Serveur mail / Améliorer sa note avec DKIM/SPF / Orange / NDD OVH

Salut à tous,

Je suis Yunohost 3.2.1 sous un RPI 1 ere génération. Je suis en train d’installer pas mal de service au fur et à mesure mais la je sèche sur quelques points.

Mon RPI est derrière une livebox orange avec une IP dynamique donc (fibre). J’ai mis en place via ddclient la mise à jour de l’IP vers un nom de domaine OVH sur lequel j’ai sacrément galéré (voir mon poste Migration NDD OVH et maj IP dynamique Orange)

Du coup je me retrouve comme l’a indiqué le post précédent avec mon nom de domaine par défaut sur yunohost qui est www.xxxx.com. Donc en gros ca c’est mon adresse d’interface web.
J’ai rajouté un autre sous domaine server.xxx.com qui est plus pour les autres types de servers et notamment le mail.

Cependant ya toujours le NDD principal xxx.com qui pointe vers une adresse d’OVH (puisque OVH ne permet pas la mise à jour en dyndns d’un root domain). Mais quand je tape xxx.com dans le navigateur ca pointe vers www.xxx.com.

Du coup revenons à nos moutons électriques. Le serveur mail. Dans postfix j’ai mis dans myhostname server.xxx.com et j’ai déclaré dans la zone DNS d’ovh une ligne xxx.com IN MX server.xxx.com.

Mais comme je veux que mes mails soient de la forme xxx.com et non pas server.xxx.com j’ai modifié dans postfix la valeur mydomain.

Voila du coup j’ai fait un test, j’arrive à recevoir des mails de la forme pouet@xxx.com et j’arrive même à en envoyer vers gmail sans que cela soit considéré comme du spam.

Cependant, j’ai fait un test sur mail-tester et je me prends une gifle sur DKIM et SPF. ((en gros j’ai 6.5/10 mais je perds déjà -1.5 à cause d’un blacklist sur 3 servers et -2 à cause du DKIM et SPF)
Du coup j’aborde déjà mon premier problème : le DKIM.
Quand j’ai analysé mes logs je me rends compte que mes mails ne sont pas signés. Ni une, ni deux, je vérifie ma zone DNS et mail-tester trouve bien un enregistrement DKIM mais il n’y a pas de signature. Du coup je vérifie et je me rends compte que tout bêtement rmilter ne tourne pas.

Alors je vérifie et je me rends même compte que rmilter n’est même pas installé ! Du coup je l’installe via les dépots (apt-get tout ca) et quand je le lance, il me crache un “unable to get pidfile /run/rmilter.pid”. J’ai googlé et je n’ai rien trouvé de probant malgré des tests (j’avais vu une histoire de systemctl disable rpasmd.socket mais ca n’a rien changé). Je voulais installer opendkim mais il me semble avoir vu un post quelque part sur le forum qui disait que Yunohost basait sa conf sur rmilter plutot que opendkim. Du coup j’ai pas creusé cette piste encore.

Sachant que pour rmilter je l’ai installé et je n’ai rien touché à sa conf j’ai vraiment pris le truc de base.

Des idées ?

De mémoire c’est rspamd qui s’occupe aujourd’hui de DKIM. Pas besoin de rmilter.

Sinon à ta place, j’aurais utilisé un nom de domaine en nohost.me et j’aurais fait un CNAME de xxx.com vers ce nom de domaine en nohost.me. Comme ça le dyndns c’était réglé.

Je ne comprend pas l’intérêt d’avoir changé la conf postfix.

Pour dkim, il suffit logiquement dans ce cas de répercuter la conf DNS proposée par l’interface d’administration Domaine > xxx.com > DNS configuration
et potentiellement fair ela même chose avec server.xxx.com

Enfin concernant ta note, il faut aussi mettre en place une ip statique, non blacklistée et avoir un reverse DNS. Le bilan c’est que quasi aucun gros FAI français fournit un trucs correct voir la doc à ce sujet.

C’est pourquoi j’utilise un VPN à ip fixe public voir db.ffdn.org pour trouver un FAI qui peut t’en proposer.

Pour postfix de mémoire la variable mydomain est configuré pour être le nom de domaine par defaut (soit server.xxx.com). Or je voulais que mes mails affichent xxx.com d’ou ma modification. La variable hostname c’est pour le server MX est du coup j’ai mis la valeur server.xxx.com que j’ai déclaré dans ma zone DNS.

Mais possible que je me trompe. Merci pour l’idée du VPN je creuserai ca.

Je vais regarder pour rspamd. Il me semble en avoir vu quelque part mais je crois pas avoir vu de processus de ce nom qui tournait en faisant ps aux | grep rspam.

Je vais creuser dans cette direction