Problème d'authentification avec OpenDMARC

Support Debian
#1

Bonjour,

Ça fait presque une semaine que je cherche à comprendre où le problème se situe, il n’y a rien à faire. J’ai écumé des dizaines de forums, de tutos, de notices…

Pour faire court, j’ai un serveur de mail en Debian 8 qui héberge le courrier de plusieurs domaines. Il est en IPv4 et IPv6, n’est pas blacklisté et les ReverseDNS sont configuré correctement. MailTester me retourne toujours un score de 10/10.

Récemment, en plus de DKIM, j’ai voulu ajouter DMARC– Tout s’est bien passé, j’ai suivi à la lettre la procédure incluant l’ajout de l’enregistrement DNS _dmarc, seulement le contrôle effectué me retourne TOUJOURS «fail». Je comprends pas. Es-ce quelqu’un saurait m’aider ?

Si joint, une capture d’écran des entêtes d’un e-mail : Entête courrier

#2

Tu ne parles pas de spf.
Tu es sûr que dmarc fonctionne même sans que le spf soit configuré ?

#3

Le SPF est correctement configuré au niveau des enregistrements DNS.

Voici un exemple : Enregistrements DNS

À savoir que imap.burotec-sarl.com et smtp.burotec-sarl.com pointent sur mail.burotec-sarl.com et que mail.burotec-sarl.com est une IPv4 ou IPv6 d’un serveur valide avec un reverse-DNS tiers (pcm.fast-hosting.ch)

#4

Tiens !
Un domaine chez gandi… :smiley:

Alors attention, il peut y avoir des problémes avec l’alignement des domaines de mails, suivant les diverses formes de domaine qui apparaissent dans les headers, entre le return-path et le from, avec des différences potentielles entre @burotec-sarl.com, @[machine].burotec-sarl.com, etc.
A lire:
https://www.unlocktheinbox.com/emailidentifieralignments/
et un bon testeur qui va avec pour ça:
https://www.unlocktheinbox.com/mail-tester/

Bon, mais je t’avouerais que tout n’est pas encore super clair pour moi sur le dmarc, pour l’instant, à part mes plesk qui se configurent seuls et quelques sites où ce que j’ai indiqué pour le dmarc semble fonctionner sans que je sache vraiment pourquoi, j’en reste à la config spf+dkim.
Va falloir que je m’y colle…

#5

C’est un domaine Gandi, oui. Je suis plutôt content et j’ai nettement moins de problèmes depuis que je fais de l’auto-hébergement qu’à l’époque où j’étais chez Online en mutu’…

Pour ce qui est de l’alignement des domaines, j’y ai pensé et j’ai vérifié maintes et maintes fois. J’ai même donné un petit coup de carte bleue pour avoir un rapport plus détaillé.

Tout semble pourtant OK mais… non. Je suis toujours en Fail.

Voici le résultat d’un test avec le site que tu as cité (fichier PDF) : [ici]

Merci, c’est sympa de me donner un coup de pouce!
Je sais bien que SPF et DKIM sont suffisants pour l’instant mais je redoute de recevoir un jour des «postmaster – failure delivery due to invalid DMARC signature» de la part des gros prestataires comme Google, Hotmail, Yahoo et consort… C’est pourquoi je m’y colle avant (ça fait un moment que les spécifications DMARC sont sorties, je crois).

EDIT : Les Criticals et Warnings sont dûs aux connections SSL qui ne sont pas encore possibles ainsi qu’à l’absence de la gestion du protocol POP3 (que j’estime obsolète). Pas envie de mettre la main au porte-monnaie pour l’instant, et pas envie de me prendre la tête à installer des certificats Certbot/Let’s Encrypt