Mail-tester détecte de mauvaises règles spf avec un .ynh.fr [smpt orange utilisé]

Bonjour,

J’ai YunoHost installé (3.6.5.3), et j’utilise un .ynh.fr . Je suis un newbie en sysadmin, et donc en dns. Ca veut dire que je ne peux pas régler le dns moi-même ? (je ne sais pas si c’est possible de le faire en local ou pas). Exemple : pour régler les règles spf pour le mail.

edit du pourquoi du comment cette question Mes règles spf ne passent pas au niveau de mail-tester (voir dessous). Je suis chez Orange, et j’ai suivi les indications de la page : https://yunohost.org/#/isp_orange_fr , tout est ok, je peux envoyer des mails.

Merci,

Bonjour,
Avec les adresses fournies par yunohost, tu n’as pas la main sur les configurations DNS. La règle spf est configurée automatiquement avec les adresses en .ynh.fr, tu n’as pas à t’en inquiéter.

Visiblement, mail-tester n’est pas convaincu :

Vous n’êtes pas autorisé à utiliser l’une de vos adresses e-mail d’envois
(spf) domain.tld n’autorise pas votre serveur 80.12.242.28 à utiliser user@domain.tld

A noter que j’ai envoyé ce mail depuis mon K9 mail et que je passe par le serveur smtp d’orange (port 25 bloqué). Je crois que ça peut venir de là, je vais investiguer :3

edit j’ai une erreur de reverse dns :

Votre adresse IP 80.12.242.128 est associée au nom de domaine > smtp06.smtpout.orange.fr .
Néanmoins votre message semble être envoyé de smtp.smtpout.orange.fr .

Vous devriez modifier l’enregistrement du pointeur DNS (Type PTR) et le nom d’hôte (host name) de votre serveur avec la même valeur

Voici les valeurs testées pour cette vérification

Du coup, si je comprends bien comme les règles automatiques spf du dyndns de yunohost utilise l’ip à laquelle est mon serveur, et que mes mails sortent du serveur d’orange, les règles spf sont plus validées car c’est le serveur smtp d’orange qui est utilisé comme smtp out ?

Bonjour,

As-tu essayé de regarder ici ?

Oui, justement. Mais effectivement, j’ai totalement zappé de mettre les infos techniques nécessaires dans mon premier mail >.<" (pas prévu que ça partirait comme ça, désolé). Je fais ça tout de suite.

Oui, j’ai suivi cette page, tout est ok, je peux envoyer des mails. Mais justement, comme je passe par le server smtp d’orange, c’est lui qui est identifié comme mon serveur d’envoi de mails, non ?

Eventuellement, il est possible d’utiliser un hook yunohost : custom_dns_rules pour charger d’autres règles DNS…

Mais je ne sais pas si ça a déjà vraiment été utilisé ainsi…

Je suis un total newbie en dns. Est-ce que par hasard tu aurais un lien pour expliquer comment ça fonctionne ? (le dns en général, je commence à comprendre, mais les hook je ne sais pas ce que c’est ni comment ça s’utilise ^^")

Le concept général des hooks c’est en gros un script additionnel qui se lance lors d’une action yunohost. En l’occurence là l’action c’est la création de la configuration DNS.

En général ce sont des apps qui utilisent ça. Mais on peut aussi créer ses propres hooks. C’est assez underground, complètement pas documenté et il faut savoir écrire du bash.

Les hooks se place dans /etc/yunohost/hooks.d (ou quelques chose du genre).

Il faudrait que l’un de nous t’écrive le hook en question…

De toute façon, je pense que je vais m’acheter un nom de domaine, mais j’ai pas non plus envie de laisser tomber mon domaine.ynh.fr (j’aime bien cette extension :D).

Il y a moyen de faire fonctionner les deux ? Et est-ce que ça me permettrait de ne plus passer par le serveur smtp d’Orange ? (je ne sais pas si il y a de la redirection de port avec le dns …)

edit pour le hook : a priori, j’ai le temps pour apprendr à en faire, mais je sais pas du tout où trouver des ressources pour apprendre à le faire …

edit2 un vpn permettrait de régler le problème, non ? (on m’a aussi parler de vps, si j’ai bien compris, c’est une machine virtuelle, mais j’en ai pas besoin si c’est juste de la redirection de ports, non ?). Ou alors il faut dns + vpn ?

Oui, tu peux ajouter un domaine directement à partir de l’interface web d’administration de yunohost en conservant ton adresse ynh.fr. La seule limite est un seul domaine yunohost par instance quel qu’il soit (ynh.fr, nohost.me ou noho.st), par contre pas de soucis pour ajouter d’autres domaines.

Non, orange ne permet pas d’ouvrir le port 25 et de ce fait n’accepte pas l’envoi de mails autrement que par ses serveurs d’où le relay nécessaire dans postfix. Un VPN doit pouvoir contourner ceci.

Je ne crois pas que ce soit aisé de le faire, j’ai déjà fais un hook de sauvegarde pour ajouter des fichiers aux sauvegardes de base et je m’étais contenter de mettre le script dans /etc/yunohost/hooks.d/backup en prenant pour modèle les scripts présents dans /usr/share/yunohost/hooks/backup. Cependant je ne vois rien dans ce dossier qui pourrait convenir comme base pour ce que tu veux faire. Comme le dit ljf, je pense qu’il faudrait qu’un dev puisse t’épauler dans cette tâche.

DNS plus VPN à ip publique ça marche aussi oui, mais ça a un coût.

Je viens de retrouver la PR qui a intégré le hook en question dans le code.

Du coup pour faire ce que tu veux il faut créer un fichier: /etc/yunohost/hooks.d/custom_dns_rules avec quelques choses qui ressemble à ça dedans:

#!/bin/bash

echo '[{"type": "TXT", "name": "@", "value": "\"v=spf1 a mx include:smtp.orange.fr -all\"", "ttl": 3600 }]' > $YNH_STDRETURN

Note 1: avec ça n’importe qui avec une connexion orange peut envoyer des emails avec ton nom de domaine.

Note 2: j’ai pas testé ce hook, je ne sais pas si ça marche.

Pour tester: une fois que c’est fait il faut relancer une mise à jour des données sur ynh.fr avec la commande yunohost dyndns update --force

Puis

dig TXT TONDOMAINE.TLD

ailleurs que sur ton serveur. Si le SPF contient smtp.orange c’est gagné

2 Likes
  • A priori, ce n’est pas très grave de mon point de vue si toutes les personnes qui envoient via le smtp d’orange sont identifiés ok par le spf. De toute façon, y a toujours les règles DKIM et autres.

  • Le hook ne fonctionne pas :’( Je ne vois pas de changement au niveau du dns (enfin, disons que le “dig TXT domain.tld”) m’a pas l’air changé par rapport à ce que me disait mail-tester.

  • L’attribut “–force” n’existe pas pour “yunohost dyndns update”, et je ne sais pas trop ce que fait cette commande. Elle me dit “Info: No update needed.” J’ai restart le serveur, mais je ne sais pas si ça suffit.

  • Dans tous les cas, je te dis un IMMENSE rien déjà que pour avoir pris le temps de chercher une solution :slight_smile: [idem aux autres :3]

edit
Dans tous les cas, j’ai l’impression (vous me contredirez peut-être (j’espère)) que ça ne peut pas être efficace. Le serveur de sortie détecté par mail-tester indique pour mon dernier test (pour voir au cas où)

Votre adresse IP 80.12.242.123 est associée au nom de domaine smtp01.smtpout.orange.fr .
Néanmoins votre message semble être envoyé de smtp.smtpout.orange.fr .

Avant, c’était smtp06 qui était utilisé. Le fait qu’Orange change de smtp de sorties peut pas être embêtant ici ?

yunohost dyndns update sert à mettre à jour les entrée DNS pour le nom de domaine. Ça sert principalement au Ip dynamiques pour mettre à jour la nouvelle adresse quand elle change. Cette commande est lancée toute les 2 minutes avec une tâche cron, voir /etc/cron.d/yunohost-dyndns. D’ailleurs rien ne sert de laisser cette tâche cron se lancer si l’Ip est fixe, il y a moyen de commenter la ligne de ce script.
Donc pas besoin de redémarrer le serveur avec cette commande et l’option --force n’existe pas, je te le confirme. Pour connaître les options de yunohost, utilise l’option -h. Cette option est reconnue à tous les niveaux de la commande.

Là il s’agit d’une erreur de reverse DNS. Ça ne peut se faire qu’au niveau du FAI en modifiant l’enregistrement PTR, autant te dire qu’il ne faut espérer quoi que ce soit de leur côté. Si ça peut te rassurer, j’utilise le mail avec yunohost et je n’ai pas de reverse non plus, ça fonctionne quand même pas mal. Par contre tout le reste est Ok, c’est la seule chose qui est mal configuré et ce n’est pas bloquant sauf avec Microsoft ou je suis considéré comme spam, mais là c’est eux qui bloquent les Ip de particuliers, rien à voir avec les configurations. Si tu as des contacts avec ce type d’adresse (hotmail, office365), demande leur de te passer en acceptable. En conclusion tu peux très bien avoir le SPF de bien configuré avec un reverse DNS qui ne correspond pas au nom de domaine.
Plus tu auras d’éléments mal configurés, plus le risque de se retrouver en spam, voire ne pas être distribué est grand.
Là tu n’auras pas trop le choix sauf si ljf t’apporte une solution/correction pour le hook.

1 Like