmes rencontrés il y a :
DKIM, DMARC : ça semble surmontable, faudra juste que je trouve des tutos pour les mettre en place.
Ce qui m'inquiète plus c'est :
En moins grave (à priori) il y a ce problème :
[^] # Re: mail-tester
Posté par gouttegd . Évalué à 4.
C’est auprès de ton hébergeur DNS (1 and 1 apparemment) que ça se gère, pas sur ton serveur.
Ce qui compte est que le nom d’hôte (celui annoncé par Postfix dans le HELO) corresponde à un nom publié dans le DNS et associé à une IP.
En l’état, ta machine s’annonce comme
freecadfrance.freecad-france.com
, mais ce nom n’existe pas dans ta zone DNS. L’adresse IP est directement associée au domainefreecad-france.com
.De deux choses l’une : ou bien tu configures Postfix pour s’annoncer comme
freecad-france.com
(optionmyhostname
), ou bien tu ajoutes un A (et un AAAA, puisque tu sembles avoir une connectivité IPv6) dans ta zone DNS pour le nomfreecadfrance.freecad-france.com
.Ici, le récepteur tente un Foward-Confirmed Reverse DNS : il cherche le nom associé à l’adresse IP de ta machine (reverse DNS), puis il cherche à résoudre ce nom pour vérifier qu’il retombe bien sur l’IP de ta machine (forward confirmation).
Dans ton cas, ça donne ça :
« Idéalement » (entre guillemets parce que l’intérêt du FCrDNS dans la lutte contre le spam est discutable), il faudrait que le reverse DNS renvoie le nom de ta machine (
freecad-france.com
).Le problème, c’est que le reverse DNS dépend entièrement de ton hébergeur. Certains permettent de le modifier à sa guise, d’autres non.
[^] # Re: mail-tester
Posté par rockn (site web personnel) . Évalué à 2.
Grand merci de nouveau :)
Alors pour les DNS je sais où et comment le changer mais je ne peux modifier que les enregistrements A et AAAA que pour le nom de domaine donc freecad-france.com.
Du coup je vais plutôt regarder comment changer la config postfix.
Pour le reverse DNS, j'ai effectivement la possibilité de configurer ça auprès de l'hébergeur.
Et si comprend bien j'ai juste à renseigner freecad-france.com comme reverse.
[^] # Re: mail-tester
Posté par gouttegd . Évalué à 4.
C’est ça. Le même nom que celui annoncé par Postfix (une fois que tu l’auras configuré en ce sens).
[^] # Re: mail-tester
Posté par NeoX . Évalué à 2.
ben c'est au meme endroit sauf qu'il faut AJOUTER un enregitreement A
qui sera freecad.freecad-france.com et pointera sur ton IP
sinon je ferais un domaine plus probleme avec
mail.freecad-france.com qui aurait l'enregistrement A qui va bien
dans ta config postfix tu fais reference à ce domaine
ainsi, si demain tu as 2 VMs, une pour le web, une pour le mail,
tu n'auras qu'à changer le A du domaine mail.freecad-france.com
[^] # Re: mail-tester
Posté par rockn (site web personnel) . Évalué à 1.
Ha ! je viens effectivement de voir que je pouvais changer les DNS d'un sous domaine.
Donc je note que je peux faire pointer myhostname sur un sous domaine mail.freecad-france.com que j'aurais préalablement créé.
Je ne comprenais pas comment je pouvais avoir deux enregistrements A pour un même domaine.
[^] # Re: mail-tester
Posté par NeoX . Évalué à 2.
en faisant autant de ligne A que d'adresse IP
exemple avec google.fr qui a tout plein d'enregistrement (la serie 159)
[^] # Re: mail-tester
Posté par rockn (site web personnel) . Évalué à 1.
Ha ben oui, je vois ça :)
Il semble qu'avec mon registrar je ne puisse pas faire ça.
Peut être ceci :
explique cela…
[^] # Re: mail-tester
Posté par NeoX . Évalué à 2.
oui et non
tu peux en effet faire un CNAME (un alias en somme)
mais tu dois aussi pouvoir faire
mail.example.org IN A 10.2.3.4
si tu ne peux pas, peut-etre qu'il y a une option 'avancée' pour le faire, sinon tu peux changer de registrar ;)
[^] # Re: mail-tester
Posté par rockn (site web personnel) . Évalué à 1.
C'pas faux ;) Bon pour l'instant ça marche (pour mon usage) et c'est pas les plus cher il me semble.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.