Servers Mails - Reports DMARC (SPF - DKIM) - analyse file XML?

Tags: #<Tag:0x00007f63f1060598> #<Tag:0x00007f63f10603b8> #<Tag:0x00007f63f0ceff80>

C’est quoi que tu ne comprends pas dans cette ligne ?

Problème de DNS sur le sous-domaine pour le mail …

Après en étant listé chez UCEProtect … pas de bol c’est rat pour faire délister si t’arrive en niv2 chez eux, mais c’est sans doute l’AS de ton provider qui est listé et là ce sera plus compliqué …

Merci @Clochette pour cette réponse.

Je comprend que mon serveur mail a une mauvaise réputation.

Je vois que j’ai une erreur de DNS Record :confused: sur le mx:mail.zw3b.net et pourtant - que faire de plus ?

dig MX zw3b.net @8.8.8.8 +short
10 mail.zw3b.net.

dig AAAA mail.zw3b.net @8.8.8.8 +short
2607:5300:60:9389:17:4:0:1

dig A mail.zw3b.net @8.8.8.8 +short
158.69.126.137

Oui :confused: la galère !

J’ai remarqué aussi que tout le bloc IPv6::/32 du mon FAI OVH est black-listé : ce block 2607:5300:0:0:0:0:0:0/32

CF :

Votre adresse IP est dans une plage qui a été bloquée sur tous les wikis de la Fondation Wikimédia.

Le blocage a été réalisé par Trijnstel (meta.wikimedia.org). Le motif fourni est Open proxy: abused proxy by LTAs and spambots - should you be affected by this block, please email stewards (at) wikimedia (dot) org.

Début du blocage : 1 juin 2018 à 09:49
Expiration du blocage : 1 juin 2023 à 09:49

Oui mais en y regardant bien c’est surtout les Ips d’OVH qui sont douteuses …

Mettre un champs MX sur le record utilisé pour l’envoi de mail …

 ab  ~  dig -t any mail.zw3b.net @8.8.8.8 +short
158.69.126.137
A 7 3 3600 20220908040421 20220809031223 17360 zw3b.net. Lw2Qsu4/r0nzjMEnmi7+Moxkko5oI9qURDJKAA7kpZ/nE78+k75WTck2 y3kUS6EU44k9339QJXuyXP9KdI2+izVPkQpGJ4z7oCZxumQTQbVHa2dN x1Ez6laV4MDi/fi33G93PLLrCZIEgwEh7txN2ZfmZaRFGzRV9uhCA0Kp iRLXbrHLOA+E5HEBTu9R9Cs0StUrH9QYmqIQyGXS5P0QMNz2Oh/L7frc Bf5HXylloc72HiplcdMIwbOzC1pKNYkHqJpUpYMkMYgitADGl5YQMtAP D1YeII70nJUydNZ/5fVw+FCKfk6BGN2OY1DEoGFWjs7q/SCGBqiVTqPP zT3e3w==
2607:5300:60:9389:17:4:0:1
AAAA 7 3 3600 20220908040507 20220809031223 17360 zw3b.net. dpcMXbS7PlO8pPV1ylMjrv4eMzjURpGMePWwnp+HGihFFt+8z1jmbahU 5Avnfv+1FyQ95SrYPlekOAzdY0KRuzZl6M0gZgX9pItUoPxKEhJ1yE/3 8dLuM+E9e+KAlm2zaI4h1Q2Cjzg+16GPgh5TKHIGK6/eVMqqGregCReK yhL+Kq3UKrsZs/yty2FyZJemv/6pUmT6DpUqxSQwdarwmwKt3mQPAd+K R0SIPxgfVLrWgkqM12XezRZcwiHsHYQwcr3Z+d4crfKBsDmmrRybns8I Dgefbz+sdwxlJ3Qf2MZGuwGqtXOrAhH4KSlUYFeP3EmjBWeU6UDdAZLi a4u/VQ==

Le champs MX ne doit pas être positionné sur ton domaine mais sur ton sous-domaine si c’est lui qui émet les mails et porte le reverse DNS en acord avec le hostname qui envoi les mails.

En gros ton MX semble (c’est même sûr) positionné sur le mauvais enregistrement DNS.

Le bloc IPV4 est listé chez UCE Protect … change de provider pour les mails.

haha :confused:

AH bon… J’ai toujours mis le champ MX sur le domaine moi :confused:

Comme cela :
@ 3600 IN MX 10 mail.zw3b.net.

Avec cela :

mail            3600    IN      A       158.69.126.137
mail            3600    IN      AAAA    2607:5300:0060:9389:0017:0004:0000:0001

je ne crois pas pouvoir faire çà en plus :

mail            3600    IN      MX 10   158.69.126.137
mail            3600    IN      MX 10   2607:5300:0060:9389:0017:0004:0000:0001

Cà m’étonne.

C’est bien cela - Nop :

/etc/bind/masters/zw3b.net.hosts:42: warning: '158.69.126.137': MX is an address
/etc/bind/masters/zw3b.net.hosts:43: warning: '2607:5300:0060:9389:0017:0004:0000:0001': MX is an address
/etc/bind/masters/zw3b.net.hosts:43: warning: 2607:5300:0060:9389:0017:0004:0000:0001.zw3b.net: bad name (check-names)
zone zw3b.net/IN: mail.zw3b.net/MX '158.69.126.137.zw3b.net' is a CNAME (illegal)
zone zw3b.net/IN: mail.zw3b.net/MX '2607:5300:0060:9389:0017:0004:0000:0001.zw3b.net' is a CNAME (illegal)

J’essaie ! Merci @Clochette :confused:

Ca ne fonctionne pas :confused:

J’ai cela :

;------------------------------
; MX
;------------------------------

@               3600    IN      MX 10   mail.zw3b.net.

w1a             3600    IN      MX 50   mail.zw3b.net.

;mail           3600    IN      MX 10   158.69.126.137
;mail            3600    IN      MX 10   2607:5300:0060:9389:0017:0004:0000:0001

mail            3600    IN      A       158.69.126.137
mail            3600    IN      AAAA    2607:5300:0060:9389:0017:0004:0000:0001

imap            3600    IN      CNAME   mail.zw3b.net.
pop             3600    IN      CNAME   mail.zw3b.net.
smtp            3600    IN      CNAME   mail.zw3b.net.

webmail         3600    IN      A       158.69.126.137
webmail         3600    IN      AAAA    2607:5300:0060:9389:0015:0001:0000:0001

Sinon çà me retourne cette erreur :

:confused:

Il faut que tu corriges le problème de DNS. Met aussi dans le domaine un enregistrement SPF, ça ne mange pas de pain, et Gmail, ce ne sont pas les rois du mail en termes de sécurité.

Pour retirer le blacklist, il y a une procédure normalement c’est obligatoire pour celui qui blacklist de donner clairement la procédure pour gérer.

Et comme cela a été dit, OHV en réputation pour la messagerie c’est vraiment la loose. La plupart de nos client ont tous retiré leurs serveurs de messageries de OVH.

Bon j’essaie comme cela @Clochette @Zargos :

;------------------------------
; MX
;------------------------------

;@               3600    IN      MX 10   mail.zw3b.net.
@               3600    IN      MX 10   smtp.zw3b.net.

;mail           3600    IN      A       158.69.126.137
;mail           3600    IN      AAAA    2607:5300:0060:9389:0017:0004:0000:0001

smtp            3600    IN      A       158.69.126.137
smtp            3600    IN      AAAA    2607:5300:0060:9389:0017:0004:0000:0001

mail            3600    IN      MX 10   smtp.zw3b.net.

imap            3600    IN      CNAME   mail.zw3b.net.
pop             3600    IN      CNAME   mail.zw3b.net.
;smtp            3600    IN      CNAME   mail.zw3b.net.

;------------------------------
; SPF
;------------------------------

@ 10800 IN SPF "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
@ 10800 IN TXT "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"

w1a 10800 IN SPF "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
w1a 10800 IN TXT "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"

; JE VIENS D'AJOUTER CELA 

smtp 10800 IN SPF "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
smtp 10800 IN TXT "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"

mail 10800 IN SPF "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
mail 10800 IN TXT "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"

On test :

12:08:02 root@lv1.dns:~ # named-checkzone zw3b.net /etc/bind/masters/zw3b.net.hosts
zone zw3b.net/IN: loaded serial 2022080901
OK

Je signe la zone et j’attends de voir si tout est buggué :sweat_smile:

Coté SPF je crois qu’il y a besoin de préciser les domaines servis

Pourtant @Clochette @Zargos

12:23:15 root@lv1:~ # dig MX bandapart.net +short
10 ASPMX.L.GOOGLE.COM.
20 ALT2.ASPMX.L.GOOGLE.COM.
30 ASPMX4.GOOGLEMAIL.COM.
20 ALT1.ASPMX.L.GOOGLE.COM.
30 ASPMX5.GOOGLEMAIL.COM.
30 ASPMX3.GOOGLEMAIL.COM.
30 ASPMX2.GOOGLEMAIL.COM.

12:24:09 root@lv1:~ # dig MX ALT2.ASPMX.L.GOOGLE.COM +short
12:24:24 root@lv1:~ # dig MX ASPMX.L.GOOGLE.COM. +short
12:24:36 root@lv1:~ # dig A ASPMX.L.GOOGLE.COM. +short
172.253.115.26
12:25:14 root@lv1:~ # dig AAAA ASPMX.L.GOOGLE.COM. +short
2607:f8b0:4004:c09::1b

Rien sur leurs adresses MX (juste un champ A et un champ AAAA normal)… Bizarre tout cela.

Ou :

12:27:28 root@lv1:~ # dig MX orange.fr +short
10 smtp-in.orange.fr.
12:27:51 root@lv1:~ # dig MX smtp-in.orange.fr +short
12:27:57 root@lv1:~ # dig A smtp-in.orange.fr +short
80.12.26.32
12:28:03 root@lv1:~ # dig AAAA smtp-in.orange.fr +short

Ou :

12:29:58 root@lv1:~ # dig MX debian-fr.org +short
5 mail.zehome.com.
12:30:08 root@lv1:~ #
12:30:09 root@lv1:~ # dig MX mail.zehome.com +short
12:30:24 root@lv1:~ #
12:30:25 root@lv1:~ # dig A mail.zehome.com +short
148.251.85.151
12:30:35 root@lv1:~ # dig AAAA mail.zehome.com +short

Je me suis toujours dis qu’il y avait une erreur sur cet outil de MXToolbox : mx:mail.zw3b.net (je me trompe :wink: )

Pour les SPF @Zargos :
il faut que - pour le domaine principal - par exemple un utilisateur qui veut envoyer un mail avec son adresse « email@domain.com »

il faut ce champ SPF et TXT :

@ 10800 IN SPF "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"

Pour le sous-domaine d’envoie par exemple newsletter.domain.com - un utilsateur qui veut envoyer un mail avec l’adresse www-data@newsletter.domain.com :
il faut un SPF pour lui (politique DMARC) - parce que c’est ce serveur qui envoie les mails lui qui est dans les DKIM-signature.

newsletter 10800 IN SPF "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"

Salutations.
Romain

C’est mieux :smiley: Merci @Clochette - extraordinaire @Clochette :heart_eyes:

12:52:55 root@lv1.dns:~ # dig MX zw3b.net +short
10 smtp.zw3b.net.
12:52:59 root@lv1.dns:~ # dig MX smtp.zw3b.net +short
12:53:08 root@lv1.dns:~ # dig A smtp.zw3b.net +short
158.69.126.137
12:53:20 root@lv1.dns:~ # dig AAAA smtp.zw3b.net +short
2607:5300:60:9389:17:4:0:1

Avec la configuration commentaire 49 :slight_smile:

Pendant que j’y suis sur le champ DKIM j’ai une question :

J’ai ma signature sur le domaine principal zw3b.net :

95BB6C00-0000-0000-0000-0007DF2C65F6._domainkey IN      TXT     ( "v=DKIM1; k=rsa; " "p=MIIBIjANBgkqhkidsdssdsdsdsdsKCAQEAw1ic5eXSfcQk1GYlSiu7B2MFK+u78eCZJowkGcpCamB85UwTz7j6YBn+ABEiccB1GfWGS6gqmoW7tGTcJugvoWNrFlbnRdsdssdsdsdsB" )

Et celle de mon sous-domaine mailing.zw3b.net la signature par exemple :

48AF5C00-0000-0000-0000-0008DF2C65F6._domainkey.mailing IN      TXT     ( "v=DKIM1; k=rsa; " "p=MIIBIjANBgksddsdIBCgKqdqdqdce3FOumVVNAQncVltepH4YyZXlurvujyS/TfIHDNJecJ+q0Xko5UuRyUHXy8e7a6En/uO8u7nHKobpipPGrDV8mYnjU4hXJviMvotqpLuZd/CDvQzebYkX7IDavMqdsdssdsfdfe" )

Par contre j’ai lu que l’on peut ou doit configurer pour un sous-domaine le champ DKIM de cette façon :

"v=DKIM1; k=rsa; t=s; d=mailing.zw3b.net; "

à la place de cela :

"v=DKIM1; k=rsa; "

J’ai essayé quelques semaines, un mois ou 2 avec le t=s; d=mailing.zw3b.net; mais çà n’a rien changé me semble t’il.

Ici par exemple (je ne retrouve plus l’explication) :

Est-ce cela ? Si vous avez des informations.

Je redescend les spécifications techniques et fonctionnelles de la RFC 4871 sur DKIM BASE DomainKeys Identified Mail (DKIM) Signatures :smiley: (Obsolete)

DomainKeys Identified Mail (DKIM) Signatures (RFC 6376)


J’ajoute cela de la section 3.6.1 de la RFC 6376 :

t= flag, représentés sous la forme d’une liste de noms séparés par deux-points (texte brut ; FACULTATIF, par défaut, aucun drapeau n’est défini). Les fanions non reconnus DOIVENT être ignorés. Les drapeaux définis sont les suivants :

y
Ce domaine teste DKIM. Les vérificateurs NE DOIVENT PAS traiter les messages des signataires en mode test différemment des e-mails non signés, même si la signature n’est pas vérifiée. Les vérificateurs PEUVENT souhaiter suivre les résultats du mode de test pour aider le signataire.

s
Tous les champs d’en-tête DKIM-Signature utilisant la balise « i= » DOIVENT avoir la même valeur de domaine à droite du « @ » dans la balise « i= » et la valeur de la balise « d= ». Autrement dit, le domaine « i= » NE DOIT PAS être un sous-domaine de « d= ». L’utilisation de cet indicateur est RECOMMANDÉE sauf si un sous-domaine est requis.


Que signifie « t=s » (flag) ?

Tous les champs d’en-tête DKIM-Signature utilisant la balise « i= » DOIVENT avoir la même valeur de domaine à droite du « @ » dans la balise « i= » et la valeur de la balise « d= ».
Autrement dit, le domaine « i= » NE DOIT PAS être un sous-domaine de « d= ». L’utilisation de cet indicateur est RECOMMANDÉE sauf si un sous-domaine est requis.

Donc, si je configure mon champ DNS DKIM comme cela :

selector._domainkey.mailing IN TXT ( "v=DKIM1; k=rsa; t=s; d=mailing.domain.tld" "p=clef")

il faut que les mails soient signés avec - et cela dans la DKIM-Signature - avec un header.i=email@mailing.domain.tld ou simplement un header.i=@mailing.domain.tld je crois :confused:


Bon… c’est facultatif :upside_down_face:

Je ne reçois plus de mail !!! Non je rigole :wink: :rofl:

Oui enfin UCEPROTECT liste la planète entière et je connais aucun administrateur système assez débile (quoique…) pour faire du blocage en se basant sur leur liste de niveau 3 (AS complets) ou niveau 2 (plages complètes d’IP dès que quelques IP de spammeurs sont dans la plage).
Normalement être sur ces listes là n’a aucune conséquence.

J’en sais rien mais régulièrement les blocages avec Gmail et Orange de mon côté ce sont résolu lorsque le blocage chez UCE Protect à été levé … de la à dire que c’est une coïncidence.

Comme je le signalé en commentaire 42 - Gmail me retourne un Status 5.7.1.

Et pourtant je vois dans mes rapports DMARC - 3 mails qui sont passés hier - DMARC vis à vis de Google.

Cf : https://www.zw3b.com/dmarc-reports.php#lab3w.fr (je viens de modifier le code PHPSource de la page des rapports DMARC pour envoyer les ancres HTML dans l’URL :wink:

Alors media wiki haha ils ont bloqués un total IP addresses de 79228162514264337593543950336 (le block IPv6 : 2607:5300:0:0:0:0:0:0/32 (IPv4/IPv6 subnet calculator) comme je le signalais en commentaire 44. ouA… J’ai eu cette erreur en voulant créer un page sur wikipedia :slight_smile: Je l’ai signalé à OVH (ticket) qui m’a dit qu’il ne pouvait rien faire ! J’ai cru mourir ! Je surf avec un ou 2 blocks IPv6::/112 de ma machine serveur au canada depuis la france :wink: - Pas d’IPv6 chez orange non-dégroupé en haut de laaa montagneee :smiley:

Salutations,
Romain

Tant que l’on a pas une preuve de la relation de cause à effet, c’est une coïncidence.

Je n’ai jamais eu de problème de ce type ni avec gmail, ni avec orange alors que les IP des serveurs que j’utilise sont en permanence listées puis dé-listées par UCEPROTECT (level 2 et 3).
Et je suis à peu près certain qu’aucun de ces deux là n’utilise UCEPROTECT.
On a suffisamment tapé sur cette bouse ces dernières années, ex : UCEPROTECT: When RBLs Go Bad, ou Email Service Providers – It’s Time to Stop Using UCEPROTECT | Programmer Bear

Je suis d’accord, mais il doivent utilisé leur propre liste et sans doute conjointement à des organisme comme SpamHaus, je ne redit pas qu’il y a cause à effet mais simplement si UCE arrive à lister un certains nombre de fois des IPs d’un AS pour du spam alors les autres sans doute aussi :wink:

Faire du mail avec des IPs de OVH ou avec de l’hébergement mutualisé, faut pas s’attendre à des résultats magnifique non plus.

Et comment faire du mail alors !?

Pas avec des Ips d’OVH en tout cas, des providers propres il y en a tout de même pas mal.

OVH c’est OVH point barre.

2 J'aime