[TUTO] Serveur MailPlus DSM6

[unPixel]

Bah il n'y a pas de secret, soit le mail ne part pas depuis le serveur de l'expediteur, soit il part mais le serveur destinataire n'en veut pas et le refuse pour différentes raisons.

Il faut maintenant ou se trouve le soucis et pourquoi !

[alan.dub]

Je crois avoir trouvé (pour une fois 🤣).

Je viens de :

- Virer ce que j'avais en liste blanche.

- Désactiver mon SPF.

Et là ça fonctionne pour tout le monde (Amazon, Apple et autre).

Je reçois bien les mails.

Donc est-ce que cela vient de la gestion coté Synology ou OVH ?

Sur OVH, j'ai ceci :

En suivant cette page:

http://www.openspf.org/SPF_Record_Syntax

Ne devrais-je pas plutôt mettre simplement :

"v=spf1 +all"

Au lieu de ip4:monipfixe ?

Mais si je ne dis pas de bêtise, normalement le SPF est là pour l'expédition des mails depuis mon serveur, pas le réception...

Bref, je ne comprends pas pourquoi je peux recevoir certains mails uniquement lorsque je désactive ce fameux SPF...

Modifié le 6 octobre 2018 par alan.dub

[unPixel]

Je te laisse lire ça et ça répond à tes questions :

 

https://support.combell.com/fr/quest-ce-quun-enregistrement-spf-comment-puis-je-creer-un-enregistrement-spf/77

[alan.dub]

Ça coïncide avec ce que je pensais savoir au début 😉

Donc "v=spf1 +all" est une grosse bêtise 🤣

D'ailleurs au lieu de mettre "v=spf1 a mx ip4:monipfixe ~all"

Je devrais peut-être mieux mettre "v=spf1 a mx ip4:monipfixe -all"

Bref, je ne vois pas d'ou vient mon problème 😞 

Par contre dans ton lieu il est indiqué en fin de page : "v=spf1 mx a ip4:monipfixe ~all"

Un problème d'inversion ? Je n'y crois pas non plus 😞 

Pour rappel, voici ce que j'ai dans OVH :

Modifié le 6 octobre 2018 par alan.dub

[alan.dub]

De retour sur ton tuto, tu indiques ceci :

"v=spf1 a mx ip4:votreippublique include:mx.ovh.com ~all"

Dois-je réellement ajouter la partie include:mx.ovh.com ?

Parce que la seule entrée MX que j'ai chez OVH c'est celle-ci :

Idem coté DNS Server :

Modifié le 6 octobre 2018 par alan.dub

[unPixel]

Il suffit de suivre le tuto !

[alan.dub]

La modification est faite, je vais attendre un peu pour la propagation 😉 

[alan.dub]

Bon et bien malheureusement avec :

"v=spf1 a mx ip4:monipfixe include:mx.ovh.com ~all"

Ca ne marche pas mieux, je ne reçois pas tous les mails, certains oui mais pas tous.

 

Sur mail-tester, je suis toujours à 10/10 mais je me pose une autre question...

Dans OVH, dois-je mettre :

Ou ça :

Sachant que sur OVH, mon mx est : 

Sachant que :

- sur mon Synology DNS Server, mon mx est : mail.ndd.tld

- sur mon reverse DNS Free j'ai : mail.ndd.tld

 

Je sais que normalement, en suivant le tuto, je dois être bon, mais j'ai quand même un truc qui bloque si j'active le SPF sur le "Server de messagerie" du Synology.

Modifié le 7 octobre 2018 par alan.dub

[kerod]

J’ai ceci chez moi et aucun problème.

 

"v=spf1 a mx ip4:ip  include:mx.ovh.com ~all"

"v=DMARC1; p=reject; rua=mailto:xxx@icloud.com; ruf=mailto:xxx@icloud.com; fo=1; adkim=s; aspf=s; pct=100; ri=86400; sp=reject"

 

je mets pas le dkim ici mais j’en ai bien un.

[alan.dub]

Mon SPF est : 

"v=spf1 a mx ip4:monipfixe include:mx.ovh.com ~all"

Mon DMARC est : 

"v=DMARC1; p=quarantine; pct=20; rua=mailto:xxx@ndd.tld."

Mon DMARC est différent mais accepté par mail-tester... penses-tu réellement que cela puisse venir de là ?

Je ne vois pas pourquoi si c'est le cas (SPF vs DMARC) ^^

 

[alan.dub]

Ah... par contre effectivement le DMARC parle du SPF avec aspf

Info wiki :

aspf	Règle pour le SPF

Je vais modifier mon DMARC pour voir en ceci :

"v=DMARC1; p=reject; rua=mailto:xxx@ndd.tld; ruf=mailto:xxx@ndd.tld; fo=1; adkim=s; aspf=s; pct=100; ri=86400; sp=reject"

Mais apparement le aspf est facultatif 😞 

Je vais attendre 24 heures pour voir (mais certainement moins ^^).

Sinon pour tout le reste je suis exactement comme sur ton tuto (coté OVH, coté DNS Server, coté Reverse DNS Free)

Il n'y avait que les SPF et DMARC que j'avais simplifié.

[alan.dub]

Bon, quoi que je fasse, ça merde dès que l'option SPF est coché sur le Synology.

J'suis pommé et je suis toujours à 10/10 sur mail-tester, que mes SPF ou DMARC soient simplifiés on non.

J'ai vraiment l'impression que le problème est ici, "aux portes de mon Synology".

[alan.dub]

Je n'aurais pas un petit quelque chose à vérifier en SSH sur "MailServer" ?

Ici il en est question :

 

Mais comme l'indique Fenrir dans ses messages, le SPF n'a aucune influence sur l'envoi et la réception des mails :

le spf dans ta capture c'est pour TON antispam, ça n'a aucune incidence sur l'envoi ou la réception, contrairement au dkim qui doit signer les messages

C'est quand même con d'être bloqué sur un détail que je n'arrive pas à expliquer et encore moi à "trouver".

Modifié le 7 octobre 2018 par alan.dub

[alan.dub]

Pour info, je viens de me souvenir que dans roundcube (c'est encore le cas aujourd'hui), en haut à droite de la page il y a d'écrit l'adresse mail du compte connecté.

Et là j'ai xxx@mail.ndd.tld

Ca aussi ce n'est pas normale 😞 

[PiwiLAbruti]

Au lieu de tester toutes les possibilités de configuration d'un SPF, il serait peut-être temps de comprendre à quoi ça sert et pourquoi on lui donne tel ou tel paramètre... 🙄

L'enregistrement SPF sert à vérifier que l'adresse du serveur d'expédition est bien autorisée à envoyer des messages pour ton domaine, et à appliquer une action pour les messages non-conformes.

Presque tout est expliqué sur la page Wikipedia que je te conseille de lire dans son intégralité et dans l'ordre.

 

Quelque détails sur ton SPF "v=spf1 a mx ip4:monipfixe include:mx.ovh.com ~all" :

• "a" veut dire que toutes les adresses IP des enregistrements de type A de ton domaine sont autorisées.
• "mx" veut dire la même chose que "a" mais avec les enregistrements de type MX.
• Si "a" et/ou "mx" pointent déjà vers ton adresse IP publique, il est inutile de déclarer un "ip4" vers ton adresse IP publique (redondance).
• "include:mx.ovh.com" ajoute l'entrée SPF d'OVH à ton SPF (voir détails ci-dessous). En as-tu réellement besoin ?
• Conserve "~all" le temps de faire tes tests.

1. Dans un premier temps, ton SPF devrait ressembler à "v=spf1 mx ~all" si l'enregistrement MX de ton domaine pointe bien vers ton adresse IP publique.
2. Si d'autres serveurs autorisés pour l'expédition de messages sont nécessaires, tu peux les ajouter.
3. Attends la propagation. En gros, teste le lendemain de la modification. Si tu es pressé, tu peux .
4. Fais tes tests en vérifiant la validation du SPF dans les en-têtes des messages reçus par les destinataires.
5. Si tout se passe bien, tu pourras basculer vers "v=spf1 mx -all" ou continuer de faire joujou avec les autres paramètres facultatifs (toujours avec "~all").

 

Détails du SPF d'OVH :

>nslookup -type=TXT mx.ovh.com

mx.ovh.com      text =

        "v=spf1 ptr:mail-out.ovh.net ptr:mail.ovh.net ip4:8.33.137.105/32 ip4:192.99.77.81/32 ?all"

 

[alan.dub]

Désolé pour le retard j'étais en déplacement professionnel (Italie).

 

Donc !

Merci, mais malheureusement ;-) depuis le temps je sais à quoi sert le protection SPF ^^

Mon SPF est bon depuis le début, j'ai fait les essais avec SPF simplifié puis redondant, mais je suis toujours obligé de décocher le SPF sur le NAS pour recevoir.

La grande question c'est : 

Pourquoi ? (sachant que SPF et réception n'ont aucun lien !)

Je vais remodifier mon SPF ce soir pour qu'il soit le plus simple possible et je vérifierai le fonctionnement samedi ;-)

Je vous tiens au courant pour la suite.

 

[alan.dub]

Pour info, mon nouveau SPF est : "v=spf1 a ~all"

Mon domaine possède deux entrée "a" pointant sur mon IP Fixe Publique :

ndd.tld - 0 - a - XX.XX.XX.XX

mail.ndd.tld - 0 - a - XX.XX.XX.XX

 

A samedi donc 🙏

[alan.dub]

Nous ne sommes pas Samedi mais pour l'instant... ça ne marche toujours pas 😞 

Si je désactive le SPF,  je reçois les mails.

Si je le réactive, ça bloque la réception... 🤪

Et je suis toujours à 10/10 sur mail-tester.

Encore une fois j'insiste sur le fait que si j'utilise :

xxx@ndd.tld ou xxx@mail.ndd.tld

Ca arrive dans la même boite 🙄

C'est normal ?

Pour info (c'est peut être pour cette raison), j'ai deux entrées "A" sur mon domaine :

ndd.tld - 0 - A - XX.XX.XX.XX

mail.ndd.tld - 0 - A - XX.XX.XX.XX

Modifié le 12 octobre 2018 par alan.dub

[alan.dub]

Bonjour à tous !

Donc nous sommes samedi et comme hier, ça ne fonctionne pas (comme précédemment cité) 😞 

Là je suis perdu, je ne vois vraiment pas pourquoi le SPF vient mettre son bazar dans la réception de certains mails venant de certains domaines 😞 

Pour info, voici mes info sur OVH :

Pour le SPF, dois-je mettre NDD.TLD ou MAIL.NDD.TLD ?

C'est peut être une question con mais je la repose quand même ^^

Normalement c'est NDD.TLD mais bon...

Modifié le 13 octobre 2018 par alan.dub

[alan.dub]

Bon, c'est toujours pareil, j'ai même tenté de supprimer la ligne TXT du SPF pour en créer une autre au "format" SPF sous OVH.

D'après eux ça revient au même, le seul truc, c'est qu'en passant par là, on a un petit guide âne pour la création du SPF.

Bref, je vais m'arrêter là et laisser le SPF de décocher dans Server Mail du Synology.

 

Pour info, lorsque je fais un test via mail-tester (toujours avec une note de 10/10), ce dernier me parle bien de mon SPF.

Donc avec cette indication, je pars du principe que mon SPF et bien visible par les autres serveurs de messagerie (logique).

 

En tout cas merci à tout le monde pour toutes vos info !

Ce week-end, je commence (et termine) les changements d'adresses mail de tout nos comptes.

Ca va être tellement... fun... à faire 😫

Modifié le 16 octobre 2018 par alan.dub

[kerod]

Tu as testé avec mxtoolbox pour voir ce que ça donne ?

je parle spf, dmarc, dkim...

[freelnet]

Bonjour,

Je dispose de 2 NAS Synology.

Chacun dispose de 5 licences Mail Plus Server.

Est-il possible de regrouper mes 10 licences sur l'un des 2 serveurs ?

Merci

 

[unPixel]

Bonjour,

Je ne pense pas. Mais c'est plutôt Synology qu'il faut contacter pour cette question 😉

[Mic13710]

Inutile de contacter Synology pour ça. Tout comme pour les 2 licences gratuites des caméras, Les licences Mail Plus sont attachés au NAS et ne sont donc pas exportables.

[alan.dub]

Le 17/10/2018 à 08:30, kerod a dit :

Tu as testé avec mxtoolbox pour voir ce que ça donne ?

je parle spf, dmarc, dkim...

Tout est au vert 😉