La Fibre
Fonctionnement du forum => A lire avant de commencer... => 
Évolution de LaFibre.info, bugs et critiques => Discussion démarrée par: vivien le 02 juillet 2015 à 14:08:25
-
Je viens de modifier l'envoie des mails depuis le serveur lafibre.info : ils partent maintenant en IPv6 par défaut (c'est le cas pour les mails à destination de gmail)
Je l'avais désactivé à l’époque où je n'avais pas de reverse-DSNS en IPv6, ce qui gênait Google.
-
Tien aujourd'hui nouveau mail auto et là, il a atterrit dans Spam carrèment !
Received-SPF: softfail (google.com: domain of transitioning www-data@lafibre.info does not designate 2a01:6e00:10:410::2 as permitted sender) client-ip=2a01:6e00:10:410::2;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning www-data@lafibre.info does not designate 2a01:6e00:10:410::2 as permitted sender) smtp.mail=www-data@lafibre.info
Problème de SPF suite au passage en ipv6 ?
-
"v=spf1 a mx ~all"
doit devenir
"v=spf1 a mx ip6:2a01:6e00:10:410::2 ~all"
-
Je l'avais oublié celui-là...
J'ai rajouté l'IPv6 au SPF
J'ai mis ce SPF :
v=spf1 a mx ip6:2a01:6e00:10:410::2 -all
J'ai changé le ~all en -all
Pour rappel, voici la signification :
+ for a PASS result. This can be omitted; e.g., +mx is the same as mx.
? for a NEUTRAL result interpreted like NONE (no policy).
~ (tilde) for SOFTFAIL, a debugging aid between NEUTRAL and FAIL. Typically, messages that return a SOFTFAIL are accepted but tagged.
- (minus) for FAIL, the mail should be rejected (see below).
-
J'ai mis ce SPF :
v=spf1 a mx ip6:2a01:6e00:10:410::2 -all
Que vient faire mx ici?
-
Que vient faire mx ici?
http://www.openspf.org/SPF_Record_Syntax (http://www.openspf.org/SPF_Record_Syntax)
C'est pas correct ?
-
Je ne dis pas que ça n'existe pas, je demande ce que ça vient faire ici!
-
Je ne dis pas que ça n'existe pas, je demande ce que ça vient faire ici!
Une tentative erronée d'autoriser les serveur emails d'OVH a èmettre au nom de lafibre.info ?
@vivien, si tu veut faire ça, remplace le mx par include:mx.ovh.com
-
sauf erreur de ma part, le mx dans le spf correspond au mx du domaine. Donc il a très bien sa place ici.
-
Le spf sert a indiquer si l'IP utilisée est autorisée a envoyer des messages pour ce domaine.
Le mx est utilisé dans l'autre sens pour savoir a qui relayer des messages destinés a ce domaine.
Les serveurs mx peuvent aussi être des serveurs d'envoi pour ce domaine mais ca n'a rien d'obligatoire et c'est pas forcement le cas.
Un SFP bien construit ne va indiquer que les serveurs qui sont vraiment autorisés et qui envoient vraiment des messages, et pas "potentiellement" ou "pour se simplifier la vie".
v=spf1 a mx ip6:2a01:6e00:10:410::2 -all
ca test dans l'ordre:
- les enregistrements 'A' donc pour "lafibre.info" -> 46.227.16.8
- les enregistrements 'mx' donc pour "lafibre.info" :
mxb.ovh.net -> 213.186.33.29
mx2.ovh.net -> 213.186.33.45
mx1.ovh.net -> 178.32.228.222
- l'ipv6 "2a01:6e00:10:410::2"
- tout autre IP (-all) serait marquée 'fail' et va être rejetée
Donc ce sfp va autoriser des messages "@lafibre.info" venant uniquement des sources suivantes:
46.227.16.8
213.186.33.29
213.186.33.45
178.32.228.222
2a01:6e00:10:410::2
Si certaines de ces IPs n'envoient jamais de messages pour ce domaine il est plus sur de ne pas les inclure (notamment les mx vu qu'ils sont partagés avec d'autres domaines, s'ils sont mal sécurisés un tiers pourrait les utiliser pour envoyer des messages venant de @lafibre.info. ).
par ailleurs le mécanisme 'a' implique aussi IPv6 (rfc7208,section 5 et 5.3 (https://tools.ietf.org/html/rfc7208#section-5.3)).
When any mechanism fetches host addresses to compare with <ip>, when
<ip> is an IPv4, "A" records are fetched; when <ip> is an IPv6
address, "AAAA" records are fetched
Tu peux donc créer une entrée AAAA pour lafibre.info plutot que mettre l'ipv6 en 'dur' dans le spf: c'est plus pratique d'avoir l'ipv6 a un seul endroit dans le DNS: dans le champ AAAA.
Dans ce cas 'a' (dans le spf) va indiquer a la fois "46.227.16.8" et "2a01:6e00:10:410::2"
A l'usage par contre c'est plus simple et 'future proof' de créer des entrées DNS spécifiques pour le(s) serveur(s) d'envoi (avec champs A et optionnellement AAAA) et de ne mettre qu'eux dans le sfp.
par exemple:
v=spf1 a:mailers.lafibre.info -all
et 2 entrées DNS:
mailers.lafibre.info. A 46.227.16.8
mailers.lafibre.info. AAAA 2a01:6e00:10:410::2
apres tout ton serveur 'lafibre.info' n'est pas forcement pret en ipv6 (pour le web) et ne sera pas forcement toujours celui qui enverras des mails dans le future (principe d' "un role par entrée DNS")
-
sauf erreur de ma part, le mx dans le spf correspond au mx du domaine. Donc il a très bien sa place ici.
OVH a des serveurs mails de réception et d'émission différents.
Donc c'est incorrect :)
-
kgersen a bien compris : La site web lafibre.info n'est pas prêt pour IPv6, il manque toute la partie obligation légale, qui impose de conserver l'adresse IP de chaque message posté.
Je ne souhaites donc pas activer IPv6 par défaut. Si vous souhaitez utiliser l'IPv6, je ne suis par contre, certains le font : il suffit de mettre l'IPv6 dans son fichier hosts. Le peu de personnes qui font ce type de manipulation permet de récupérer l'IP dans les logs, si j'avais une réquisition.
Que vient faire mx ici?
Les mails de lafibre.info sont hébergés par OVH. J'utilise généralement un client mail lourd qui va utiliser l'IP, mais je me réserve la possibilité d'utiliser le webmail d'OVH, d'où la présence du mx.
Une tentative erronée d'autoriser les serveur emails d'OVH a èmettre au nom de lafibre.info ?
@vivien, si tu veut faire ça, remplace le mx par include:mx.ovh.com
Il me semble que mettre mx, va récupérer les IP mx de mon nom de domaine soit "mx1.ovh.net" + "mx2.ovh.net" + "mxb.ovh.net"
Les MX d'OVH en fonction de l'option de protection souhaité (Aucune Protection / Protection AntiSpam Simple / Protection Antivirus + AntiSpam) :
Pour un serveur sans filtre : mx0.ovh.net.
Pour un serveur avec filtre anti-spam (mon cas) : mx1.ovh.net + mx2.ovh.net.
Pour un serveur avec filtre anti-spam et anti-virus : mx3.ovh.net + mx4.ovh.net
-
@vivien:
Attention, les MX des domaines OVH sont en .net et le include: c'est sur le mx.ovh.com . Du coup je doute que les ips des mx.ovh.com soit récupérées puisque ce n'est pas le mx de ton domaine
OVH reçoit les mails sur les mx*.ovh.net et envoie depuis des serveurs mx.ovh.com
c'est OVH qui par défaut, sur tous les domaines qui gèrent, met "v=spf1 include:mx.ovh.com ~all"
-
OVH pré-configure les domaines avec v=spf1 include:mx.ovh.com ~all.
Vous remarquer l'absence du mx dans cette entrée.
Regardons le trajet d'un email sortant d'OVH:
Received: from 7.mo1.mail-out.ovh.net (87.98.158.110) by
AM1FFO11OLC006.mail.protection.outlook.com (10.174.64.134) with Microsoft
SMTP Server (TLS) id 15.1.201.10 via Frontend Transport; Sat, 4 Jul 2015
00:02:27 +0000
Received: from mail620.ha.ovh.net (gw6.ovh.net [213.251.189.206])
by mo1.mail-out.ovh.net (Postfix) with SMTP id 269C4FF9921
for <another_user@example.net>; Sat, 4 Jul 2015 02:02:27 +0200 (CEST)
Received: from localhost (HELO queueout) (127.0.0.1)
by localhost with SMTP; 4 Jul 2015 02:02:26 +0200
Received: from example.com (HELO service.example.com) (user@example.com@192.0.2.1)
by ns0.ovh.net with SMTP; 4 Jul 2015 02:02:26 +0200
On envoie l'email à ns0.ovh.net en mode authentifié.
Cela passe dans une queue spécial.
Chez le destinataire (ici Office 365 mais who care), on a reçu l'email de l'infra mail-out.ovh.net.
Maintenant, lisons le fameux mx.ovh.com: v=spf1 ptr:mail-out.ovh.net ptr:mail.ovh.net ptr:smtp-3008.ovh.ca ?all
La doc sur le type ptr dit: The hostname or hostnames for the client IP are looked up using PTR queries. The hostnames are then validated: at least one of the A records for a PTR hostname must match the original client IP. Invalid hostnames are discarded. If a valid hostname ends in domain, this mechanism matches..
Cela match, l'email passe SPF.
-
A noter ce site: http://emailstuff.org/spf/check/lafibre.info
qui calcule tout les 'match' et affiche aussi les enregistrements DNS concernés.
-
Pourquoi les mails ne sont pas hébergés sur ton serveur Vivien ?
-
Je comprends mieux.
J'ai modifié le SPF avec un include:mx.ovh.com :
600 IN TXT "v=spf1 a ip6:2a01:6e00:10:410::2 include:mx.ovh.com -all"
Damien, je trouve galère de gérer un anti-spam efficace et donc j'ai préféré la simplicité de laisser OVH gérer les mails en réception !
J'étais aussi un peu juste en RAM avant 2012 (1 Go de ram pour mon serveur, c'était juste donc je limitais les services qui tournent)
-
A propos des mail, les logs sont conservés combien de temps ?
6 mois ? 2 ans ?
-
C'est vivien uniquement qui envoie des mails vers l'extérieur non ?
Du coup, je ne pense pas que çà soit utile de garder des logs (puisque c'est vivien le seul à s'en servir + le forum en mode "automatique")
-
Les logs des mails ? De postfix ? Les logs sont conservés un mois (paramètre par défaut)
J'avoue ne jamais avoir mis le nez dans les log postfix.
Je regarde juste le nb de mails qui sont bloqués en attente (par exemple si le serveur en face est down)
Ca me permet de me rendre compte que tous les mails Gmail ne partent pas en IPv6.
Dans les deux exemples de ce matin, c'est la même adresse mail destinataire que j'ai caché :
Jul 8 08:34:33 lafibre postfix/smtp[7837]: 79DB2A20DF: to=<xxxxxxxxxxxxxx@gmail.com>, relay=gmail-smtp-in.l.google.com[64.233.184.27]:25, delay=1.2, delays=0.05/0.49/0.05/0.64, dsn=2.0.0, status=sent
Jul 8 08:26:11 lafibre postfix/smtp[26001]: 84A70A20B1: to=<xxxxxxxxxxxxxx@gmail.com>, relay=gmail-smtp-in.l.google.com[2a00:1450:400c:c0b::1b]:25, delay=0.6, delays=0.05/0/0.05/0.5, dsn=2.0.0, status=sent