Aller au contenu

Convertir un enregistrement SPF en TXT dont la valeur > 255 car


Messages recommandés

J'ai testé mais il me dit que je ne devrais pas utiliser des recherches PTR car c'est un mécanisme obsolète … c'est quoi les recherches PTR ?

Voila mon SPF "v=spf1 mx a:ns0.ovh.net include:mx.ovh.com -all" (ns0.ovh.net c'est parce que je suis en SMTP TLS, ssl0.ovh.net c'est en SMTP SSL)

Lien vers le commentaire
Partager sur d’autres sites

a:ssl0.ovh.net veut dire que les adresses IP résolues par le nom d'hôte ssl0.ovh.net peuvent envoyer des emails. Pour obtenir ces adresses IP on fait une résolution de type A (par défaut) avec la commande nslookup ou dig, ce qui renvoie l'adresse 193.70.18.144.

include=mx.ovh.com veut dire qu'on inclut le SPF résolu par mx.ovh.com. On fait cette fois-ci une résolution de type TXT et on obtient :

v=spf1 ptr:mail-out.ovh.net ptr:mail.ovh.net ip4:8.33.137.105/32 ip4:192.99.77.81/32 ?all

ptr:mail-out.ovh.net et ptr:mail.ovh.net indiquent la même chose que l'instruction "a", sauf qu'en plus on va faire une résolution inverse sur les adresses IP pour vérifier que les noms d'hôte appartiennent bien au même domaine :

mail-out.ovh.net > 87.98.222.13  > admin.mail-out.ovh.net
mail.ovh.net     > 193.70.18.148 > mail.ovh.net

Note pour OVH : D'après la RFC 7208, il n'est pas recommandé d'utiliser l'instruction "ptr" (voir la note en base de la section 5.5). Ce mécanisme est considéré comme lent et moins fiable que d'autres mécanismes.

Au final, le SPF mx.ovh.com autorise les adresses IP suivantes :

  • 87.98.222.13
  • 193.70.18.148
  • 8.33.137.105
  • 192.99.77.81

Donc il n'y a pas de redondance avec ssl0.ovh.net (même si je me demande ce que cette adresse vient faire dans un SPF).

Lien vers le commentaire
Partager sur d’autres sites

 

@Thierry94

J'ai aussi ce message lors de mes tests à cause du include des serveurs OVH. Pour l'instant j'ai négligé ce message pensant que c'est un problème de définition chez OVH sur lequel on ne peut agir. Ai-je tord ou non, je ne le sais. De toutes façon ce n'est pas bloquant et n'empêche pas le note de 10/10. Mais c'est vrai il faudrait creuser ce point.

Edit : je viens de voir la réponse de @PiwiLAbruti. Au moins là c'est clair.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

ssl0.ovh.net ou ns0.ovh.net sont les serveurs SMTP d'OVH (avec SSL ou avec TLS) … qui sont utilisés dans le relais SMTP sur Mail Serveur.
Au final ce sont bien eux qui envoient les mails donc je suppose qu'ils devraient à ce titre être mentionnés dans le SPF ?

Lien vers le commentaire
Partager sur d’autres sites

La documentation d'OVH est très claire sur le sujet, le SPF est l'enregistrement TXT mx.ovh.com contenant :

v=spf1 ptr:mail-out.ovh.net ptr:mail.ovh.net ip4:8.33.137.105/32 ip4:192.99.77.81/32 ?all

Il suffit de l'inclure dans ton enregistrement SPF ("include:mx.ovh.com").

ssl0.ovh.net et ns0.ovh.net pointent vers la même adresse IP (193.70.18.144), il n'y a donc aucune différence à utiliser l'un ou l'autre. Ces adresses ne sont pas déclarées dans le SPF d'OVH, elles ne permettront donc pas d'envoyer les messages de ton domaine.

Si tu en doutes, vérifie les en-têtes du message reçu. La validation SPF indique l'adresse IP utilisée pour l'envoi du message. Ça ressemble à ça :

spf=pass (recipient.tld: domain of user@sender.tld designates A.B.C.D as permitted sender) smtp.mailfrom=user@sender.tld;

Je serais surpris que tu puisses y voir l'adresse IP 193.70.18.144.

Lien vers le commentaire
Partager sur d’autres sites

Oui, c'est celui-là. Il n'est pas obsolète, il est parfaitement fonctionnel et valide, mais déconseillé (tel qu'énoncé dans la note de la RFC que tu n'as pas dû lire).

Techniquement, le mécanisme est intéressant en soi car il permet une double validation DNS du serveur d'expédition. Mais la résolution inverse pose des problèmes de performances et donc de fiabilité.

Bref, si ça posait vraiment des problèmes de fiabilité, je pense qu'OVH aurait déjà rectifié la chose.

Si vraiment ça te gêne, tu peux toujours créer un nouvel enregistrement TXT dans ta zone DNS (en remplaçant les instructions "ptr" par "a") et l'inclure dans ton SPF principal :

ovh.domain.tld   TXT   "v=spf1 a:mail-out.ovh.net a:mail.ovh.net ip4:8.33.137.105/32 ip4:192.99.77.81/32 ?all"
domain.tld       TXT   "v=spf1 mx include:ovh.domain.tld -all"

Le gros inconvénient de cette méthode est qu'elle est statique. L'enregistrement ovh.domain.tld sera obsolète dès qu'OVH modifiera son enregistrement SPF.

Personnellement, je laisserai le SPF d'OVH même s'il n'est pas optimal.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.