MailPlus : reverse DNS Free non fonctionnel et rejet de mails par certains serveurs

[alan.dub]

Et bien voila 😅

[Pascalou59]

Il y a 5 heures, alan.dub a dit :

Sauf que OVH ne gère que la norme SPF (pas DMARC ni DKIM).

C’est direction SPAM quasi certaine. 
Le résultat via mail-tester donne un résultat tout pourri (7/10 de mémoire).

 

Bonjour

Sauf que pour moi mail tester me donne une bonne note avec l'hebergement chez eux , je n'ai jamais été classé en spam

Votre message a réussi le test DMARC

mais le seul point est Votre message n'est pas signé avec DKIM

Modifié le 21 avril 2021 par Pascalou59

[adelac]

@Pascalou59, le problème du classement en spam est qu'il dépend énormément des politiques implémentées dans chaque serveur.

Regardez par exemple la politique de gmx.de : https://www.gmx.net/mail/senderguidelines/ : adresse non statique bannie (donc par exemple les IP Free bien qu'elles soient fixes), le reverse DNS, spamhaus clean, etc, etc.

Ca me semble être le cas extrème !

 

[pluton212+]

Il y a 9 heures, alan.dub a dit :

Non Pluton, c’est impossible. 
Je le suis aussi (je l’ai indiqué sur un topic de ce forum).

Impossible de les contacter et aucune requête disponible pour ce supprimer de leur liste.

La encore, perso ça ne me bloque pas, tout le monde reçoit nos mails.

Pour les domaines Microsoft, c’est une autre histoire.

Pour l’utilisation du relai, oui ça supprime le problème, mais dans ce cas nous ne sommes plus « propriétaire » de nos envois 😕

Je me suis inscrit et j'ai suivi la procédure de blanchiment.
Tout est OK l'adresse est sortie du bloc ip mais elle reste moisie...

Le bloc ip est dans la blacklist depuis plus de 10 ans !

Free m'ont refilé une ip de mer*e après m'avoir privé de la précédente qui marchait parfaitement.

 

[alan.dub]

Et oui 🙁

[.Shad.]

Il y a 4 heures, Pascalou59 a dit :

Votre message a réussi le test DMARC

Si je ne dis pas de bêtise, le test DMARC réussit si un des deux, DKIM ou SPF, est fonctionnel.

[adelac]

Comme personne ne m'avait répondu sur ce qu'il fallait modifier d'autre quand on utilise un relais, je vais le faire moi-même pour servir à ceux qui pourraient lire cette conversation plus tard.

Déjà je n'ai pas réussi à ne relayer que pour les adresses qui me posaient des problèmes de reverse DNS et d'IP soit disant non fixe. La seule solution que j'ai réussi à faire fonctionner est d'utiliser le relais pour la totalité des emails sortants.

Personnellement j'ai utilisé le serveur SMTP de Free comme relais, avec TLS, le port 587 et une authentification.

Ensuite il a fallu ajouter dans mon DNS avec v=spf1 les deux adresses IP du serveur smtp.free.fr et modifier le -all en ~all. J'ai fait ça en suivant les instructions données par mail-tester.com.

Maintenant j'obtiens une note de 10/10 à mail-tester.com.

[alan.dub]

Oui tu as tout bien fait 😉

Excuse-nous de ne pas t’avoir répondu, nous sommes un peu partis tout azimut 😅

Maintenant tu gères ta réception, mais c’est free qui gère tes envois.

C’est un choix qui « peut » se défendre.

Modifié le 25 avril 2021 par alan.dub

[adelac]

Il y a 19 heures, alan.dub a dit :

Maintenant tu gères ta réception, mais c’est free qui gère tes envois.

C’est un choix qui « peut » se défendre.

Je n'ai pas su faire mieux !

C'est pour limiter le nombre d'emails passant par Free que j'ai essayé d'utiliser Remise de message/Delivery/Exception de relais/Liste des hôtes actifs, mais j'ai eu l'impression de que ça ne fonctionnait pas. J'ai peut-être raté quelque chose.

[PiwiLAbruti]

Il y a 4 heures, adelac a dit :

C'est pour limiter le nombre d'emails passant par Free que j'ai essayé d'utiliser Remise de message/Delivery/Exception de relais/Liste des hôtes actifs

Je n'avais même pas fait attention que MailPlus Server savait le faire. J'étais persuadé qu'il ne proposait pas de définir un SMTP en fonction des adresses/domaines utilisés. Merci pour la découverte !

Il y a 4 heures, adelac a dit :

[...], mais j'ai eu l'impression de que ça ne fonctionnait pas. J'ai peut-être raté quelque chose.

Quelles adresses Free as-tu renseignées dans le SPF ?

----

J'ai paramétré une exception pour forcer les domaines Microsoft (outlook.com, hotmail.fr, hotmail.com, ...) à passer par le SMTP de Free (tout le reste étant envoyé directement depuis MailPlus Server), ça fonctionne parfaitement.

Modifié le 26 avril 2021 par PiwiLAbruti

[oracle7]

@adelac

Bonjour,

Le 25/04/2021 à 10:12, adelac a dit :

Personnellement j'ai utilisé le serveur SMTP de Free comme relais, avec TLS, le port 587 et une authentification.

Ensuite il a fallu ajouter dans mon DNS avec v=spf1 les deux adresses IP du serveur smtp.free.fr et modifier le -all en ~all. J'ai fait ça en suivant les instructions données par mail-tester.com.

Je fais exactement la même chose avec le relais smtp.orange.fr et la plage d'@IP des serveurs smtp orange dans mon SPF et j'ai aussi une une note de 10/10 à mail-tester.com

Cordialement

oracle7😉

[PiwiLAbruti]

@oracle7 Quelle plage d'adresses IP Orange as-tu renseignées dans ton SPF ?

[oracle7]

@PiwiLAbruti

Bonjour,

Voici mon SPF : "v=spf1 mx a:smtp.smtpout.orange.fr ip4:80.12.242.123/29 ip4:80.12.242.128/29 include:mx.ovh.com ~all"

Cordialement

oracle7😉

[PiwiLAbruti]

Il n'y a toujours pas de SPF sur le domaine orange.fr ?! (ni sur wanadoo.fr d'ailleurs)

> nslookup -type=TXT orange.fr
orange.fr  text = "google-site-verification=wVfmItsRg98bVMcfUEzmeLzPIkoxoD2yHupbXNHa76M"
orange.fr  text = "facebook-domain-verification=z5whlxjhtfyfgqgchltv10zt2rebiz"
orange.fr  text = "google-site-verification=c4OfrczLMSJm4DyV_ROkN-H3IoVB-up0QI0FfErDj2Y"
orange.fr  text = "google-site-verification=9xjSUpzPfzPK-jOBA3a4tFB3I_yybuVsWQ4QjMRrKfk"

L'enregistrement smtp.smtpout.orange.fr renvoie bien les adresses IP des serveurs sortants :

> nslookup smtp.smtpout.orange.fr
smtp.smtpout.orange.fr
  80.12.242.126
  80.12.242.125
  80.12.242.124
  80.12.242.123
  80.12.242.134
  80.12.242.133
  80.12.242.132
  80.12.242.130
  80.12.242.129
  80.12.242.128
  80.12.242.127

Les parties ip4:80.12.242.123/29 et ip4:80.12.242.128/29 de ton SPF sont donc redondantes (en plus d'être trop permissives : [120-135] au lieu de [123-134]) avec a:smtp.smtpout.orange.fr qui contient déjà les adresses strictement nécessaires. Il vaudrait mieux les retirer.

Si tu as terminé de configurer ton serveur mail, et que tout fonctionne correctement, il faut passer ~all à -all.

--------

Mise à jour du 19/09/2022 : Orange a créé des enregistrements SPF pour ses domaines orange.fr et wanadoo.fr 🍾🥂🥳

> nslookup -type=TXT orange.fr
orange.fr       text = "v=spf1 include:_spf_gp.orange.fr include:spf.email-control.orange-business.com include:_spf_gpf.orange.fr include:_spf_other.orange.fr ?all"

> nslookup -type=TXT wanadoo.fr
wanadoo.fr      text = "v=spf1 include:_spf_gp.wanadoo.fr include:spf.email-control.orange-business.com include:_spf_gpf.wanadoo.fr include:_spf_other.wanadoo.fr ?all"

Par contre, les réseaux autorisés peuvent être (très) larges, et certaines parties de ces enregistrements ne sont pas pertinentes pour l'usage qu'on en a ici (Orange Business, ...).

Si vous souhaitez ajouter le SPF Orange dans votre propre enregistrement, ajoutez simplement :

include:_spf_gp.orange.fr

_spf_gp.orange.fr et _spf_gp.wanadoo.fr sont identiques, donc utilisez celui que vous voulez mais pas les deux. Ces derniers pointent vers les réseaux suivants :

80.12.242.0/25
80.12.242.128/29
193.252.23.210/31
193.252.23.212/30
193.252.23.66
193.252.22.0/25
193.252.22.210/31
193.252.22.212/30

Au passage, l'enregistrement smtp.smtpout.orange.fr a également changé et contient plus d'adresses qu'auparavant ([11-30], [50-53], [123-135]) :

> nslookup smtp.smtpout.orange.fr
Addresses:80.12.242.11
          80.12.242.12
          80.12.242.13
          80.12.242.14
          80.12.242.15
          80.12.242.16
          80.12.242.17
          80.12.242.18
          80.12.242.19
          80.12.242.20
          80.12.242.21
          80.12.242.22
          80.12.242.23
          80.12.242.24
          80.12.242.25
          80.12.242.26
          80.12.242.27
          80.12.242.28
          80.12.242.29
          80.12.242.30
          80.12.242.50
          80.12.242.51
          80.12.242.52
          80.12.242.53
          80.12.242.123
          80.12.242.124
          80.12.242.125
          80.12.242.126
          80.12.242.127
          80.12.242.128
          80.12.242.129
          80.12.242.130
          80.12.242.131
          80.12.242.132
          80.12.242.133
          80.12.242.134
          80.12.242.135
          

Je n'utilise pas les serveurs SMTP d'Orange, mais cette solution est plus propre que celle donnée précédemment. Tu peux mettre à jour ton enregistrement SPF @oracle7 😉.

Modifié le 19 septembre 2022 par PiwiLAbruti
Mise à jour

[oracle7]

@PiwiLAbruti

Bonjour,

il y a 6 minutes, PiwiLAbruti a dit :

Les parties ip4:80.12.242.123/29 et ip4:80.12.242.128/29 de ton SPF sont donc redondantes (en plus d'être trop permissives : [120-135] au lieu de [123-134]) avec a:smtp.smtpout.orange.fr qui contient déjà les adresses strictement nécessaires. Il vaudrait mieux les retirer.

Oui tu as tout à fait raison, je suis d'accord avec toi mais il y a un MAIS, j'ai ajouté ces plages car :

1. Sur le conseil d'amélioration donné par le résultat de Mail-tester.com.
2. Je ne savais pas et/ou pas réussi à définir un CDIR qui "encadrait" précisément la dite plage de 123 à 134. Si tu sais, je suis preneur.
3. AVANT d'ajouter ces deux plages au SPF, j'avais un score de 6,3/10 lors de mon dernier test, APRES l'ajout je suis passé à 10/10. Voilà c'est tout ...

il y a 13 minutes, PiwiLAbruti a dit :

Si tu as terminé de configurer ton serveur mail, et que tout fonctionne correctement, il faut passer ~all à -all.

Oui cela je vais le faire, j'avais simplement oublié ... Merci du rappel.

Cordialement

oracle7😉

[adelac]

Il y a 3 heures, PiwiLAbruti a dit :

Je n'avais même pas fait attention que MailPlus Server savait le faire. J'étais persuadé qu'il ne proposait pas de définir un SMTP en fonction des adresses/domaines utilisés. Merci pour la découverte !

Ca existe, mais j'ai l'impression que ça ne fonctionne pas : j'avais limité l'utilisation des exceptions à *@srv1.mail-tester.com et ça envoyait quand même avec le NAS au lieu du relais Free. Donc finalement je relaye tous les emails sortants.

 

Il y a 3 heures, PiwiLAbruti a dit :

Quelles adresses Free as-tu renseignées dans le SPF ?

J'ai fait quelques tests avec mail-tester qui m'a dit d'ajouter 212.27.42.2 et 212.27.42.3. Je ne sais pas si il y en a d'autres à ajouter, mais pour l'instant ça fonctionne comme ça.

[PiwiLAbruti]

il y a 49 minutes, oracle7 a dit :

1. Sur le conseil d'amélioration donné par le résultat de Mail-tester.com.

C'est surprenant qu'ils conseillent d'entrer des adresses IP plutôt qu'un enregistrement A (ou AAAA) qui regroupe toutes ces adresses. D'un autre côté tu ne devrais avoir qu'à ajouter un include:_spf.orange.fr mais cet enregistrement n'existe pas. Donc le principal problème reste Orange.

il y a 53 minutes, oracle7 a dit :

Je ne savais pas et/ou pas réussi à définir un CDIR qui "encadrait" précisément la dite plage de 123 à 134. Si tu sais, je suis preneur.

C'est simple, il n'y a pas de notation CIDR équivalente. Chaque adresse doit être définie individuellement. J'aurais tendance à créer un enregistrement dédié pour les adresses IP Oranges :

spf-orange.domain.tld  text="v=spf1 ip4:80.12.242.123 ip4:80.12.242.124 ... ip4:80.12.242.133 ip4:80.12.242.134"

et à l'inclure au SPF existant :

v=spf1 mx include:spf-orange.domain.tld include:mx.ovh.com -all

 

[oracle7]

@PiwiLAbruti

Bonjour,

il y a 28 minutes, PiwiLAbruti a dit :

C'est surprenant qu'ils conseillent d'entrer des adresses IP plutôt qu'un enregistrement A (ou AAAA) qui regroupe toutes ces adresses.

Sûrement pour faire une réponse la plus simple possible ...

il y a 27 minutes, PiwiLAbruti a dit :

J'aurais tendance à créer un enregistrement dédié pour les adresses IP Oranges

Oui c'est pas bête et peut-être bien plus propre ... Je vais y réfléchir.

Cordialement

oracle7😉

Modifié le 26 avril 2021 par oracle7

[PiwiLAbruti]

il y a 2 minutes, adelac a dit :

J'ai fait quelques tests avec mail-tester qui m'a dit d'ajouter 212.27.42.2 et 212.27.42.3.

Mail-Tester donne uniquement l'adresse IP qu'il trouve dans l'en-tête Received du mail.

Comme il existe un enregistrement SPF chez Free (contrairement à Orange), il suffit de l'ajouter à ton SPF :

include:_spf.free.fr

Pour trouver cet enregistrement, il suffit de résoudre les enregistrement TXT du domaine ciblé :

> nslookup -type=TXT free.fr
free.fr text = "v=spf1 include:_spf.free.fr ?all"

Pour voir les adresse IP utilisées, il faut résoudre l'enregistrement inclus :

> nslookup -type=TXT _spf.free.fr
_spf.free.fr  text = "v=spf1 ip4:212.27.42.1 ip6:2a01:e0c:1:1599::10 ip4:212.27.42.2 ip6:2a01:e0c:1:1599::11 ip4:212.27.42.3 ip6:2a01:e0c:1:1599::12 ip4:212.27.42.4 ip6:2a01:e0c:1:1599::13 ip4:212.27.42.5 ip6:2a01:e0c:1:1599::14 ip4:212.27.42.6 ip6:2a01:e0c:1:1599::15 ip4:212.27.42.9 ip6:2a01:e0c:1:1599::18 ip4:212.27.42.10 ip6:2a01:e0c:1:1599::19 -all"

On y retrouve d'ailleurs les adresses indiquées par Mail-Tester.

[adelac]

Merci @PiwiLAbruti, avec le include ce sera plus propre car j'avais laissé de côté des IP et, en plus, elles pourraient être amenées à changer.

Je ferai le changement ce soir tard et passerai aussi au -all au lieu du ~all.

[.Shad.]

Le TXT qui contient des strings et qui est exploitable dans d'autres enregistrements c'est super, je ne savais pas qu'on pouvait faire ça...

[PiwiLAbruti]

Étant passé hier à 17h30 du xDSL à la fibre chez Free, je déterre ce sujet pour lister mes constatations à chaud, avec peu de recul, et des tests inachevés :

• Mon adresse IP ayant changé, j'ai dû redéfinir le reverse DNS : aucun souci, ça résout quelque soit le serveur DNS utilisé.
• Mail-tester m'a hurlé dessus en disant que mon adresse IP d'envoi ne matchait pas le SPF. Mon SPF est défini de la façon suivante :

domain.tld TXT "v=spf1 include:_spf.domain.tld -all"
_spf.domain.tld TXT "v=spf1 mx include:_spf.free.fr -all"
mx.domain.tld	MX 1 mail.domain.tld
mail.domain.tld A <nouvelleAdresseIPv4>

J'avais donc simplement remplacé l'ancienne adresse IP de l'enregistrement mail.domain.tld (TTL 3600) par la nouvelle, mais ça ne convenait toujours pas à Mail-tester ce matin. Bref, j'ai appliqué une méthode très subtile (comprendre bourrin à souhaits) qui consiste à ajouter une instruction ip4:<nouvelleAdresseIP> aux deux enregistrements SPF, et là, Mail-tester me sort un 10/10 (solution finale).

Je vais donc retirer progressivement les instructions ip4 car ça devrait matcher juste avec mx.

----

Pour le fun :

Free m'a fourni un ONU v2, et tous les divers tests de débit que j'ai pu faire donnent un download à 250Mbps (soit 1/4 du 1GbE promis). Le débit est bien de 1GbE entre la Freebox v6r2 et mon PC (testé via $curl -L http://mafreebox.freebox.fr/gen/10G -o /dev/null).

De ce que j'ai pu lire, certains prétendent que ça vient de l'ONU v2 et qu'il n'y a pas de problème avec le v1. D'autres n'ont plus ce souci de bridage après avoir migré sur une Freebox Pop.

Le raccordement étant encore tout frais, je vais attendre quelques semaines/mois avant d'éventuellement contacter le support Free pour avoir une explication sur le bridage à 250Mbps.

D'un autre côté, l'abonnement est raccordé sur un RIP (Vortex, Val d'Oise) où les débits doivent être limités à du 1G/400M (contractuel entre les opérateurs et le RIP je crois). Et pourtant, l'upload chez Free donne bien les 700Mbps promis (~670Mbps lors des tests).

C'est la première fois que j'ai une connexion asymétrique où l'envoi est presque 3x plus rapide que la réception.

Modifié le 3 décembre 2021 par PiwiLAbruti

[pluton212+]

Bonjour, 

tu as mis quoi comme rDNS stp ?

[alan.dub]

Parce que nous, nouvelle IP avant changement à la fibre (je n’y suis pas encore), le rDNS avec la nouvelle IP ne fonctionne pas 😅 

[PiwiLAbruti]

Il y a 1 heure, pluton212+ a dit :

tu as mis quoi comme rDNS stp ?

Un domaine acheté chez un registrar, mais quelle importance ?