Je ne vois pas quel lien cela pourrait avoir avec le reverse DNS…
Tu as testé une connexion manuelle à ces serveurs ? Modifié tes règles de filtrage iptables ?
Non je n’ai pas touché à iptables…
Connexion manuelle càd ? Telnet… ?
PS: Sur multirbl.valli.org Il ne voit pas les changements :
FCrDNS Test
rDNS for IP 178.33.x.x 178-33-x-x.ovh.net OK
IP Addresses for 178-33-x-x.ovh.net 178.33.x.x OK
At least one IP address of the DNS lookup for 178-33-x-x.ovh.net matches the original IP OKOui, avec telnet, ou nc (netcat), ou équivalent. Sur le port 25 évidemment, pas sur le port 23 par défaut. Eventuellement un petit tcptraceroute toujours sur le port 25 pour voir où ça coince.
L’ancienne valeur du reverse n’a peut-être pas encore expiré de certains caches DNS. Quelle est la valeur du TTL de l’enregistrement PTR ?
root@smtp-bis:~# nc 67.215.65.132 25
(UNKNOWN) [67.215.65.132] 25 (smtp) : Connection timed out
root@smtp-bis:~# nc sernballvalves.com 25
sernballvalves.com [67.215.65.132] 25 (smtp) : Connection timed out
Et
root@smtp-bis:~# traceroute 67.215.65.132 --sport=25
traceroute to 67.215.65.132 (67.215.65.132), 30 hops max, 60 byte packets
1 192.168.56.1 (192.168.56.1) 0.199 ms 0.104 ms 0.078 ms
2 pdc1-1-m2.fr.eu (213.186.44.252) 0.743 ms 0.863 ms 0.521 ms
3 p19-7-6k.fr.eu (213.186.32.1) 0.855 ms * 0.578 ms
4 th2-g1-a9.fr.eu (213.186.32.134) 0.928 ms 1.649 ms 0.777 ms
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *Comment dois-je procéder ?
Edit: Maintenant cette erreur, toujours sur le port 25 :
Jun 6 15:34:26 smtp-bis postfix/smtp[24593]: 2891940DFB: to=<contact@xxx.com>, relay=none, delay=53562, delays=53535/27/0.49/0, dsn=4.4.1, status=deferred (connect to xxx.com[69.43.x.x]:25: Connection refused)A quoi correspond cette adresse ? C’est un des MX auxquels postfix n’arrive pas à se connecter ?
Ta commande fait un traceroute en UDP avec le port source 25, rien à voir avec un traceroute TCP avec le port destination 25.
Pour afficher le TTL de l’enregistrement PTR du reverse :
(juste la dernière réponse)
Pour le “refused”, pareil : telnet/nc et tcptraceroute sur le port 25 de l’adresse.
En regardant les logs, j’ai récupéré une adresse de la forme :
Jun 6 17:53:45 smtp-bis postfix/smtp[18320]: connect to gustitalie.com[69.43.161.155]:25: Connection refused
Jun 6 17:53:45 smtp-bis postfix/smtp[18320]: 2891940DFB: to=<xxx@gustitalie.com>, relay=none, delay=61922, delays=61894/27/0.54/0, dsn=4.4.1, status=deferred (connect to gustitalie.com[69.43.161.155]:25: Connection refused)Voici :
root@smtp-bis:~# tcptraceroute 69.43.161.155 25
traceroute to 69.43.161.155 (69.43.161.155), 30 hops max, 60 byte packets
1 192.168.56.1 (192.168.56.1) 0.254 ms 0.159 ms 0.141 ms
2 pdc1-1-m2.fr.eu (213.186.44.252) 0.887 ms 0.559 ms 0.666 ms
3 p19-2-6k.fr.eu (213.251.130.148) 46.683 ms * *
4 gsw-g1-a9.fr.eu (213.186.32.154) 1.022 ms 1.243 ms 1.088 ms
5 rbx-g2-a9.fr.eu (91.121.131.213) 5.075 ms rbx-g2-a9.fr.eu (91.121.215.151) 4.630 ms 4.601 ms
6 * * *
7 * * *
8 if-8-908.tcore1.L78-London.as6453.net (80.231.130.101) 8.551 ms if-25-800.tcore1.L78-London.as6453.net (80.231.130.113) 8.472 ms 8.238 ms
9 if-4-2.tcore1.NJY-Newark.as6453.net (80.231.130.34) 80.784 ms if-7-2.tcore1.NJY-Newark.as6453.net (66.198.70.25) 80.994 ms 80.901 ms
10 if-2-2.tcore2.NJY-Newark.as6453.net (66.198.70.2) 82.843 ms 84.935 ms 80.132 ms
11 if-14-14.tcore2.NTO-NewYork.as6453.net (66.198.111.126) 80.056 ms 78.069 ms 80.197 ms
12 Vlan888.icore2.NTO-NewYork.as6453.net (216.6.81.61) 77.461 ms 80.048 ms 79.953 ms
13 Vlan585.icore2.NTO-NewYork.as6453.net (209.58.26.70) 80.214 ms 80.160 ms 77.380 ms
14 207.88.14.185.ptr.us.xo.net (207.88.14.185) 165.811 ms 166.773 ms 158.329 ms
15 te-3-0-0.rar3.atlanta-ga.us.xo.net (207.88.12.9) 158.078 ms 157.637 ms 157.405 ms
16 te-3-0-0.rar3.dallas-tx.us.xo.net (207.88.12.2) 164.817 ms 164.475 ms 164.906 ms
17 ae0d0.mcr2.sandiego-ca.us.xo.net (216.156.0.126) 157.098 ms 155.845 ms 155.756 ms
18 216.55.27.26 (216.55.27.26) 149.457 ms 153.377 ms 148.503 ms
19 ge5-1-6509-a.castleaccess.com (69.43.169.80) 150.180 ms 152.038 ms 149.708 ms
20 69.43.129.188 (69.43.129.188) 147.705 ms 148.162 ms 147.595 ms
21 69.43.161.155 (69.43.161.155) 145.679 ms 146.153 ms 147.130 msEt voilà, j’ai du faire le dig depuis un autre serveur.
dig +trace -x 69.43.161.155
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +trace -x 69.43.161.155
;; global options: +cmd
. 170491 IN NS d.root-servers.net.
. 170491 IN NS b.root-servers.net.
. 170491 IN NS j.root-servers.net.
. 170491 IN NS a.root-servers.net.
. 170491 IN NS h.root-servers.net.
. 170491 IN NS g.root-servers.net.
. 170491 IN NS k.root-servers.net.
. 170491 IN NS c.root-servers.net.
. 170491 IN NS f.root-servers.net.
. 170491 IN NS e.root-servers.net.
. 170491 IN NS m.root-servers.net.
. 170491 IN NS l.root-servers.net.
. 170491 IN NS i.root-servers.net.On dirait qu’il manque la fin de la sortie de ces deux commandes.
Le dig, c’est avec l’adresse IP de ton serveur qu’il faut le faire. Rien à cirer du reverse des autres MX auxquels il tente d’envoyer du courrier.
Je refais tout ça demain.
Je vais devoir installer dnsutils manuellement.
Merci pour ton aide, désolé si je patauge… bonne soirée 
Je viens de tester de mon côté, tous ces hôtes n’existent pas, refusent les connexions SMTP ou ne répondent pas. Donc ces erreurs dans tes logs sont normales.
Ce qui l’est moins, c’est pourquoi ton serveur tente de leur envoyer du courrier. Il ne servirait pas de relais de spam, des fois ?
Note : visiblement, tu utilises un serveur DNS menteur d’OpenDNS pour la résolution de nom, ce qui n’est pas approprié pour un serveur de mail car au lieu de répondre qu’un nom de domaine n’existe pas (comme sernballvalves.com), il renvoie l’adresse IP d’un serveur d’OpenDNS (67.215.65.132, reverse hit-nxdomain.opendns.com).
[quote=“PascalHambourg”]Je viens de tester de mon côté, tous ces hôtes n’existent pas, refusent les connexions SMTP ou ne répondent pas. Donc ces erreurs dans tes logs sont normales.
Ce qui l’est moins, c’est pourquoi ton serveur tente de leur envoyer du courrier. Il ne servirait pas de relais de spam, des fois ?
Note : visiblement, tu utilises un serveur DNS menteur d’OpenDNS pour la résolution de nom, ce qui n’est pas approprié pour un serveur de mail car au lieu de répondre qu’un nom de domaine n’existe pas (comme sernballvalves.com), il renvoie l’adresse IP d’un serveur d’OpenDNS (67.215.65.132, reverse hit-nxdomain.opendns.com).[/quote]
Hum, ce qui est je pense rassurant, je comprends mieux.
Non absolument pas, à la rigueur on s’en sert pour du mailing mais il est essentiellement ici car tous nos clients passent par celui-ci pour envoyer des mails.
Pour OpenDNS, que dois-je faire alors ? Je vais contacter l’ancien admin pour tirer cela au clair.
Encore merci pour ton aide.
Il faut utiliser d’autres serveurs DNS caches récursifs non menteurs, par exemple :
- les serveurs DNS fournis par l’hébergeur s’ils ne mentent pas ;
- d’autres serveurs DNS publics mais non menteurs, comme ceux de Google (8.8.8.8 et 8.8.4.4) ;
- son propre serveur DNS récursif avec bind9, unbound…
Pour un serveur dédié, notamment s’il y a déjà BIND qui tourne dessus, je pense que la meilleure solution (mais pas la plus simple, comme souvent) est de mettre en place son propre serveur DNS cache récursif, à condition de restreindre les requêtes récursives à la machine elle-même. Cela a l’avantage de l’indépendance vis-à-vis de serveurs DNS récursifs tiers (pannes, confidentialité…).
Bonjour,
J’ai pu avoir l’ancien admin. Alors en fait on a un bind9 qui tourne sur ce même serveur, mais lorsque celui-ci ne peut pas être joignable on switch sur les dns d’opendns… Je vais regarder ce qui cloche de ce côté.
Merci beaucoup pour l’aide apportée, cela m’aura bien aidé !
Dernière question, les mails envoyés ne passent pas sur tous les domaines, par exemple je ne reçois rien sur mon compte gmail :
Jun 13 13:55:59 smtp-bis postfix/smtp[3633]: 2C3DD419C5: to=<xxx@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.67.27]:25, delay=1.4, delays=0.01/0/0.09/1.3, dsn=2.0.0, status=sent (250 2.0.0 OK 1371124820 pc6si9007845wjb.51 - gsmtp)Tu aurais une idée ? Il n’est même pas mis en tant que spam, il n’est juste pas là.
root@smtp-bis:/etc/postfix# tcptraceroute gmail.com 25 && dig +trace -x gmail.com
traceroute to gmail.com (173.194.40.181), 30 hops max, 60 byte packets
1 192.168.56.1 (192.168.56.1) 0.111 ms 0.082 ms 0.079 ms
2 pdc1-1-m2.fr.eu (213.186.44.252) 0.712 ms 0.931 ms 0.976 ms
3 p19-2-6k.fr.eu (213.186.32.20) 0.782 ms * *
4 th2-g1-a9.fr.eu (213.186.32.149) 1.101 ms 1.149 ms 1.092 ms
5 th2-1-6k.fr.eu (91.121.128.163) 0.860 ms 0.774 ms *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
; <<>> DiG 9.7.3 <<>> +trace -x gmail.com
;; global options: +cmd
. 517162 IN NS c.root-servers.net.
. 517162 IN NS d.root-servers.net.
. 517162 IN NS j.root-servers.net.
. 517162 IN NS i.root-servers.net.
. 517162 IN NS g.root-servers.net.
. 517162 IN NS m.root-servers.net.
. 517162 IN NS e.root-servers.net.
. 517162 IN NS a.root-servers.net.
. 517162 IN NS l.root-servers.net.
. 517162 IN NS h.root-servers.net.
. 517162 IN NS b.root-servers.net.
. 517162 IN NS k.root-servers.net.
. 517162 IN NS f.root-servers.net.
;; Received 228 bytes from 208.67.222.222#53(208.67.222.222) in 12 ms
in-addr.arpa. 172800 IN NS a.in-addr-servers.arpa.
in-addr.arpa. 172800 IN NS b.in-addr-servers.arpa.
in-addr.arpa. 172800 IN NS c.in-addr-servers.arpa.
in-addr.arpa. 172800 IN NS d.in-addr-servers.arpa.
in-addr.arpa. 172800 IN NS e.in-addr-servers.arpa.
in-addr.arpa. 172800 IN NS f.in-addr-servers.arpa.
;; Received 416 bytes from 193.0.14.129#53(k.root-servers.net) in 11 ms
in-addr.arpa. 3600 IN SOA b.in-addr-servers.arpa. nstld.iana.org. 2011028666 1800 900 604800 3600
;; Received 108 bytes from 200.10.60.53#53(d.in-addr-servers.arpa) in 256 msMerci encore.
Vérifie notamment si la récursion est autorisée.
Le log semble indiquer que le serveur gmail-smtp-in.l.google.com a bien accepté le mail "status=sent (250 2.0.0 OK ". Cependant ce serveur n’est pas listé dans les enregistrements MX du domaine destinataire google.com que je vois ici (je n’ai qu’un poste Windows à disposition) :
[code]nslookup -q=mx google.com 8.8.8.8
Serveur : google-public-dns-a.google.com
Address: 8.8.8.8
Réponse ne faisant pas autorité :
google.com MX preference = 40, mail exchanger = alt3.aspmx.l.google.com
google.com MX preference = 30, mail exchanger = alt2.aspmx.l.google.com
google.com MX preference = 20, mail exchanger = alt1.aspmx.l.google.com
google.com MX preference = 10, mail exchanger = aspmx.l.google.com
google.com MX preference = 50, mail exchanger = alt4.aspmx.l.google.com[/code]
Je me demande pourquoi ton postfix envoie le mail destiné à google.com à ce serveur. Sur ton serveur, que donne la commande suivante ?
Qu’attends-tu au juste du résultat de ces commandes pour le moins incongrues ?
Bonjour 
Je l’ai autorisé.
allow-recursion { internals; };Oui c’est ce qui me semblait bizarre…
Mon dig renvois la même chose que ton nslookup :
root@smtp-bis:~# dig mx google.com
; <<>> DiG 9.7.3 <<>> mx google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29777
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;google.com. IN MX
;; ANSWER SECTION:
google.com. 600 IN MX 50 alt4.aspmx.l.google.com.
google.com. 600 IN MX 40 alt3.aspmx.l.google.com.
google.com. 600 IN MX 10 aspmx.l.google.com.
google.com. 600 IN MX 30 alt2.aspmx.l.google.com.
google.com. 600 IN MX 20 alt1.aspmx.l.google.com.
;; Query time: 25 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Wed Jun 19 09:27:42 2013
;; MSG SIZE rcvd: 136Il va falloir que je change le smtp d’envois pour Google je suppose ?
Pour la commande… je viens de me rendre compte qu’elle était totalement inappropriée, désolé.
Désolé, erreur de lecture de ma part. J’ai confondu le domaine gmail.com avec google.com. Le serveur qui a accepté le mail est bien le MX principal pour le domaine destinataire gmail.com et je ne sais pas pourquoi le mail n’apparaît pas dans la boîte aux lettres. Il faut demander à Gmail, à partir du moment où le mail est accepté ils en sont responsables.
D’accord je te remercie, je les ai contacté via formulaire, je ne suis pas le seul à avoir ce problème.
Je mets en résolu alors, merci pour ton aide !
A bientôt