Aller au contenu

Activation inexpliquée des serveurs MX de secours


Messages recommandés

  • Réponses 109
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Dommage que ce ne soit pas mentionné dans les tutoriels, c’est la partie la plus importante dans la configuration d’un serveur mail.

Je ferai un bref résumé de ce qu’il faut configurer ce soir si j’ai le temps. N’hésitez pas à abuser de Wikipedia sur ce sujet, le plus important étant de comprendre à quoi ça sert.

Lien vers le commentaire
Partager sur d’autres sites

@alan.dub

Bonjour,

Merci de ta proposition. C'est sympa 😀

Entre temps, en fouillant la toile, je viens de découvrir qu'a priori on peut s'en sortir en créant une clé DKIM pour son propre domaine chez notre ami Google : voir ici. Le guide semble bien fait et très explicite.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@pluton212+

Effectivement avec ce chemin c'est bien mieux ! MERCI beaucoup.

De toutes façons, l'idée de passer par Google aurait pu être bonne si j'avais eu un compte super-administrateur. Comme ce n'est pas le cas, j'oublie donc ce que j'avais cru être une solution.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Le SPF sert à indiquer les adresses des hôtes autorisées à envoyer des emails pour vos domaines. C'est l'un des mécanismes le plus important lorsqu'on met en place un serveur mail.

Comme la configuration sur un NAS Synology est souvent faite avec un seul domaine et un seul serveur principal, l'adresse à définir correspond à l'enregistrement MX du domaine. L'intérêt de choisir cet enregistrement est que le SPF suivra implicitement les modifications des MX :

v=spf1 mx -all

ou

v=spf1 +mx -all

(l'opérateur "+" est implicite devant les directives qui en sont dépourvues)

J'en ai vu qui utilisaient des SPF un peu exotiques comme "v=spf1 mx a 1.2.3.4 -all" où "a" est l'enregistrement racine A du domaine et "1.2.3.4" l'adresse IP publique. Lorsque tous pointent vers la même adresse IP, c'est évidemment redondant et totalement inutile (voire dangereux).

Attention à l'opérateur devant la directive "all", si vous êtes en phase de configuration ou de test de votre serveur, utilisez l'opérateur "~" (tilde) qui vous évitera des blocages intempestifs :

v=spf1 mx ~all

Bien sûr il est possible d'ajouter d'autres serveurs que vous voulez autoriser à envoyer des mails pour vos domaines, il existe alors différentes façon des les déclarer. Dans le cas d'un serveur MX de secours chez OVH, ce dont il est question dans ce sujet, on inclut l'enregistrement SPF d'OVH et rien de plus :

v=spf1 mx include:mx.ovh.com -all

Si vous utilisez plusieurs domaines et que l'enregistrement SPF est identique pour tous ces domaines, la directive "redirect" permet de faire pointer l'enregistrement d'un domaine vers celui d'un autre domaine. Ainsi, en cas de modification du SPF, la modification sera appliquée à tous les autres domaines :

v=spf1 redirect=spf.domain.tld

D'où la bonne pratique de le faire même si vous ne possédez qu'un seul domaine pour anticiper l'acquisition d'autres domaines ultérieurement :

spf.domainA.tld TXT "v=spf1 mx -all"
domainA.tld TXT "v=spf1 redirect=spf.domainA.tld"

domainB.tld TXT "v=spf1 redirect=spf.domainA.tld"
domainC.tld TXT "v=spf1 redirect=spf.domainA.tld"
domainD.tld TXT "v=spf1 redirect=spf.domainA.tld"
...

Pour terminer, vous pouvez résoudre récursivement les enregistrements SPF (TXT) pour vérifier les hôtes autorisés. Un exemple avec mx.ovh.com :

> nslookup -type=TXT mx.ovh.com

mx.ovh.com	text = "v=spf1 ptr:mail-out.ovh.net ptr:mail.ovh.net ip4:8.33.137.105/32 ip4:192.99.77.81/32 ?all"

> nslookup mail-out.ovh.net

Name:	mail-out.ovh.net
Address: 87.98.222.13

> nslookup mail.ovh.net

Name:	mail.ovh.net
Address: 193.70.18.148

 

Concernant l'enregistrement DMARC, il sert à indiquer la politique de filtrage à appliquer aux messages et à définir les destinataires des rapports. Là chacun configure selon ses besoins. Pour ma part, j'applique une politique stricte :

_dmarc.domain.tld TXT "v=DMARC1; aspf=s; adkim=s; p=quarantine; pct=100; ruf=mailto:posmaster@domain.tld; rua=mailto:posmaster@domain.tld!100M;"

Si vous voulez des détails, je ne vais pas paraphraser Wikipedia.

Modifié par PiwiLAbruti
Lien vers le commentaire
Partager sur d’autres sites

Merci @PiwiLAbruti pour ces informations … c'est maintenant un peu moins nébuleux pour moi !

Au test mail-tester mon serveur à 10/10  (les paramètres de la zone DNS SPF, DKIM et DMARC ont été modifiés il y a 24h) mais je rencontre toujours des problèmes de réception des mails gmail
Concernant la surveillance de la connexion avec le serveur google (ping toutes les minutes) aucune interruption sur la journée d'hier

Lien vers le commentaire
Partager sur d’autres sites

Le 13/06/2020 à 10:50, alan.dub a dit :

Perso, ça a été mon plus gros problème à la mise en place de mon serveur mail : attendre que la propagation se fasse !

J’ai du perdre deux mois à chercher pour rien, de mémoire, à cause de ça 😅

Supprimer, recommencer, supprimer, recommencer... ainsi de suite 😅 

Souvenirs souvenirs (page 2) 😅

Lien vers le commentaire
Partager sur d’autres sites

@pluton212+

Merci pour l'explication. Tu confirme ce que je craignais : avec cette option activée c'est la porte ouverte aux usurpateurs. Il suffit ensuite d'une seconde d'inattention et un clic malheureux dans un eMail de ce genre pour se retrouver dans la panade 😩

Alors, NON pour moi cela restera désactivé.

@PiwiLAbruti

Excellente explication, tu devrais en produire plus souvent des comme celle-là ! 🤭 En tout cas MERCI. C'était très enrichissant !

@alan.dub

Il y a 1 heure, alan.dub a dit :

Perso, ça a été mon plus gros problème à la mise en place de mon serveur mail : attendre que la propagation se fasse !

Cela aura été aussi le mien ! A l'usage, c'est une vraie plaie ce truc 🤥

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 13 heures, oracle7 a dit :

@pluton212+

Merci pour l'explication. Tu confirme ce que je craignais : avec cette option activée c'est la porte ouverte aux usurpateurs. Il suffit ensuite d'une seconde d'inattention et un clic malheureux dans un eMail de ce genre pour se retrouver dans la panade 😩

Alors, NON pour moi cela restera désactivé.

Ça permet de bloquer les adresses insistantes.

Lien vers le commentaire
Partager sur d’autres sites

@Thierry94

il y a 22 minutes, PiwiLAbruti a dit :

Tu n’es pas obligé d’utiliser postmaster. N’importe quelle adresse fonctionnera.

@PiwiLAbruti a raison, j'ai mis personnellement  l'@Mail que j'utilise (configurée) sur le serveur MailPlus Server. Cela marche nickel.

En ce qui concerne l'enregistrement SPF, je te conseille d'y inclure toutes les @IP du serveur SMTP relais que tu utilises. Comme cela il n'y a plus de messages dans mail-tester.com comme quoi ton serveur SMTP n'est pas authentifié pour utiliser ton @MAIL.

Par ailleurs si cela peut aider, voici 3 sites (il y en a sûrement d'autres) qui permettent respectivement de tester individuellement les enregistrements SPF, DKIM et DMARC.

Après ces tests et ajustements éventuels, pour ma part, j'ai obtenu du premier coup un 10/10 avec mail-tester.com.

  1. SPF : https://www.kitterman.com/spf/validate.html?
  2. DKIM : https://www.dmarcanalyzer.com/fr/dkim-4/verification-de-dkim-record/
  3. DMARC : https://www.dmarcanalyzer.com/fr/dmarc-4/verification-de-dmarc-record/

Le dernier site permet aussi la vérification SPF mais le premier suscité me paraît mieux. Ce n'est que mon avis ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

@pluton212+

Bonjour,

Je suis chez Orange et je n'ai pas pu modifié le rDNS car inaccessible chez eux pour devancer ta question.

C'est d'ailleurs ce que me dit le rapport de mail-tester.com dans un message tagué orange mais non bloquant

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.