Problème envoir mail en masse (blocage par google)

Support Debian
#1

Bonjour,

J’ai un client dont j’administre le serveur. Sur le serveur, plusieurs sites sont présent, et ce client à sur un de ses site une possibilité d’inscription. Or, lors de l’envois des mails de confirmation, ces derniers reste planté dans la file d’attente de postfix :

Et ce visiblement uniquement pour les utilisateurs gmail.

Visiblement, il est nécessaire de configurer des enregistrements PTR et TXT (avec su SFP) d’après le lien indiqué dans l’erreur, et après avoir lu plusieurs files de discution, il n’est pas necessaire (voir pas recommandé) de créer un fichier d’enregistrement PTR par domaine (sinon bind envoi en utilisant une méthode de round-robin)

Pour des raisons de confidentialité, j’ai volontairement masqué les adresses IP/Nom de domaine en gardant bien entendu une cohérences des informations.

Le serveur est un dédié de chez netissime, le domaine dns26.com leur appartient, un sous domaine a été créé par leur soins pour accéder au serveur.

Nom du domaine du site internet en question : nomdusite.com
Nom du domaine principale : nomprincipal.dns26.com

Pour la configuration de bind9 :

  • Un fichier /etc/bind/zones/nomprincipal.dns26.com qui contient :

$TTL 86400 @ IN SOA nomprincipal.dns26.com. webmaster.nomprincipal.dns26.com. ( 2014050909 ; Serial 1200 ; Refresh 1200 ; Retry 2419200 ; Expire 86400 ) ; Negative Cache TTL ; @ IN NS nomprincipal.dns26.com. @ IN MX 10 mail.nomprincipal.dns26.com. mail.nomprincipal.dns26.com. IN A 95.154.18.27 @ IN A 95.154.18.27 mail.nomprincipal.dns26.com. IN TXT "v=spf1 include:_spf.google.com ~all"

  • Un fichier /etc/bind/zones/18.154.95.in-addr.arpa

[quote]$TTL 86400
@ IN SOA localhost. root.localhost. (
2014050906 ; Serial
8H ; Refresh
4H ; Retry
4W ; Expire
1D ) ; Negative Cache TTL

            NS      ns.nomprincipal.dns26.com.

27 PTR nomprincipal.dns26.com.
27 PTR mail.nomprincipal.dns26.com.
[/quote]

  • Et enfin un fichier /etc/bind/named.conf.local qui contient :

[code]zone “18.154.95.in-addr.arpa” {
type master;
file “/etc/bind/zones/18.154.95.in-addr.arpa”;
};

zone “nomprincipal.dns26.com” {
type master;
file “/etc/bind/zones/nomprincipal.dns26.com”;
};
[/code]

Concernant la partie postfix, mon fichier main.cf contient ceci :

[code]# See /usr/share/postfix/main.cf.dist for a commented, more complete version

Debian specific: Specifying a file name will cause the first

line of that file to be used as the name. The Debian default

is /etc/mailname.

#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

appending .domain is the MUA’s job.

append_dot_mydomain = no

Uncomment the next line to generate “delayed mail” warnings

#delay_warning_time = 4h

readme_directory = no

TLS parameters

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_client_message_rate_limit = 200

See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for

information on enabling SSL in the smtp client.

myhostname = nomprincipal.dns26.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = nomprincipal.dns26.com, localhost.dns26.com, localhost, site1.com, site2.com, site3.com, etc.com
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
virtual_alias_maps = hash:/etc/postfix/virtual
[/code]

Les zones sont bien chargé (pas d’erreur dans le syslog concernant postfix ou bind9)

Je ne sais plus quoi faire, pouvez-vous m’aider ??

-= Informations complémentaire =-

Serveur : Ubuntu server 14.04 LTS x64
Version de bind9 : 9.9.5-3-Ubuntu
Version de postfix : 2.11.0

Commande executé depuis un autre ordinateur :

host 95.154.18.27
27.18.154.95.in-addr.arpa domain name pointer nomprincipal.dns26.com.

dig +noall +answer -x 95.154.18.27
27.18.154.95.in-addr.arpa. 86217 IN	PTR	nomprincipal.dns26.com.

dig -x 95.154.18.27
; <<>> DiG 9.9.5-3-Ubuntu <<>> -x 95.154.18.27
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9069
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;27.18.154.95.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
27.18.154.95.in-addr.arpa. 86157 IN	PTR	nomprincipal.dns26.com.

;; Query time: 20 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Sat May 10 15:49:01 CEST 2014
;; MSG SIZE  rcvd: 88
#2

Salut,
Quelle note obtient l’adresse de l’expéditeur sur ce site: mail-tester.com/ ?

#3

Si tu le souhaites, le wiki parle de ces enregistrements SPF qu’il est effectivement conseillé de mettre en place. De même, DKIM est aussi conseillé.
Quelques liens :

wiki auto-hébergement (SPF) : wiki.auto-hebergement.fr/services/spf
wiki du forum (DKIM) : isalo.org/wiki.debian-fr/Am … ew_et_DKIM

Et pour tester, je préfère ceci au lien donné par lol, mais c’est comme tu veux : appmaildev.com/fr/domainkeys/

#4

Salut,
L’avantage de “mon” lien, c’est qu’il teste tout:

Le corp du message lui même
L’en-tête du message
spamassassin
spf
Sender id
dkim
reverse
listes noires
Et même les liens brisés…

#5

Désolé, j’avais confondu avec le lien qu’il y avait dans le wiki avant.
C’est vrai qu’il est chouette, et tout beau en plus!

10/10 :038

#6

Merci à vous de vos réponses. Pardonnez mon retard, beaucoup de boulot dans la semaine avec quelques priorités à gérer.

Pour www.mail-tester.com, le site n’as pas l’air de fonctionner correctement.

J’ai mis en place le système SPF en me basant sur la documentation Google trouvé ici :

support.google.com/a/answer/2716802?hl=fr

[code]dig -t txt nomprincipal.dns26.com @95.154.18.27

; <<>> DiG 9.9.5-3-Ubuntu <<>> -t txt nomprincipal.dns26.com @95.154.18.27
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28290
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;nomprincipal.dns26.com. IN TXT

;; ANSWER SECTION:
nomprincipal.dns26.com. 86400 IN TXT “v=spf1 include:_spf.google.com ip4:95.154.18.27 ~all”

;; AUTHORITY SECTION:
nomprincipal.dns26.com. 86400 IN NS nomprincipal.dns26.com.

;; ADDITIONAL SECTION:
nomprincipal.dns26.com. 86400 IN A 95.154.18.27

;; Query time: 25 msec
;; SERVER: 95.154.18.27#53(95.154.18.27)
;; WHEN: Fri May 16 16:40:27 CEST 2014
;; MSG SIZE rcvd: 144
[/code]

Je check les autres liens que vous m’avez fournit,
Actuellement, j’ai fait une petite mise à jour de ce fichier de configuration : /etc/bind/zones/nomprincipal.dns26.com

telle que :

$TTL 86400 @ IN SOA nomprincipal.dns26.com. webmaster.nomprincipal.dns26.com. ( 2014051604 ; Serial 1200 ; Refresh 1200 ; Retry 2419200 ; Expire 86400 ) ; Negative Cache TTL ; @ IN NS nomprincipal.dns26.com. @ IN MX 10 mail.nomprincipal.dns26.com. mail.nomprincipal.dns26.com. IN A 95.154.18.27 @ IN A 95.154.18.27 @ IN TXT "v=spf1 include:_spf.google.com ip4:95.154.18.27 ~all"

Afin de concorder avec la documentation de google (le @ sur la dernière ligne, et l’ajout de ladresse IP dans le TXT), j’avais lu la documentation un peu vite. :whistle:

La propagation des serveurs DNS devrais se faire assez rapidement, en attendant je vais check DKIM et la deuxième doc SPF que vous m’avez fournit en liens :slightly_smiling:

Cordialement,

#7

Salut,

J’ai fais plusieurs essais sans soucis. Qu’est-ce qui ne fonctionne pas ?

#8

Rien, c’est bien là le problème.

Je n’ai pas de bloqueur de JS & co xD

#9

[quote=“Flamme 2”]Rien, c’est bien là le problème.

Je n’ai pas de bloqueur de JS & co xD[/quote]

A regarder de près aussi du côté du reverse et d’un enregistrement PTR dans le cas de plusieurs machines travaillant pour l’envoi de mail.
Il te faut aussi vérifier que dans la conf de postfix le serveur de mail soit bien renseigné.

Tu peux aussi ralentir l’envoi de mail par postfix, je sais qu’orange nous font la misère de ce côté là :whistle:

Si tu nous faisaient parvenir une entête complète de mail de non délivrance, ça aidera aussi au diagnostique.

Merveilleux lien lol :083 mis en ‘marques ta pages’ au taff, merci :wink:

#10

Tu as regardé dans la queue des messages et les logs si tu n’avais pas eu d’envois louches ?
Ton client a pu avoir une faille dans son site qui aurait permis à un attaquant d’envoyer du spam. C’est courant.

#11

[quote=“Flamme 2”]Rien, c’est bien là le problème.

Je n’ai pas de bloqueur de JS & co xD[/quote]

Par contre je confirme le site merdoie pas mal, ce matin impossible de le faire tester à un collègue :confused: