seb773 Posté(e) le 9 février 2016 Partager Posté(e) le 9 février 2016 Bonjour, J'ai configuré mon nas pour auto héberger mon serveur mail et web. J'ai donc un nom de domaine ou j'ai configuré depuis le manager d'utiliser le serveur dns du syno "ns.nas.moi". Au niveau du serveur mail tout fonctionne correctement, je peux envoyer et recevoir des mails interne et externe depuis n'importe ou. Le ping vers "mail.nas.moi" fonctionne bien et le nslookup aussi donc pas de problème au niveau MX. Par contre le serveur web ne fonctionne pas et je pense que le problème vient du serveur DNS. Le ping vers "www.nas.moi" ou "nas.moi" ne trouve pas l'hote. Il n'y a donc pas de resolution dns. Toutes les règles firewall et redirections de ports sont correct car tout fonctionne en passant par mon IP direct. Voici comment j'ai configuré mon serveur dns sur le syno: J'ai crée une zone master ID de zone: nas.moi Nom de domaine: nas.moi Statut: Activer FOrmat série: Nombre entier Enregistrement de ressource Nom: mail.nas.moi Type: A Info: ip externe Nom: ns.nas.moi Type: A Info: ip externe Nom: nas.moi Type: A Info: ip externe Nom: www.nas.moi Type: A Info: ip externe Nom: www.nas.moi Type: CNAME Info: nas.moi Nom: nas.moi Type: MX Info: 10 mail.nas.moi Nom: ns.nas.moi Type: NS Info: ip externe Nom: nas.moi Type: NS Info: ns.nas.moi Résolution Activer les services de résolution Activer les redirecteurs "DNS du FAI" Ma question et la suivante: Est-ce qu'une seule zone master est suffisante ? ai-je oublié de configurer quelquechose ? Cela fait maintenant plus de 24 heures que tout est configuré, pensez-vous que c'est juste le temps que la propogation ce fasse ? Merci d'avance, 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 9 février 2016 Partager Posté(e) le 9 février 2016 Il y a un doublon : Nom: www.nas.moiType: A Info: ip externe Nom: www.nas.moiType: CNAME Info: nas.moi 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
seb773 Posté(e) le 9 février 2016 Auteur Partager Posté(e) le 9 février 2016 Il y a 2 heures, PiwiLAbruti a dit : Il y a un doublon : Nom: www.nas.moiType: A Info: ip externe Nom: www.nas.moiType: CNAME Info: nas.moi Merci Comme il y'a un type "A" et un "CNAME" je sais pas si sa pose problème. Mais j'ai supprimé le "CNAME" on verra Maintenant mon url "www.nas.moi" fonctionne. Par contre "nas.moi" toujours pas (ping n'a pas trouver l'hôte nas.moi) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 9 février 2016 Partager Posté(e) le 9 février 2016 Il y a 4 heures, seb773 a dit : Nom: ns.nas.moi Type: NS Info: ip externe Nom: nas.moi Type: NS Info: ns.nas.moi Tu déclares 2 fois le même NS (ou tu déclares 2 zones, mais écrit comme ça ce n'est pas lisible) Sinon, pour vérifier tes enregistrements : nslookup -querytype=ns nas.moi nslookup -querytype=mx nas.moi nslookup -querytype=a nas.moi nslookup -querytype=aaaa nas.moi ... En vu zone ça devrait ressembler à ça : $ttl 2D nas.moi. IN SOA ns.nas.moi. support.nas.moi. ( 2016020901 12H 2H 2W 2H ) nas.moi. IN NS ns.nas.moi. nas.moi. IN MX 10 mail.nas.moi. ;il faut toujours utiliser un type A/AAAA pour un NS ns.nas.moi. IN A 1.2.3.4 ;il faut toujours utiliser un type A/AAAA pour un MX mail.nas.moi. IN A 1.2.3.4 ;pour la suite tu peux utiliser des CNAME www.nas.moi. IN CNAME ns.nas.moi. ... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
seb773 Posté(e) le 10 février 2016 Auteur Partager Posté(e) le 10 février 2016 Merci pour toutes ces infos. J'ai déclaré 2 fois car il y'en a un avec en info l'IP direct et l'autre avec l'adresse DNS Celui sans l'ip n'est donc pas nécessaire ? Donc si je comprends bien je dois faire comme ci-dessous: 1/ Mail Nom: mail.nas.moi Type: A Info: ip externe Nom: nas.moi Type: MX Info: 10 mail.nas.moi 2/ NS Nom: ns.nas.moi Type: A Info: ip externe Nom: ns.nas.moi Type: NS Info: ip externe Nom: www.nas.moi Type: CNAME Info: ns.nas.moi 3:/ Web Nom: www.nas.moi Type: A Info: ip externe Nom: nas.moi Type: A Info: ip externe Merci beaucoup, 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
seb773 Posté(e) le 10 février 2016 Auteur Partager Posté(e) le 10 février 2016 (modifié) Voici une copie d'écran de ma config DNS Est-ce que cela vous semble correct svp ? Est-il nécessaire de créer un enregistrement "SPF" ? Merci Modifié le 10 février 2016 par seb773 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 10 février 2016 Partager Posté(e) le 10 février 2016 C'est correct Le SPF comme le dkim ou encore dmark, c'est toujours mieux de l'avoir que de ne pas l'avoir, ça permet de lutter contre les spam et l'usurpation, mais il faut bien savoir ce que c'est et bien le configurer. Tu as des générateurs de conf pour le SPF : http://www.spfwizard.net/ nas.moi. IN TXT "v=spf1 mx ptr ip4:1.2.3.4/32 ~all" nas.moi. IN SPF "v=spf1 mx ptr ip4:1.2.3.4/32 ~all" Pour le DKIM et le dmark, je ne crois pas que les syno le gèrent 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
seb773 Posté(e) le 10 février 2016 Auteur Partager Posté(e) le 10 février 2016 il y a 17 minutes, Fenrir a dit : C'est correct Le SPF comme le dkim ou encore dmark, c'est toujours mieux de l'avoir que de ne pas l'avoir, ça permet de lutter contre les spam et l'usurpation, mais il faut bien savoir ce que c'est et bien le configurer. Tu as des générateurs de conf pour le SPF : http://www.spfwizard.net/ nas.moi. IN TXT "v=spf1 mx ptr ip4:1.2.3.4/32 ~all" nas.moi. IN SPF "v=spf1 mx ptr ip4:1.2.3.4/32 ~all" Pour le DKIM et le dmark, je ne crois pas que les syno le gèrent Merci Si apparrement le syno doit le gerer Mais rester à savoir comment doit-on le configurer... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 10 février 2016 Partager Posté(e) le 10 février 2016 L'aide de DSM ([?] en haut à droite) peut être utile. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
seb773 Posté(e) le 10 février 2016 Auteur Partager Posté(e) le 10 février 2016 il y a 2 minutes, PiwiLAbruti a dit : L'aide de DSM ([?] en haut à droite) peut être utile. Tout à fait c'est ce que je suis en train d'essayer de comprendre. Je me demande si je dois mettre les guillemet ou pas pour les SPF ? "v=spf1 mx ptr ip4:1.2.3.4/32 ~all" 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 10 février 2016 Partager Posté(e) le 10 février 2016 Si tu édites le fichier de zone directement, oui. Sinon (assistant, ...), non. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
seb773 Posté(e) le 10 février 2016 Auteur Partager Posté(e) le 10 février 2016 J'ai créé les enregistrements dans le DNS 1 SPK et 3 TXT (SPK, DKIM et DMARC) J'ai donc aussi activer ces 3 options dans "Sécurité \ Authentification" au niveau Mail server. Apparemment tout fonctionne toujours pour le moment car je peux encore envoyer et recevoir des mails. Est-ce que cela veut dire que ma config est bonne ou y'a t'il un temps de propagation ? (peut être ça ne marchera plus après) Y'a t'il moyen de vérifier que SPK, DKIM et DMARC fonctionne correctement ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
seb773 Posté(e) le 10 février 2016 Auteur Partager Posté(e) le 10 février 2016 il y a 35 minutes, seb773 a dit : Y'a t'il moyen de vérifier que SPK, DKIM et DMARC fonctionne correctement ? J'ai trouvé comment vérifier: on peut le voir au niveau du code source des mails envoyés dans l'en-tête. Pour ma part pour le moment ce n'est fonctionnel car je vois: spf=none dkim=permerror dmarc=none Il faut peut être patienter... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 10 février 2016 Partager Posté(e) le 10 février 2016 Pour le SPF, il faut simplement que l'enregistrement DNS existe (et soit correct) Pour le DKIM : si ça marche, les mails sortant sont signés (il suffit d'afficher le source du mail), mais il faut aussi que l'enregistrement DNS soit valide pour que le destinataire puisse vérifier la signature Pur le DMARC, c'est un peu particulier, mais le prérequis c'est que le SPF et le DKIM fonctionnent correctement, il ne faut pas l'activer avant que le reste soit OK, sinon les mails envoyés risquent de partir en spam ps : bonne nouvelle pour la prise en charge par syno, c'est rarement géré 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 10 février 2016 Partager Posté(e) le 10 février 2016 Tu peux utiliser https://www.mail-tester.com/ pour vérifier la qualité de ton serveur mail. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
seb773 Posté(e) le 10 février 2016 Auteur Partager Posté(e) le 10 février 2016 Voila comment j'ai configuré mes records DNS MARC: _dmarc.nas.moi. TXT v=DMARC1; p=quarantine; pct=20; rua=mailto:mail@nas.moi DKIM: 123._domainkey.nas.moi. TXT v=DKIM1; k=rsa; p=abcdefghijklmnopqrstuvwxyz123456789 SPF: nas.moi. SPF v=spf1 mx a ip4:1.2.3.4/32 a:ns.nas.moi ~all nas.moi. TXT v=spf1 mx a ip4:1.2.3.4/32 a:ns.nas.moi ~all Quelqu'un peut-il me confirmer que tout est bon, ou ai-je fait une erreur ? La clé publique DKIM doit contenir au moins 50 caractères (normal ?) dois-je tout mettre derrière le "p=" dans le record ? Merci d'avance, 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 10 février 2016 Partager Posté(e) le 10 février 2016 il y a 38 minutes, seb773 a dit : Quelqu'un peut-il me confirmer que tout est bon, ou ai-je fait une erreur ? http://dkimvalidator.com/ Encore une fois, avant de mettre le dmarc, vérifie le SPF et le DKIM il y a 39 minutes, seb773 a dit : La clé publique DKIM doit contenir au moins 50 caractères (normal ?) dois-je tout mettre derrière le "p=" dans le record ? c'est une clef publique, ça peut être long Voici mon enregistrement DKIM (j'ai altéré le certificat) : mondomaine._domainkey.mondomaine.fr. IN TXT "v=DKIM1; g=*; k=rsa; p=MIG0IaM8IRIb31ZhMf0WAA4GNADCBiQKBgQDKxHAYLClVX9sgKw7RGc6bYt/1FkEsF1v+YvKPMb7NcKAvX3iwuywQBLiusQFxEvpzuMXGCSqGSJZFc82Z6iN8EthAzQuYCOcaqrJYEyF0s3r7ZzDXLlIX+DQEBAQUHyxAh6+tz9Zbv6ADxaDIcAJYFvO8xWhF5i64Jxem0RfMAoNkQIDAQAB" 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
seb773 Posté(e) le 11 février 2016 Auteur Partager Posté(e) le 11 février 2016 Il y a 11 heures, Fenrir a dit : http://dkimvalidator.com/ Encore une fois, avant de mettre le dmarc, vérifie le SPF et le DKIM c'est une clef publique, ça peut être long Voici mon enregistrement DKIM (j'ai altéré le certificat) : mondomaine._domainkey.mondomaine.fr. IN TXT "v=DKIM1; g=*; k=rsa; p=MIG0IaM8IRIb31ZhMf0WAA4GNADCBiQKBgQDKxHAYLClVX9sgKw7RGc6bYt/1FkEsF1v+YvKPMb7NcKAvX3iwuywQBLiusQFxEvpzuMXGCSqGSJZFc82Z6iN8EthAzQuYCOcaqrJYEyF0s3r7ZzDXLlIX+DQEBAQUHyxAh6+tz9Zbv6ADxaDIcAJYFvO8xWhF5i64Jxem0RfMAoNkQIDAQAB" Merci pour cette aide précieuse. J'ai donc désactivé "DMARC" pour le moment et supprimé son record dans le DNS. J'ai envoyé un mail via "http://dkimvalidator.com/" et voici le résultat: DKIM: Validating Signature result = invalid Details: public key: not available SPF: Result: none (No applicable sender policy available) Result code: none Local Explanation: nas.moi: No applicable sender policy available spf_header = Received-SPF: none Pourtant tout semble correct car je vois bien les bonnes infos nom de serveur, IP, clé .... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 11 février 2016 Partager Posté(e) le 11 février 2016 envoi moi en MP le vrai nom de domaine, le nom de l'enregistrement dkim et le mail complet du rapport que tu as reçu 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 11 février 2016 Partager Posté(e) le 11 février 2016 Aucun de tes enregistrements DNS ne fonctionne depuis Internet, à commencer par les NS. A mon avis tu as oublié la première étape, déclarer "correctement" tes NS auprès de ton bureau d'enregistrement. Si je demande les NS de ton domaine, j'obtiens : ns.ton.domaine ns02.ton.domaine Mais on ne peut résoudre aucun de ces enregistrements (pas de type A ni de type CNAME). =>on ne peut donc pas contacter tes NS => on ne peut donc pas faire de requêtes sur ton domaine => aucune chance que SPF ou DKIM fonctionne Le 9/2/2016 at 16:17, seb773 a dit : Au niveau du serveur mail tout fonctionne correctement, je peux envoyer et recevoir des mails interne et externe depuis n'importe ou. Je suis surpris que tu puisses recevoir des mails depuis l'externe car les MX ne sont pas non plus résolus depuis Internet Si je demande explicitement à ton serveur DNS, pas de réponse pour les NS, le SPF ou le DKIM, par contre le MX semble ok (mail.ton.domaine avec un type A associé) En conclusion, commences par déclarer tes serveurs DNS comme NS de ton domaine auprès de ton bureau d'enregistrement (déclares les en IP ou fais un GLUE). Il faut que la commande suivante te renvoi tes DNS : nslookup -querytype=NS ton.domaine 80.67.169.12 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
seb773 Posté(e) le 12 février 2016 Auteur Partager Posté(e) le 12 février 2016 (modifié) Il y a 11 heures, Fenrir a dit : Aucun de tes enregistrements DNS ne fonctionne depuis Internet, à commencer par les NS. A mon avis tu as oublié la première étape, déclarer "correctement" tes NS auprès de ton bureau d'enregistrement. Si je demande les NS de ton domaine, j'obtiens : ns.ton.domaine ns02.ton.domaine Mais on ne peut résoudre aucun de ces enregistrements (pas de type A ni de type CNAME). =>on ne peut donc pas contacter tes NS => on ne peut donc pas faire de requêtes sur ton domaine => aucune chance que SPF ou DKIM fonctionne Je suis surpris que tu puisses recevoir des mails depuis l'externe car les MX ne sont pas non plus résolus depuis Internet Si je demande explicitement à ton serveur DNS, pas de réponse pour les NS, le SPF ou le DKIM, par contre le MX semble ok (mail.ton.domaine avec un type A associé) En conclusion, commences par déclarer tes serveurs DNS comme NS de ton domaine auprès de ton bureau d'enregistrement (déclares les en IP ou fais un GLUE). Il faut que la commande suivante te renvoi tes DNS : nslookup -querytype=NS ton.domaine 80.67.169.12 Si je comprends bien pour que cela puisse fonctionner, si je fait un ping vers le NS "ns.nas.moi" ça doit résoudre vers mon IP? (et effectivement je n'ai pas de résolution qui ce fait) Pourtant dans le DNS le NS et bien déclarer en type A + NS (j'ai ajouté un CNAME en ésperant que ça marche) J'ai trouvé un site qui permet de tester le "glue record" https://mebsd.com/glue et apparement en testant mon domaine tout semble correct. Je me pose une question concernant le "glue", est-ce pour remplacer les records A et NS dans le DNS ou peut-on avoir les 2 ? Pour les mails je confirme tout fonctionne correctement. En tous cas merci pour l'aide, j'ai compris le principe. Modifié le 12 février 2016 par seb773 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
seb773 Posté(e) le 12 février 2016 Auteur Partager Posté(e) le 12 février 2016 J'ai refait tous mes records DNS et je pense que ça doit être bon. Voici le résultat du nslookup: C:\Windows\system32>nslookup -querytype=NS nas.moi 1.2.3.4 Server: 1-2-3-4.hoho.fr Address: 1.2.3.4 nas.moi nameserver = ns02.nas.moi nas.moi nameserver = ns.nas.moi ns.nas.moi internet address = 1.2.3.4 ns02.nas.moi internet address = 1.2.3.4 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 12 février 2016 Partager Posté(e) le 12 février 2016 utilise l'adresse de mon exemple : 80.67.169.12 c'est un vrai DNS public 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
seb773 Posté(e) le 12 février 2016 Auteur Partager Posté(e) le 12 février 2016 il y a 40 minutes, Fenrir a dit : utilise l'adresse de mon exemple : 80.67.169.12 c'est un vrai DNS public Merci pour l'aide tout fonctionne correctement maintenant. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 12 février 2016 Partager Posté(e) le 12 février 2016 Il y a 1 heure, Fenrir a dit : utilise l'adresse de mon exemple : 80.67.169.12 c'est un vrai DNS public Au passage, les serveurs DNS de FDN sont aussi soumis aux censures blocages administratifs ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.