Comment configurer le mail du serveur pour être une redirection OVH -> autre fournisseur de mail?

Bonjour,

Une connaissance cherche à utiliser son serveur Yunohost sur DomainePrincipal loué chez OVH, en plus d’une redirection de mail (depuis l’adresse OVH/du domaine principal) vers une messagerie externe. En l’occurrence Gmail (ce qui n’aide pas).

Problème : comment configurer la zone DNS pour cela ?

Actuellement, la redirection automatique depuis le serveur Yunohost fonctionne (mais pas celle depuis OVH), sauf que le SPF n’est pas accepté (car invalide ?) par Google donc le mail est rejeté. Cela marche avec d’autres fournisseurs (moins pointilleux sur le SPF). L’écriture de mail depuis OVH/Gmail avec cette adresse fonctionne. Ça se voit aussi sur la messagerie du serveur Yunohost.
Récemment j’ai modifié sa zone DNS en fonction des recommandations de Yunohost.
Sauf que depuis, l’envoi du mail fonctionne, mais pas la réception avec redirection vers Gmail (le reste fonctionne comme dit plus haut).
Je crois que ça a touché le champ MX, d’autres champs, et le SPF.

Gmail se plaint de ça :

<main_mail@gmail.com> (expanded from <mail@domain.tld`>): host
gmail-smtp-in.l.google.com[74.125.71.26] said: 550-5.7.26 This mail has
been blocked because the sender is unauthenticated. 550-5.7.26 Gmail
requires all senders to authenticate with either SPF or DKIM. 550-5.7.26
550-5.7.26 Authentication results: 550-5.7.26 DKIM = did not pass
550-5.7.26 SPF [domain.tld] with ip: [SOME_IP] = did not pass
550-5.7.26 550-5.7.26 For instructions on setting up authentication, go
to 550 5.7.26 Email sender guidelines - Gmail Help
bi25-20020a05600c3d9900b0040d41539690si1434686wmb.95 - gsmtp (in reply to
end of DATA command)

La configuration du SPF est actuelle celle d’origine v=spf1 include:mx.ovh.com ~all plutôt que celle proposée par Yunohost et qui posait problème v=spf1 a mx -all.

Avez-vous une idée de ce qui pose problème ?
Merci d’avance :slightly_smiling_face:


La zone DNS complète:

$TTL 3600
@	IN SOA dns113.ovh.net. tech.ovh.net. (LONGNUMBER)
        IN NS     dns113.ovh.net.
        IN NS     ns113.ovh.net.
        IN MX     10 @
        IN A     SERVER_IP
        IN AAAA     SERVER_IPV6
    600 IN TXT     "v=spf1 include:mx.ovh.com  -all"
        IN CAA     0 issue "letsencrypt.org"
*        IN A     SERVER_IP
*        IN AAAA     SERVER_IPV6
_dmarc        IN TXT     "v=DMARC1; p=none"
_dmarc.www        IN TXT     "v=DMARC1; p=none"
mail._domainkey        IN TXT     "v=DKIM1; h=sha256; k=rsa; p=XXXXX"
mail._domainkey.www        IN TXT     "v=DKIM1; h=sha256; k=rsa; p=XXXXX"
www        IN MX     10 www
www        IN A     SERVER_IP
www        IN AAAA     SERVER_IPV6
www    600 IN TXT     "v=spf1 include:mx.ovh.com  -all"

Nous avons récemment eu un utilisateur avec le même genre d’exigence venant de Google. Il faudrait, semble-t-il, ajouter une mention ip4:<ip publique> dans l’entrée SPF. Reste à trouver la plage d’IPv4 utilisée par les serveurs MX d’OVH, si je comprends bien.

cf. Le tableau en bas de cette page:


Edit : en relisant la zone DNS et ton message, je suis confus et ne comprends pas le include:mx ovh.com. Ne faudrait-il pas y mettre plutôt le nom de domaine principal du serveur, et une entrée ip4:<ip publique du serveur?

1 Like

J’ai testé avec la personne, et en fait elle reçoit les mails redirigé depuis Yunohost dans les spam. Enfin, pas tous, mais la plupart.

Je ne sais pas, c’était comme ça à l’origine pour la configuration d’OVH.

Ne faudrait-il pas y mettre plutôt le nom de domaine principal du serveur, et une entrée ip4:<ip publique du serveur?

Avec quel objectif ? Que ça marche sur le serveur ? Ou chez OVH ?

Actuellement j’ai réussi à avoir les mails du serveur reçu de l’extérieur, sauf de Gmail (ou alors en spam). Les envois depuis le serveur ou depuis la redirection Gmail fonctionnent.
Je ne comprends pas comment signer correctement les mails Gmail.

Passe par un mail tester pour voir ce qui ne va pas. :wink:

Ah, je découvre :slight_smile:

Considérez vous comme chanceux si votre e-mail arrive à destination.
Votre note :
3.2/10

Ah ! :rofl:

Donc il me dit que le DKIM est valide.
Et que le SPF ne l’est pas.

Il propose v=spf1 include:mx.ovh.com ip4:IPV4duServeur ~all au lieu de v=spf1 include:mx.ovh.com ~all.

Erf, on reboucle sur l’enregistrement SPF initial, mais qui ne plaît pas à Google…

C’est pas tout à fait le même du coup.

Alors j’ai fait le test sur un mail tester.

Un envoi depuis le serveur donne le DKIM valide, le DMARC valide, le SPF valide, et le Reverse DNS valide, et un note de 6.2.
Un envoi depuis Gmail donne le DKIM non présent, le DMARC valide (mais mentionnant OVH), le SPF valide mais pointant sur OVH, et le Reverse DNS valide mais chez OVH, indique que le serveur est celui d’OVH, et un note de 6.8.

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.