Aller au contenu

Activation inexpliquée des serveurs MX de secours


Messages recommandés

  • Réponses 109
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

@oracle7 je n'ai dans SPF que "v=spf1 mx include:mx.ovh.com -all"  et j'obtiens tout de même 10/10 à Mail-tester.com.
Par contre j'ai abandonné le relais smtp avec Orange (qui me faisait la même erreur que toi) et suis maintenant passé par celui d'OVH

Capture.thumb.JPG.7f1935ec9b85177448358f76ecd6f3a7.JPG

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

@Thierry94

il y a 3 minutes, Thierry94 a dit :

je n'ai dans SPF que "v=spf1 mx include:mx.ovh.com -all"  et j'obtiens tout de même 10/10 à Mail-tester.com.

Cela me paraît normal et très bien mais toutefois pas comparable vu que tu es maintenant passé au relais SMTP OVH.

Pour info voici mes enregistrements SPF (qui me permet de garder les serveurs OVH en secours); DKIM et DMARC :

  • SPF :

    ndd.tld.  0  SPF "v=spf1 a mx a:ndd.tld ip4:80.12.242.123 ip4:80.12.242.124 ip4:80.12.242.125 ip4:80.12.242.126 ip4:80.12.242.127 ip4:80.12.242.128 ip4:80.12.242.129 ip4:80.12.242.130 ip4:80.12.242.131 ip4:80.12.242.132 ip4:80.12.242.133 ip4:80.12.242.134 include:mx.ovh.com -all"

  • DKIM :

    prefixe._domainkey.ndd.tld.  0 TXT  "v=DKIM1; q=*; p=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
     
  • DMARC :

    _dmarc.ndd.tld. 0 TXT  "v=DMARC1; p=quarantine; rua=mailto:admin@ndd.tld; ruf=mailto:admin@ndd.tld; fo=1; adkim=s; aspf=s; pct=100; ri=86400; sp=reject"

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Hop là, ça vient de me péter au casque !

Suite au message de PiwiLabruti :

Le 14/06/2020 à 09:21, PiwiLAbruti a dit :

J'en ai vu qui utilisaient des SPF un peu exotiques comme "v=spf1 mx a 1.2.3.4 -all" où "a" est l'enregistrement racine A du domaine et "1.2.3.4" l'adresse IP publique. Lorsque tous pointent vers la même adresse IP, c'est évidemment redondant et totalement inutile (voire dangereux).

J'utilise ce type de SPF.

La raison ? Voir ici :

Bon oui, à l'époque j'écrivais quelques conneries... mais passons 😅

Donc en gros, perso, j'étais emmerdé par la non réception des mail @icloud.com (Apple donc), d'Amazon et de PayPal, malgré le super fameux 10/10.

Après recherches sur les SPF utilisés par ces derniers (aucun n'utilisait les mêmes entrées SPF), j'avais donc décidé d'utiliser toutes les entrées SPF.

Le 27/01/2019 à 00:50, alan.dub a dit :

Tout est OK du coté iCloud et du coté de mon domaine (SPF / DLARC / DKIM) sur mail-tester.com (10/10 pour tous) et mxtoolbox.com.

Comme indiqué dans le mail de retour d'icould (mais ça doit être le même problème pour Amazon), je pense que le problème doit être du coté du SPF :

- le mien indique : v=spf1 a mx ~all

- iCloud indique : v=spf1 ip4:17.36.0.0/16 ip4:17.41.0.0/16 ip4:17.58.0.0/16 ip4:17.110.0.0/15 ip4:17.111.110.0/23 ip4:17.120.0.0/16 ip4:17.133.0.0/16 ip4:17.139.0.0/16 ip4:17.142.0.0/15 ip4:17.151.1.0/24 ip4:17.158.0.0/15 ip4:17.162.0.0/15 ip4:17.164.0.0/16 ip4:17.171.37.0/24 ip4:17.172.0.0/16 ip4:17.179.168.0/23 ~all

- Amazon indique v=spf1 include:amazon.com -all (le include indique ensuite que des ip4)

- Paypal indique : v=spf1 mx include:pp._spf.paypal.com include:3rdparty._spf.paypal.com include:3rdparty1._spf.paypal.com include:3rdparty2._spf.paypal.com  include:consultix.paypal.fr ~all

Je vais essayer en indiquant tout ce que je peux dans le mien, car peut être que l'option à cocher sur le NAS demande aux autres ce que moi j'indique...

Car avec PayPal, aucun problème lorsque le SPF est coché sur le NAS (j'indique mon mx et PayPal aussi !).

Mon prochain SPF sera (même si redondant) v=spf1 a mx ip4:xxx.xxx.xxx.xxx ~all

C'est débile ? Oui certainement... mais ça à marché !

Donc à gros, moi j'utilise ça :

SPF : "v=spf1 a mx ip4:xxx.xxx.xxx.xxx ~all"

DMARC : "v=DMARC1; p=quarantine; aspf=r"

DKIM : "v=DKIM1; q=dns; k=rsa; p=xxxxxxx"

Et depuis RAS, ça ronronne.

Modifié par alan.dub
Lien vers le commentaire
Partager sur d’autres sites

Si ça ne te gêne pas, pourquoi parler de carton mouillé si ce n'est pour tenter d'avoir le dernier mot "avec panache".

Je ne comprends pas... explique moi 😉

 

Après... ce que tu indiques n'a jamais fonctionné pour la réception de mails de toutes provenances.

La raison, pourquoi, quel lien avec le SPF ? Aucune idée 😉

 

Je ne suis pas non plus le seul à rencontrer (avoir rencontré me concernant) ce type de problème.

La raison et pourquoi ? Idem, aucune idée 😉

 

Est-ce à cause des paquets, de DSM, d'autre chose ? J'en sais rien 😉

J'indique juste ce qui a fonctionné pour moi (et d'autres), malgré tous les essais possibles.

 

Bref, non, je ne dis pas détenir toutes les réponses (loin de là), ni la sagesse 😉

C'est d'ailleurs un point que tu devrais travailler.

 

Ce n'est en effet pas la première fois que je te vois prendre cet air hautain / arrogant de l'homme qui sait tout.

Tu veux avoir le dernier mot, aucun problème, je te le donne avec grand plaisir 😉

Modifié par alan.dub
Lien vers le commentaire
Partager sur d’autres sites

Je ne vois pas pourquoi ça ne marche pas puisque c’est la configuration que j’aie donnée fonctionne chez moi et chez d’autres sans aucun souci.

Tu postes un enregistrement SPF qui va exactement à l’encontre des bonnes pratiques que j’ai présentées. À partir de là je ne peux plus t’aider.

C’est comme si, après avoir lu le tutoriel sur la sécurité,  tu me disais que l’accès externe à ton NAS ne fonctionne que lorsque ce dernier est en DMZ et que le pare-feu est désactivé. Alors oui ça fonctionne, est-ce que c’est une bonne pratique ? À toi de voir.

Je crois que je vais faire comme d’autres membres qui ont beaucoup apporté à ce forum, comme ça vous n’aurez plus à supporter mon arrogance si insupportable et déplacée.

Lien vers le commentaire
Partager sur d’autres sites

On est hors sujet mais qu’importe.

Oui tu apportes énormément à ce forum, tu a des connaissances que nous n’avons pas. Il faudrait être idiot pour dire le contraire.

Mais c’est cette arrogance qui gâche un peu tout, et c’est dommage.

Tu dis que mon SPF est mauvais, en carton mouillé, mais en quoi exactement.

Parce qu'il est redondant ? 
Ça je le sais, je l’ai indiqué deux fois. Et c’est uniquement avec cette redondance que je peux recevoir les mail icloud / amazon / paypal. C’est tout.

Mais je repose la question, où est la dangerosité de ce SPF ?

Mon entrée A depuis OVH ?
Il donne l’ip de mon ndd.tld et l’ip de mon mail.ndd.tld (deux entrées A coté OVH).

Mon entrée MX depuis OVH ?
Il donne l’ip de mon mail.ndd.tld (une entrée MX).

Mon entrée IP4... bah il donne l’ip en clair.

Où est la dangerosité la dedans si ce n’est cette redondance qui permet de recevoir des mails bloqués sans cette dernière.

Pour finir, si une personne devait s’éloigner du forum, ce n’est pas toi... CQFD.

PS : Donc si cette solution peu aider l’auteur de ce topic, tant mieux, et si après on arrive a comprendre pourquoi... c’est encore mieux. 

Modifié par alan.dub
Lien vers le commentaire
Partager sur d’autres sites

@Thierry94

Bonjour,

Comme toi avec les emails issus de GMAIL, eh bien moi maintenant ce sont les emails issus d'Orange qui restent bloqués sur les serveurs de secours d'OVH alors qu'il y a encore 8 jours je les recevais sans problème sur ma boite mail "MailPlus Server" (le MX de mon domaine a pour priorité 1 pourtant et 5, 10, 100 pour les serveurs de secours OVH - mx1, mx2 et mx3).

Accessoirement, je n'ai aucun soucis en revanche pour l'émission d'emails.

J'ai essayé de modifier la compatibilité "moderne" en "intermédiaire" sur le NAS, mais sans effet.

Je vais peut-être dire une c... mais le TTL des MX peut-il avoir un impact ? (j'ai laissé la valeur par défaut soit  : 0)

As-tu de ton coté depuis, trouvé la cause de ce "blocage" en réception ?

Cordialement

oracle7😉

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Et bien non toujours pas de solution !

En fait j'ai constaté que ce ne sont pas que les mails Gmail qui vont vers OVH mais aussi quelques autres origines dont Orange, Sncf, Netflix, Ikéa, ... !
J'avais lu je ne sais plus ou qu'il n'était pas conseillé de laisser le TTL par défaut je l'ai donc mis à 3600 (qui est la valeur par défaut si tu mets 0), mais cela n'a rien changé.

En attendant de trouver une solution, j'ai ajouté sur mon utilisateur NAS une récupération via POP3 des mails d'OVH ... comme ça je les retrouve dans ma boite à lettres.
Le seul inconvénient c'est que tu ne sais plus si le mail est arrivé directement ou par OVH (sauf à le rechercher dans le journal des mails sur Mail Station, car les mails direct apparaissent mais pas les pop3)

A+,
Thierry 

 

Lien vers le commentaire
Partager sur d’autres sites

@Thierry94

Merci de ta réponse.

Effectivement passer par un autre client POP3 est une voie de contournement mais je trouve que cela complique les choses. Comme en plus, je suis en train d'écrire un futur tuto de configuration de "MailPlus Server" avec une @IP dynamique d'Orange, cela me gêne quelque part de conseiller ce type de solution aussi efficace soit-elle j'en conviens et ce malgré son inconvénient que tu évoques.

Dans tous les cas, on ne me sortira pas de l'idée qu'il y a quand même un truc qui nous échappe. Il y a sûrement un paramétrage supplémentaire (par ex un filtre à faire sauter, je ne sais...) à faire chez OVH mais le quel ? pour avoir une réception totale. C'est ma conviction.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

C'est d'autant plus étrange que nous ne sommes pas sur le même logiciel server ... tu es sur MailPlus Server et moi sur Mail Serveur, bon c'est vrai c'est quand même la même boutique !
Ce qu'il faudrait c'est avoir une trace de ce qui se passe chez OVH !
 

 

Lien vers le commentaire
Partager sur d’autres sites

@Thierry94

Absolument, je suis tout à fait d'accord avec toi, ce serait bien de pouvoir tracer mais là je crains de ne pas être d'un grand secours sur ce point précis 😟.

Il n' y a plus qu'à espérer qu'un membre de ce forum nous fournisse ce type d'explication.

Peut-être qu'il faudrait poster sur le forum OVH pour expliquer le problème ? Ton avis ?

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Et bien voila je viens de résoudre le mystère des activations de mon serveur MX de secours 🙂

En fait c'est tout simplement parce que dans mon firewall j'avais limité le port 25 à la France ! et bien sûr les serveurs Gmail et quelques autres ne sont pas en France, d'où le refus de connexion de la part de Mail Serveur.
A début j'avais limité le port 25 à la France à cause d'une multitude de tentatives de connexion depuis des pays étrangers. Après j'avais changé ma méthode en refusant les pays agresseurs dans le firewall, mais j'ai oublié de réactiver le port 25 pour le monde entier !

Cette petite erreur nous aura fait chercher pendant un bon paquet de temps !
Ceci dit cela m'a permis de mettre en place SPF, DKIM et DMARC, et ça c'est bien 😉

Encore merci à ceux qui m'ont aidé d'avoir passé un peu de leurs temps sur mon cas 👍

 

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Il n’y a malheureusement pas d’autre choix que d’exposer le port 25 au monde entier, mais il faut impérativement activer le blocage IP pour que les tentatives d’intrusion se fassent bloquer.

Si certains groupes d’adresses IP reviennent régulièrement, il peut être intéressant de bloquer la plage IP correspondante (il s’agit souvent de plages d’opérateurs grand public étrangers).

Lien vers le commentaire
Partager sur d’autres sites

@Thierry94

BIen content que tu ais pu résoudre ce problème.

 Pour ma part, ce n'est pas le css. Les Mails d'origine "Orange" ne passent pas et restent sur les serveurs d'OVH. Toutes les autres origines semblent passer. Google gmail notamment.

Après vérification, je n'avais pas ce problème de port 25 d'où mon incompréhension.

Je cherche toujours mais je sèche désespérément 😪

Je suis ouvert à toutes suggestions utiles.

Cordialement

oracle7😏

Lien vers le commentaire
Partager sur d’autres sites

Pour être certain je viens de vérifier avec Orange et ça marche bien pour moi.

Ton cas @oracle7 est quand même étonnant... si tu désactives les MX sur Ovh pour avoir le mail de non distribution quelle est l'erreur indiquée ?

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

@Thierry94

Bonjour,

Comme convenu je reviens vers après de multiples essais :

  • Avec les serveurs OVH de secours actif : J'ai eut une seule fois la recéption d'un mail d'origine orange puis plus rien après avec d'autres essais 😟.
     
  • Sans les serveurs d'OVH : 👍 je reçois bien les mails d'orange mais c'est quand même long entre l'émission et la réception effective !

Je crois au final que mon serveur mail met trop de temps à répondre et du coup ce sont les serveurs OVH qui prennent le relais.

A ton avis y-a-t-il un moyen de le faire répondre plus vite (un paramétrage spécifique à faire, mais où ???) ?

Cordialement

oracle7😏

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Etonnant le résultat de tes essais.  As tu recu des mails de non distribution et si oui quels etaient les messages d'erreur ?

Je ne sais pas s'il est possible d'accélérer la réponse de ton serveur mail ! Pour info tu as quel type de ligne internet.

Quels équipements as tu entre internet et ton nas ?

Thierry

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.