La Fibre
Télécom => Télécom => 
Veille technologique => Discussion démarrée par: Amon-Ra le 03 septembre 2013 à 21:30:34
-
Pour les mails reçus depuis le serveur Lafibre.info, la vérification du SPF de google indique : neutral et non pass
il suffit d'indiquer un SPF valide...
-
Chez moi (Gmail) ce n'est pas en Spam.
Mais j'ai redaction@lafibre.info dans mes contacts.
-
Donc il faut que je sois plus restrictif dans le SPF pour passer en mode "pass" ?
-
voici ce que j'ai :
Received: by 10.223.152.136 with SMTP id g8csp185419faw;
Tue, 3 Sep 2013 12:35:07 -0700 (PDT)
X-Received: by 10.14.108.9 with SMTP id p9mr48721552eeg.8.1378236907635;
Tue, 03 Sep 2013 12:35:07 -0700 (PDT)
Return-Path: <www-data@lafibre.info>
Received: from lafibre.info ([2a01:6e00:10:410::2])
by mx.google.com with ESMTP id i5si16027939eeg.25.1969.12.31.16.00.00;
Tue, 03 Sep 2013 12:35:07 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:6e00:10:410::2 is neither permitted nor denied by domain of www-data@lafibre.info) client-ip=2a01:6e00:10:410::2;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:6e00:10:410::2 is neither permitted nor denied by domain of www-data@lafibre.info) smtp.mail=www-data@lafibre.info
Received: by lafibre.info (Postfix, from userid 33)
id 31EE9A1447; Tue, 3 Sep 2013 21:35:07 +0200 (CEST)
sur un de mes sites que je gère qui ne passe jamais en spam :
Received-SPF: pass (google.com: best guess record for domain of anonymous@XXX.ovh.net designates XX.23.234.102 as permitted sender) client-ip=XX.23.234.102;
Authentication-Results: mx.google.com;
spf=pass (google.com: best guess record for domain of anonymous@XXX.ovh.net designates XX.23.234.102 as permitted sender) smtp.mail=anonymous@XXX.ovh.net
-
J'ai signalé l'anomalie de l'enregistrement SPF il y a longtemps...
Maintenant :
lafibre.info text =
"v=spf1 a ?all"
ce qui signifie : les courriels @lafibre.info sont censés être envoyés par l'hôte lafibre.info (46.227.16.8), ou à la rigueur une autre adresse IP.
Or :
Received: from lafibre.info (lafibre.info. [46.227.16.8])
by mx.google.com with ESMTP id e49si15994763eep.171.1969.12.31.16.00.00;
Tue, 03 Sep 2013 12:35:07 -0700 (PDT)
Received-SPF: pass (google.com: domain of www-data@lafibre.info designates 46.227.16.8 as permitted sender) client-ip=46.227.16.8;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of www-data@lafibre.info designates 46.227.16.8 as permitted sender) smtp.mail=www-data@lafibre.info
donc c'est bon.
-
J'ai modifié lafibre.info. IN TXT "v=spf1 a ?all" en lafibre.info. IN TXT "v=spf1 a ~all"
Il va maintenant que je passe systématiquement par le serveur SMTP de lafibre.info pour envoyer mes mails...
-
J'ai signalé l'anomalie de l'enregistrement SPF il y a longtemps...
Maintenant :
lafibre.info text =
"v=spf1 a ?all"
ce qui signifie : les courriels @lafibre.info sont censés être envoyés par l'hôte lafibre.info (46.227.16.8), ou à la rigueur une autre adresse IP.
Or :
Received: from lafibre.info (lafibre.info. [46.227.16.8])
by mx.google.com with ESMTP id e49si15994763eep.171.1969.12.31.16.00.00;
Tue, 03 Sep 2013 12:35:07 -0700 (PDT)
Received-SPF: pass (google.com: domain of www-data@lafibre.info designates 46.227.16.8 as permitted sender) client-ip=46.227.16.8;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of www-data@lafibre.info designates 46.227.16.8 as permitted sender) smtp.mail=www-data@lafibre.info
donc c'est bon.
bof,
moi je mets ça pour être sur que ça passe :
IN SPF "v=spf1 include:monserveur1.com include:monserveur2.com ~all."
-
J'ai modifié lafibre.info. IN TXT "v=spf1 a ?all" en lafibre.info. IN TXT "v=spf1 a ~all"
Il va maintenant que je passe systématiquement par le serveur SMTP de lafibre.info pour envoyer mes mails...
tiens ça marche !
Received-SPF: pass (google.com: domain of www-data@lafibre.info designates 46.227.16.8 as permitted sender) client-ip=46.227.16.8;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of www-data@lafibre.info designates 46.227.16.8 as permitted sender) smtp.mail=www-data@lafibre.info
-
Donc il faut que je sois plus restrictif dans le SPF pour passer en mode "pass" ?
Ben non!
Plus restrictif = moins de PASS, plus de FAIL
Ce n'est pas faute de l'avoir dit : tu dois contrôler d'où partent les courriels si tu veux utiliser SPF. Tu ne peux pas changer de passerelle SMTP sortante comme ça!
Tu dois te coordonner avec toi-même quand tu changes ta config réseau.
Un jour tu envoies depuis 2a01:6e00:10:410::2, un jour tu envoies depuis 46.227.16.8.
Fais une réunion avec ton administrateur DNS et ton administrateur SMTP et ton administrateur IP et concerte-toi!
-
J'ai modifié lafibre.info. IN TXT "v=spf1 a ?all" en lafibre.info. IN TXT "v=spf1 a ~all"
Comme ça la prochaine que tu changeras la config IP et la config SMTP sans ajuster le SPF, au lieu de partir en NEUTRAL (= p'tet ben qu'oui, p'tet ben qu'non), tes emails seront marqués SOFTFAIL (= message probablement spam).
-
bof,
moi je mets ça pour être sur que ça passe :
IN SPF "v=spf1 include:monserveur1.com include:monserveur2.com ~all."
Avec ça on est bien avancé...
Si tu ne nous montres pas le contenu que tu "include"...
-
bof,
Pourquoi bof ?
lafibre.info. IN TXT "v=spf1 a ~all"
En fait je me pose la question pour IPv6.
A If the domain name has an address record (A or AAAA) that can be resolved to the sender's address, it will match.
2a01:6e00:10:410::2 (IPv6 d'envoi des mails) a un reverse DNS : lafibre.info
46.227.16.8 (IPv4 d'envoi des mails) a un reverse DNS : lafibre.info
Par contre inversement lafibre.info a un champ A mais pas un champ AAAA.
Il existe un champ AAAA mais c'est pour ipv6.lafibre.info
Donc je ne suis pas sur que ce SPF soit ok pour l'IPV6
L'IPv6 est principalement utilisé pour Gmail.
-
tiens ça marche !
Je pense que je vois pourquoi ça change :
google.com MX preference = 10, mail exchanger = aspmx.l.google.com
et
aspmx.l.google.com AAAA IPv6 address = 2a00:1450:400c:c00::1a
aspmx.l.google.com internet address = 173.194.78.26
aspmx.l.google.com internet address = 173.194.78.27
donc selon que le résolveur indique l'une ou l'autre adresse, le serveur se connecte en IPv4 ou IPv6.
-
Pourquoi bof ?
lafibre.info. IN TXT "v=spf1 a ~all"
En fait je me pose la question pour IPv6.
2a01:6e00:10:410::2 (IPv6 d'envoi des mails) a un reverse DNS : lafibre.info
46.227.16.8 (IPv4 d'envoi des mails) a un reverse DNS : lafibre.info
Par contre inversement lafibre.info a un champ A mais pas un champ AAAA.
Il existe un champ AAAA mais c'est pour ipv6.lafibre.info
Donc je ne suis pas sur que ce SPF soit ok pour l'IPV6
L'IPv6 est principalement utilisé pour Gmail.
vous me faite douter de ma config maintenant avec mes includes :p
je dirai :
lafibre IN SPF "v=spf1 mx ip6:2a01:6e00:10:410::2 ip4:46.227.16.8 ~all"
-
Pour alimenter la discussion originale à propos des mails qui arrivent trop souvent en spam : j'ajouterais que la page pour désactiver les notifications mail automatiques n'est pas très facile à trouver.
Quand on passe la souris sur le menu « Profil » en haut, on ne voit que trois options (une destinée à l'affichage d'informations : « Résumé », et deux destinées à la modification d'informations : « Paramètres du Compte », « Profil de base et avatar »). Quand on arrive sur une de ces pages, on voit principalement, en dehors du header du site, le titre de la page suivi du contenu lui-même, pas grand chose d'autre susceptible d'attirer l'attention.
On peut donc penser que les opérations visant à modifier le profil se limitent à ces deux pages, rien d'autre de très visible. Juste au-dessus du titre, et juste en-dessous du fil d'ariane, on a écrit en police de petite taille « Infos du Profil » et « Modifier le Profil », deux liens dont un apparaît sélectionné qui ne sont vraiment pas beaucoup mis en valeur. On a donc l'impression que ce sont juste deux liens sans grande importance pour passer d'une page à l'autre, autre page qui ne nous intéresse pas et dont on a déjà entendu parler. Alors qu'en réalité, on passe la souris pour voir et pof, on découvre que ce sont des menus assez importants et bien fournis, passer sa souris sur « Modifier le Profil » donnant en réalité accès à un second menu déroulant et 8 pages de modification des infos différentes. Là enfin on peut désactiver les notifications mail globalement, mais c'est assez bien caché, de plus il me semble qu'il n'y a pas de lien pour faire ça dans les mails, juste pour la désactivation des notifications pour le sujet concerné.
-
vous me faite douter de ma config maintenant avec mes includes :p
Tu dois inclure quelque chose.
lafibre IN SPF "v=spf1 mx ip6:2a01:6e00:10:410::2 ip4:46.227.16.8 ~all"
lafibre.info MX preference = 1, mail exchanger = redirect.ovh.net
vivien, tu comptes envoyer du courrier via redirect.ovh.net?
-
pas besoin de mettre "mx" par contre mettre "a" ou l'IP c'est équivalent pour moi.
Je pense qu'il faut juste que je rajoute l'IPv6.
Je laisse une journée sans l'IPv6 pour voir pour vous cela pose des problèmes avec gmail (presque tous les autres sont en IPv4)
-
pas besoin de mettre "mx" par contre mettre "a" ou l'IP c'est équivalent pour moi.
Oui, la seule différence est que a implique une requête DNS, et pas une IP explicite.
-
En fait je me pose la question pour IPv6.
2a01:6e00:10:410::2 (IPv6 d'envoi des mails) a un reverse DNS : lafibre.info
QUESTIONS:
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.4.0.0.1.0.0.0.0.e.6.1.0.a.2.ip6.arpa, type = PTR, class = IN
ANSWERS:
-> 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.4.0.0.1.0.0.0.0.e.6.1.0.a.2.ip6.arpa
QUESTIONS:
lafibre.info, type = AAAA, class = IN
AUTHORITY RECORDS:
....
Allô quoi, non mais allô, tu as le reverse et tu as pas le forward, c'est comme si j'te dit, t'es un FAI t'a pas site ouaibe...
Hint : SPF est un mécanisme de sécurité afin de garantir que les messages sont émis depuis un hôte autorisé.
Oui, mais, autorisé par qui?
-
Avec ça on est bien avancé...
Si tu ne nous montres pas le contenu que tu "include"...
vu avec Corrector, ma config n'était pas bonne.
les includes servent à récuperer un spf ailleurs sur un autre serveur.
donc pour ma part cela revient à :
"v=spf1 ip4:XXX.XXX.XXX.XXX include:_spf.google.com ~all"
ps : mon domaine est relié au MX de Google App.
-
ipv4 avec le mx
Mail sent from this IP address: 46.227.16.8
Mail from (Sender): vivien@lafibre.info
Mail checked using this SPF policy: v=spf1 mx ip6:2a01:6e00:10:410::2 ip4:46.227.16.8 ~all
Results - PASS sender SPF authorized
ipv6 avec le mx :
Mail sent from this IP address: 2a01:6e00:10:410::2
Mail from (Sender): vivien@lafibre.info
Mail checked using this SPF policy: v=spf1 mx ip6:2a01:6e00:10:410::2 ip4:46.227.16.8 ~all
Results - ambiguous SPF Ambiguity Warning: No AAAA records found for: redirect.ovh.net
ipv6 sans le mx :
Mail sent from this IP address: 2a01:6e00:10:410::2
Mail from (Sender): vivien@lafibre.info
Mail checked using this SPF policy: v=spf1 ip6:2a01:6e00:10:410::2 ip4:46.227.16.8 ~all
Results - PASS sender SPF authorized
plus d'info :
http://guides.ovh.com/DomainesChampSPF (http://guides.ovh.com/DomainesChampSPF)
http://www.kitterman.com/spf/validate.html? (http://www.kitterman.com/spf/validate.html?)
-
ipv6 avec le mx :
Mail sent from this IP address: 2a01:6e00:10:410::2
Mail from (Sender): vivien@lafibre.info
Mail checked using this SPF policy: v=spf1 mx ip6:2a01:6e00:10:410::2 ip4:46.227.16.8 ~all
Results - ambiguous SPF Ambiguity Warning: No AAAA records found for: redirect.ovh.net
Bizarre, redirect.ovh.net appairait pas dans "mx ip6:2a01:6e00:10:410::2 ip4:46.227.16.8".
-
J'ai finalement désactivé IPv6 pour les mails (inet_protocols = ipv4 rajouté dans postfix)
Je rajouterai l'IPv6 pour les mails quand le site passera en IPv6 en 2014
-
Bouh!
vivien est pas IPv6 ready!
-
Pourquoi bof ?
Parce que tu fais n'importe quoi!
lafibre.info. IN TXT "v=spf1 a ~all"
En fait je me pose la question pour IPv6.
2a01:6e00:10:410::2 (IPv6 d'envoi des mails) a un reverse DNS : lafibre.info
46.227.16.8 (IPv4 d'envoi des mails) a un reverse DNS : lafibre.info
Sans aucun rapport.
Par contre inversement lafibre.info a un champ A mais pas un champ AAAA.
Que le site ne soit pas accessible sur l'Internet v6 est certes regrettable, mais n'a pas à être lié à cette affaire de SMTP.
Peux-tu expliquer à quoi est censé servir SPF?
-
SPF est là pour vérifier si l'ip est autorisée pour envoyer des mails.
Avec lafibre.info. IN TXT "v=spf1 a ~all" je n'autorise que les IP via l'option "a" :
If the domain name has an address record (A or AAAA) that can be resolved to the sender's address, it will match.
Le domaine a bien un enregistrement A et pas un enregistrement AAAA (car SMF est pas compatible pour IPv6, ce sera le cas dans la prochaine version)
Donc Gmail à qui j’envoie mes mails en IPv6 risque de refuser le mail car pas d'enregistrement AAAA correspondant a l'IP où j'ai enregistré le mail.
-
Pour les mails reçus depuis le serveur Lafibre.info, la vérification du SPF de google indique : neutral et non pass
Comment vérifier simplement avec Gmail comment il considère le SPF ? (pass / neutral / reject)
Pour Thunderbird, vous utilisez quelle extension ?
-
Comment vérifier simplement avec Gmail comment il considère le SPF ? (pass / neutral / reject)
C'est marqué dans la trace du parcours de chaque courriel.
Pour Thunderbird, vous utilisez quelle extension ?
Aucune.
C'est dans les informations de trace du message.
-
Comment vérifier simplement avec Gmail comment il considère le SPF ? (pass / neutral / reject)
Pour Thunderbird, vous utilisez quelle extension ?
dans les en-têtes du mail reçu sur gmail
-
2a01:6e00:10:410::2 (IPv6 d'envoi des mails) a un reverse DNS : lafibre.info
46.227.16.8 (IPv4 d'envoi des mails) a un reverse DNS : lafibre.info
Par contre inversement lafibre.info a un champ A mais pas un champ AAAA.
SPF est là pour vérifier si l'ip est autorisée pour envoyer des mails.
Autorisée par qui?
Qui a autorité pour définir la politique d'expéditeur de courriels (= SFP), sinon l'administrateur du domaine?
L'administrateur de quel domaine?
-
Comment vérifier simplement avec Gmail comment il considère le SPF ? (pass / neutral / reject)
Tu veux dire, avant de définir une "politique" incorrecte?
Je pense que Gmail respecte la norme SPF, tout simplement. Pour savoir si une politique est syntaxiquement correcte, qu'elle fait référence à des domaines qui existent, qu'elle a donc un sens, il y a des outils en ligne comme :
SPF Record Testing Tools (http://www.kitterman.com/spf/validate.html?)
Ensuite tu peux vérifier si une politique accepte une certaine IP de client SMTP et une certaine adresse MAIL FROM et une adresse HELO :
Mail sent from this IP address: 46.227.16.8
Mail from (Sender): vivien@lafibre.info
Results - PASS sender SPF authorized
Mail sent from: 46.227.16.8
Mail Server HELO/EHLO identity: lafibre.info
HELO/EHLO Results - PASS sender SPF authorized
et
Mail sent from this IP address: 2a01:6e00:10:410::2
Mail from (Sender): vivien@lafibre.info
Results - softfail domain owner discourages use of this host
Mail sent from: 2a01:6e00:10:410::2
Mail Server HELO/EHLO identity: lafibre.info
HELO/EHLO Results - softfail domain owner discourages use of this host
-
Le domaine a bien un enregistrement A et pas un enregistrement AAAA (car SMF est pas compatible pour IPv6, ce sera le cas dans la prochaine version)
Vraiment?
-
Comment vérifier simplement avec Gmail comment il considère le SPF ? (pass / neutral / reject)
De la même façon qu'en 2011 :
Extrait d'un email automatique de lafibre.info reçu sur GMail, depuis le début de la trace (mon annotation en rouge) :
Return-Path: <vivien_at_lafibre.info>
Received: from smtp1.dbmail.com (smtp1.dbmail.com [160.92.190.1])
by mx.google.com with ESMTP id a70si7320767wek.105.2011.07.01.18.00.10;
Fri, 01 Jul 2011 18:00:10 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning vivien_at_lafibre.info does not designate 160.92.190.1 as permitted sender) client-ip=160.92.190.1;
Authentication-Results: mx.google.com; spf=softfail (google.com: domain of transitioning vivien_at_lafibre.info does not designate 160.92.190.1 as permitted sender) smtp.mail=vivien_at_lafibre.info
Received: from worldlinemail.net (localhost [127.0.0.1])
by mwumf0224.dbmail.com (SMTP Server) with ESMTP id 924C32400DAA
for <_______@gmail.com>; Sat, 2 Jul 2011 03:00:10 +0200 (CEST)
Received: from smtpauth.dbmail.com (unknown [195.200.217.68 (=lafibre.info)])
by mwumf0224.dbmail.com (SMTP Server) with ESMTP id 7F6AA2400DB3
for <_______@gmail.com>; Sat, 2 Jul 2011 03:00:10 +0200 (CEST)
-
L'époque où j'envoyais mes mails via Dartybox ;)
-
SPF est là pour vérifier si l'ip est autorisée (par l'administrateur du domaine) pour envoyer des mails.
Avec lafibre.info. IN TXT "v=spf1 a ~all" (l'administrateur de lafibre.info) n'autorise que les IP via l'option "a" :
Le domaine a bien un enregistrement A et pas un enregistrement AAAA (car SMF est pas compatible pour IPv6, ce sera le cas dans la prochaine version)
C'est l'administrateur du DNS du domaine en question (lafibre.info) qui a autorité pour définir la politique d'envoi.
En aucun cas l'administrateur du DNS d'un domaine dans in-addr.arpa ou ip6.arpa!