Configuration MailPlus Server - impossibilité d'envoyer des mails vers gmail

[RealJesus]

Bonjour,

J'ai suivi ce tuto pour configurer MailPlus Server, et ça fonctionne "à peu près". à noté que je n'ai pas configurer de server DNS local pour le moment, j'utilise ceux du registrar chez qui j'ai pris mon domaine.tld, mais chez qui je n'ai pas d'hébergement mail.

J'arrive à recevoir des mail depuis contact@domaine.tld, et même à en envoyer, sauf sur une adresse gmail...  j'ai une erreur 550-5.7.26 (voir image capture.mail.jpg)

Citation

Unauthenticated email from domaine.tld is not accepted due to domain's DMARC policy

J'ai pourtant bien généré la clé publique, et indiqué les enregistrement txt sur la zone de mon registrar.

d'ailleurs, j'ai pas de problème sur mxtool, mais par contre sur www.mail-tester.com j'ai un score de 6.3/10 et il m'indique que la signature DKIM n'est pas bonne... ça plus le reverse DNS (je suis chez free et j'ai pourtant bien configuré mon reverse DNS pour qu'il pointe sur "mail.domaine.tld) et un blacklistage chez Sorbs Dhul (adresse ip publique listée en 2013, elle m'a été attribuée en 2020, mais il faut que je corrige le pb de reverse DNS d'abord pour pouvoir faire délister)

 

EDIT : j'oubliais, j'ai aussi un pb de certificat SSL, alors que j'ai réussi à configurer mon server web (en suivant le tuto reverse proxy) et qu'à priori sur chrome/mozilla aucun pb de certificat SSL. J'ai bien ajouté mail.domaine.tld dans le certificat quand je l'avais créé, en sachant que j'allais mettre en place un MX sur mon NAS.

Quelqu'un aurait la gentillesse de me mettre sur la piste ?

Merci d'avance.

Modifié le 22 mai 2022 par RealJesus
ajout d'informations

[PiwiLAbruti]

La validation SPF, DKIM, et DMARC est obligatoire pour que le serveur mail soit correctement reconnu par les autres. Le moindre manquement à la configuration de ces mécanismes de sécurité peut dégrader la réputation du serveur auprès de certains fournisseurs de services mail (comme Google et Microsoft notamment).

Reprends la partie du tutoriel concernant DKIM et vérifie avec Mail-Tester jusqu'à ce que ce soit validé par ce dernier.

[RealJesus]

à l’instant, PiwiLAbruti a dit :

La validation SPF, DKIM, et DMARC est obligatoire pour que le serveur mail soit correctement reconnu par les autres. Le moindre manquement à la configuration de ces mécanismes de sécurité peut dégrader la réputation du serveur auprès de certains fournisseurs de services mail (comme Google et Microsoft notamment).

Reprends la partie du tutoriel concernant DKIM et vérifie avec Mail-Tester jusqu'à ce que ce soit validé par ce dernier.

hello @PiwiLAbruti

Merci pour ta réponse rapidde.

Spf : les deux sites mxtools et mail-tester : OK

DKIM : Ok chez Mxtool KO chez mailtester

pourtant, ça fais 10 fois que je reprends tout et que je ne vois pas de problème dans ma configuration... aussi bien coté nas...

 

Si tu vois quelque chose qui cloche, je suis preneur 🙂

[Thierry94]

Bonjour,

Chez moi j'ai -all et pas ~all dans l'enregistrement v=spf1

[RealJesus]

@PiwiLAbruti merci, mais à force de faire des copiés collés, et de modifier....j'ai trouvé ce qui clochait... j'ai généré la clé en 2048, puis tout de suite après, je me suis dit que j'allais baisser cette valeur, j'en ai généré une nouvelle.... mais le serveur, lui était resté en 2048. et remettant ça d'aplomb, c'est déjà bcp mieux !!

 

J'ai plus qu'à attendre 24h que free modifie le reverse DNs pour pouvoir me faire delister et  aussi gérer le pb de certificats...

la premiere ligne c'est le test sur http, la 4eme c'est connexion https....

je vais donc reprendre le tuto reverse dns ^^ 

[PiwiLAbruti]

Content que tu aies réussi @RealJesus (et fait un retour 👍). De toute façon, il y avait forcément un loup avec le clé DKIM.

Maintenant tu peux tester avec plusieurs fournisseurs de services mail.

Tu rencontreras probablement un problème avec Microsoft, il y a une procédure pour délister ton adresse IP si nécessaire. Si ça bloque vraiment, tu peux configurer un relais SMTP pour les domaines Microsoft (@hotmail.com, @outlook.com, ...) dans MailPlus Server.

Les instructions mx et ip4 du ton SPF sont probablement redondantes, tu peux ne conserver que l'instruction mx si c'est le cas. Tu utilises un service chez hostinger.com qui nécessite d'envoyer des messages utilisant une adresse mail appartenant à ton domaine comme adresse d'expédition ? Si ce n'est pas le cas, tu peux également retirer l'instruction include.

Lorsque ta configuration sera stabilisée et fonctionnelle, tu pourras modifier ~all en -all (restrictif) dans le SPF.

[RealJesus]

Il y a 23 heures, PiwiLAbruti a dit :

Content que tu aies réussi @RealJesus (et fait un retour 👍). De toute façon, il y avait forcément un loup avec le clé DKIM.

Yep, mais tu sais : à force d'avoir le nez dedans, tu fini par ne plus rien voir...

Il y a 23 heures, PiwiLAbruti a dit :

Maintenant tu peux tester avec plusieurs fournisseurs de services mail

c'est fait et fonctionnel 😉

 

Il y a 23 heures, PiwiLAbruti a dit :

Les instructions mx et ip4 du ton SPF sont probablement redondantes, tu peux ne conserver que l'instruction mx si c'est le cas. Tu utilises un service chez hostinger.com qui nécessite d'envoyer des messages utilisant une adresse mail appartenant à ton domaine comme adresse d'expédition ? Si ce n'est pas le cas, tu peux également retirer l'instruction include.

j'avoue avoir bêtement suivi le tuto sans réfléchir, et j'ai pas réfléchi aux implications. maisc'est corrigé en passé en -all ! merci pour l'info !

Par contre, je ne comprends pas, quand je test mon domaine sur NSTools.fr, il me dit que mon server n'accepte pas les mails vers abuse et postmaster. dans la conf du serveur j'ai indiqué que ces adresses là appartenaient à un utilisateur, et quand j'envoie un mail à abuse ou postmaster, je les reçois bien sans problèmes !

une idée la dessus ?

Il y a 23 heures, PiwiLAbruti a dit :

Tu rencontreras probablement un problème avec Microsoft, il y a une procédure pour délister ton adresse IP si nécessaire. Si ça bloque vraiment, tu peux configurer un relais SMTP pour les domaines Microsoft (@hotmail.com, @outlook.com, ...) dans MailPlus Server.

le problème c'est que pour l'instant le rDNS de mon ip ne tombe pas sur mon domaine... j'ai pourtant bien indiqué mon domaine dans l'interface de free, mais rien y fait. faut que je vois comment je peux faire... vu que je compte créer un DNS, j'vais en profiter pour faire une zone inversée et m'en charger moi-même (si c'est possible et ça a du sens de le faire....)

 

en tout cas merci @PiwiLAbruti pour les infos et l'aide ! 😉

Modifié le 23 mai 2022 par RealJesus

[PiwiLAbruti]

il y a 47 minutes, RealJesus a dit :

une idée la dessus ?

N'ayant aucun indice sur leur méthode détection des adresses abuse et postmaster, je n'en sais rien. À priori je dirais qu'ils essaient de s'authentififier avec un utilisateur abuse ou postmaster, donc ça échoue.

Le reverse DNS chez Free ne fonctionne plus (le mien si, mais je ne sais pas pourquoi 🤷‍♂️). Et tu ne pourras pas faire de zone inversée étant donné que tu n'es pas propriétaire de ton adresse IP.

Mais même avec un reverse fonctionnel, ça ne marche pas toujours chez Microsoft. J'ai opté pour l'utilisation des serveurs SMTP Free pour envoyer des messages aux domaines Microsoft : https://kb.synology.com/fr-fr/DSM/help/MailPlus-Server/mailplus_server_delivery?version=7#b_19

[Jeff777]

il y a 6 minutes, PiwiLAbruti a dit :

Le reverse DNS chez Free ne fonctionne plus (le mien si, mais je ne sais pas pourquoi

Bonjour,

Le mien fonctionne aussi avec la pop et l'ADSL. J'espère que ce n'est pas en passant à la fibre qu'il ne fonctionne plus 🙄

[RealJesus]

Il y a 1 heure, PiwiLAbruti a dit :

Le reverse DNS chez Free ne fonctionne plus (le mien si, mais je ne sais pas pourquoi 🤷‍♂️).

 

il y a une heure, Jeff777 a dit :

Le mien fonctionne aussi avec la pop et l'ADSL. J'espère que ce n'est pas en passant à la fibre qu'il ne fonctionne plus 🙄

Bah je viens d'avoir la hotline, qui me dit de passer par les newsgroup, par ce qu'en dehors de leur champs d'action.

mais pour l'information : lors de mon passage ADSL -> Fibre, j'avais à l'époque configuré un reverse DNS en HD.Free.fr, et quand j'ai demandé mon reverse dns personalisé (vers mon domaine) j'ai pas pensé à la supprimé. mais il y a bien un problème : puisque mon reverse DNS ne se met pas à jour, même après suppression de l'autre. du coup il regardent tt de même, mais on m'a demandé de ne pas être pressé : 2 à 4 mois 😭

Il y a 1 heure, PiwiLAbruti a dit :

Mais même avec un reverse fonctionnel, ça ne marche pas toujours chez Microsoft. J'ai opté pour l'utilisation des serveurs SMTP Free pour envoyer des messages aux domaines Microsoft : https://kb.synology.com/fr-fr/DSM/help/MailPlus-Server/mailplus_server_delivery?version=7#b_19

Je pense que je vais opter pour la même solution, autant que l'ISP serve à qqch 🤣

Modifié le 23 mai 2022 par RealJesus

[Jeff777]

Une remarque :

Mon rDNS était au début sous la forme IPpublique==>mail.ndd et je n'arrivais pas à le valider vers ndd.

Finalement j'ai trouvé la solution en changeant mon enregistrement MX   ("ndd  MX 10 ndd"   au lieu de   "ndd MX 10 mail.ndd")

[PiwiLAbruti]

Il y a 5 heures, Jeff777 a dit :

J'espère que ce n'est pas en passant à la fibre qu'il ne fonctionne plus 🙄

Justement, mon reverse a survécu au passage à la fibre. Peut-être parce qu'il était déjà configuré auparavant.

Sur un autre abonnement, j'ai voulu en modifier un qui existait en .hd.free.fr vers un de mes domaines après passage à la fibre, ça n'a jamais fonctionné.

[RealJesus]

Il y a 21 heures, Jeff777 a dit :

Une remarque :

Mon rDNS était au début sous la forme IPpublique==>mail.ndd et je n'arrivais pas à le valider vers ndd.

Finalement j'ai trouvé la solution en changeant mon enregistrement MX   ("ndd  MX 10 ndd"   au lieu de   "ndd MX 10 mail.ndd")

Je vais essayé, mais j'ai tout de même un doute que ça fonctionne, d'après ce que j'ai lu sur dev.freebox.net

Citation

 

Thibaut Freebox (Thibaut Freebox)
vendredi 15 novembre, 2019 14:48:44

Le reverse DNS n'est pas fonctionnel pour l'instant en fibre optique

et depuis pas de nouvelles 😕

mais bon, je suis tenace, ça fait 2 jours que je saoule la hotline pour mon adresse ipV4 Full stack enregistrée en dynamique et pour le reverse, on verra bien...

j'ai aussi touvé une adresse mail qui gère les enregistrements @ip (RIPE.net) chez proxad.net ^^

si j'ai du nouveau, je vous tiens au courant sur cet aspect là 🤭

[RealJesus]

une idée comme ça... concernant le rDNS...

enfait c'est tout bête...

le serveur smtp te dis "helo" tu lui réponds salut je suis untel.

finalement dans mailplus, dans banner tu mets ton reverse dns "xxx.fbx.proxad.net" et ni mxtools ni nstools viendront t'embêter vu que tu dis qui tu dis être.... non ?

[PiwiLAbruti]

Je ne pense pas que le reverse DNS soit validé ainsi, normalement la résolution de l'adresse IP doit pointer vers le nom de domaine d'expédition.

Le 23/05/2022 à 15:16, RealJesus a dit :

Par contre, je ne comprends pas, quand je test mon domaine sur NSTools.fr, il me dit que mon server n'accepte pas les mails vers abuse et postmaster.

La réponse est dans le logs de MailPlus Server (Audit en cours > Journal > Journal de sécurité) :

2022-05-23	15:47	195.154.82.101	postmaster@nstools.fr	postmaster@domain.tld	SPF	reject RCPT for 550 5.7.1 <postmaster@domain.tld>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.open-spf.org/Why?s=helo;id=nstools.fr;ip=195.154.82.101;r=postmaster@domain.tld

2022-05-23	15:47	195.154.82.101	postmaster@nstools.fr	abuse@domain.tld	SPF	reject RCPT for 550 5.7.1 <abuse@domain.tld>: Recipient address rejected: Message rejected due to: SPF fail - not authorized. Please see http://www.open-spf.org/Why?s=helo;id=nstools.fr;ip=195.154.82.101;r=abuse@domain.tld

Plus précisément : Message rejected due to: SPF fail - not authorized.

J'ai vérifié, l'adresse d'expédition 195.154.82.101 est bien absente de leur SPF :

Révélation

[host] nstools.fr
[class] IN
[ttl] 3528
[type] TXT
[txt] v=spf1 include:_spf.oktey.com include:spf.protection.outlook.com -all

    [host] _spf.oktey.com
    [class] IN
    [ttl] 300
    [type] TXT
    [txt] v=spf1 ip4:46.105.40.207 ip4:46.105.109.67 ip4:188.165.209.188 ip4:94.23.232.82 ip4:46.105.106.105 ip4:163.172.67.77 ip4:163.172.69.155 ip4:163.172.67.113 ip4:46.105.108.25 ip4:178.170.46.5 include:_spfz00.oktey.com ~all
    [ip4]
        46.105.40.207
        46.105.109.67
        188.165.209.188
        94.23.232.82
        46.105.106.105
        163.172.67.77
        163.172.69.155
        163.172.67.113
        46.105.108.25
        178.170.46.5
    [include]
        [host] _spfz00.oktey.com
        [class] IN
        [ttl] 300
        [type] TXT
        [txt] v=spf1 ip4:188.165.242.157 ip4:51.38.192.231 ip4:51.38.243.215 ip4:213.32.43.199 ip4:213.32.43.200 ip4:213.32.43.201 ~all
        [ip4]
            188.165.242.157
            51.38.192.231
            51.38.243.215
            213.32.43.199
            213.32.43.200
            213.32.43.201

    [host] spf.protection.outlook.com
    [class] IN
    [ttl] 543
    [type] TXT
    [txt] v=spf1 ip4:40.92.0.0/15 ip4:40.107.0.0/16 ip4:52.100.0.0/14 ip4:104.47.0.0/17 ip6:2a01:111:f400::/48 ip6:2a01:111:f403::/48 include:spfd.protection.outlook.com -all
    [ip4]
        40.92.0.0/15
        40.107.0.0/16
        52.100.0.0/14
        104.47.0.0/17
    [ip6]
        2a01:111:f400::/48
        2a01:111:f403::/48
    [include]
        [host] spfd.protection.outlook.com
        [class] IN
        [ttl] 475
        [type] TXT
        [txt] v=spf1 ip4:51.4.72.0/24 ip4:51.5.72.0/24 ip4:51.5.80.0/27 ip4:20.47.149.138/32 ip4:51.4.80.0/27 ip6:2a01:4180:4051:0800::/64 ip6:2a01:4180:4050:0800::/64 ip6:2a01:4180:4051:0400::/64 ip6:2a01:4180:4050:0400::/64 -all
        [ip4]
            51.4.72.0/24
            51.5.72.0/24
            51.5.80.0/27
            20.47.149.138/32
            51.4.80.0/27
        [ip6]
            2a01:4180:4051:0800::/64
            2a01:4180:4050:0800::/64
            2a01:4180:4051:0400::/64
            2a01:4180:4050:0400::/64

 

Ça serait bien qu'ils testent leur propre configuration avant de tester celle des autres 😅 : https://nstools.fr/nstools.fr (absence d'enregistrement DMARC)

[RealJesus]

Le 23/05/2022 à 18:58, RealJesus a dit :

lors de mon passage ADSL -> Fibre, j'avais à l'époque configuré un reverse DNS en HD.Free.fr, et quand j'ai demandé mon reverse dns personalisé (vers mon domaine) j'ai pas pensé à la supprimé. mais il y a bien un problème : puisque mon reverse DNS ne se met pas à jour, même après suppression de l'autre. du coup il regardent tt de même, mais on m'a demandé de ne pas être pressé : 2 à 4 mois 😭

Petit update !

en fait, lors de mon passage adsl -> fibre ils m'ont attribué la dernière adresse ip que j'ai eu en ADSL (donc pool dynamique !)

après 2 jours d'appels auprès du service technique free, il me change ma DELTA (tout a fait fonctionnelle), avec attribution  d'une nlle adresse ip fixe full stack pour corriger le problème), et me recontacte après livraison pour voir le problème de reverse DNS !

[Jeff777]

Super. Tiens nous au courant....j'espère un jour...un an ou un siècle passer à la fibre.

[alan.dub]

Et dire que moi je la refuse car mes câbles ethernet et baie ne sont pas encore en place dans le garage (mais d’ici un ou deux mois normalement ^^). 

[RealJesus]

Le 25/05/2022 à 19:27, Jeff777 a dit :

Super. Tiens nous au courant...

Hello,

bon, autant vous dire la vérité de suite, je me fais balader par free. on m'a bien changé ma delta (pour rien), on ne m'a pas changé mon ip fixe. autant dire que pour le reverse dns sur mon adresse ip actuelle je peux oublier 😕

en gros, pour pouvoir changer d'adresse ip fixe : il faudrait que je résilie et que je souscrive un nouveau forfait... sans avoir pour autant la certitude que j'aurais bien une ip fixe non déclarée comme dynamic dans la database ripe.net (inutile, donc)

d'autre part j'ai étudié d'autres options : passer en pro chez free (j'ai un numéro de siret, donc ok, si vous n'en avez pas, oubliez). pour l'ip fixe c'est bon, ce sera bien une "vraie" ip fixe (pas un bail dhcp à l'infini), par contre pour le moment pas de reverse dns possible, il ne savent pas quand ils implémenteront, éventuellement cette possibilité sur un abonnement pro.... et faut aussi se passer de la télé (bon on peut tjs opter pour une android box, donc pas vraiment un problème... mais avec l'offre gd public free, j'ai aussi amazone prime, netflix.... donc des frais supplémentaires à prévoir en plus de l'abo de 39.90 (et faut absolument être fibré)).

bref, j'pense que je vais gentiment lâcher l'affaire pour le coup, ça marchotte, j'arrive à envoyer des mails sur @gmail sans être considéré comme spam, par contre hotmail, c'est mort, faut utiliser le smtp de son fournisseur d'accès internet pour ce domaine comme le suggérait @PiwiLAbruti plus haut.

J'aurais une autre question, si je veux héberger plusieurs domaines sur mon serveur smtp, j'ai essayé avec deux domaines, et il y en a forcément un qui marche pas.... des idées ?

Modifié le 4 juin 2022 par RealJesus
correction des fautes (participe passé :/)

[Jeff777]

il y a 59 minutes, RealJesus a dit :

par contre pour le moment pas de reverse dns possible

Merci de ton retour. J'ai donc de la chance avec ma pop et un vraie adresse IP fixe avec rDNS.

Mais je m'inquiète pour le passage à la fibre si Free me change l'IP.

[RealJesus]

il y a une heure, Jeff777 a dit :

Merci de ton retour. J'ai donc de la chance avec ma pop et un vraie adresse IP fixe avec rDNS.

Mais je m'inquiète pour le passage à la fibre si Free me change l'IP.

ba à priori le passage adsl -> fibre pour @PiwiLAbruti s'est bien passé, y a pas de raison ? surtout ne change pas de domaine et ne change pas ta configuration rDNS sur l'espace abonné 😉

le problème pour moi (qui n'en est en vrai possiblement pas vraiment un) c'est que mon @ip publique est déclarée dans un pool dynamique sur la database ripe.net du coup blacklisté chez sorbs et dynarats.... pour gmail aucun problèmes à priori puisque les mail arrivent bien sans être flagués spam (meme sur des adresses fraichement créées pour le test) par contre hotmail est intraitable, mais j'ai peut être raté quelques trucs dans la configuration....

Modifié le 4 juin 2022 par RealJesus

[Jeff777]

Il y a 2 heures, RealJesus a dit :

surtout ne change pas de domaine et ne change pas ta configuration rDNS sur l'espace abonné

Trop tard 🤣 

Hier j'ai fait un test je suis passé de 78.xxx.xxx.xxx ==> ndd   à 78.xxx.xxx.xxx==> mail.ndd   puis retour au précédent. Tout cela en moins de 3h et sans conséquence.

 

[PiwiLAbruti]

Tu as testé la résolution inverse entre les deux @Jeff777 ?

Free n'empêche pas de modifier le reverse DNS dans l'interface, c'est juste que la modification n'est pas effective.

[Jeff777]

il y a 10 minutes, PiwiLAbruti a dit :

Tu as testé la résolution inverse entre les deux

Bonsoir,

Que veux-tu dire par tester ?

[PiwiLAbruti]

La résolution de ton adresse IP publique :

> nslookup a.b.c.d