Vérification SPF et alias mail

Support Debian
#1

Bonjour,

Je rencontre actuellement des soucis avec les aliases et la vérification de SPF.
Je m’explique :
Prenons trois serveurs mail : swordarmor.fr, pennvad.eu et gozmail.net. swordarmor.fr et gozmail.net ont un enregistrement SPF dans les DNS.
Si je veux envoyer un mail depuis gozmail.net vers un adresse @swordarmor.fr qui est un alias vers pennvad.eu, mon mail est rejeté par ce dernier pour cause de SPF foireux Mar 30 18:47:01 pennvad.eu tumgreyspf[7583]: 'SPF fail - not authorized': QUEUE_ID=""; identity=mailfrom; client-ip=2a01:6600:8081:c600::1; helo=ttn.swordarmor.fr; envelope-from=alarig@gozmail.net; receiver=root@pennvad.eu;
Si on fait un dessin ça donne : +-----------------+ +---------------------+ +--------------------+ | gozmail.net | --------→ | swordarmor.fr | --------→ | pennvad.eu | +-----------------+ +---------------------+ +--------------------+ Le mail part Le mail arrive, Le mail arrive correctement est vu comme valide mais le serveur puis est renvoyé vers le bloque car il pennvad.eu est en @gozmail.net mais vient de swordarmor.fr

Mon soucis principal est donc de vérifier tous les hops dans les headers du mail et non juste le dernier.
J’utilisais postfix-policyd-spf-python pour vérifier le SPF, mais n’ayant pas vu cette option j’ai changé pour tumgreyspf. Seulement j’en suis au même point.

Note : j’ai un accès root sur ces trois serveurs donc je peux facilement avoir les logs
Merci d’avance pour votre aide et n’hésitez pas à me demander des précisions si ce n’est pas clair.

#2

Salut,

As tu pensé deja a mettre dans le mynetworks de ton fichier /etc/postfix/main.cf les ip de tes serveurs.
Je sais que ca permet l envoie mais en reception je me demande si ca y joue pas un peu.

Apres la solution la plus simple ne serais pas de modifier ton spf et de lui mettre tes serveurs mail en autorisé d envoi?

#3

Ça ne changera rien, les mails qui sont dropés ne viennent pas de mes serveurs mais de ceux avec des aliases qui pointent vers mon serveur.
Et mon SPF est très bon : (d’autant plus que je ne pense pas être considéré comme un spammeur)

$ dig +short SPF swordarmor.fr "v=spf1 mx ip6:2a01:6600:8081:c600::1 ip4:91.224.149.198 -all"

#4

ben il faut que tu rajoutes ce de tes alias dans ton spf puisqu il envoie, le spf gere aussi les alias. Enfin c est comme ca que j ai compris la doc
En gros dans ton spf tu met ton domaine principale, les alias , les mx et/ou les ip des serveurs qui ont le droit de pousser des mails pour ce domaine

#5

Ah, je vois ce que tu veux dire, tu veux ajouter le serveur depuis lequel j’envoie dans le SPF du domaine sur lequel j’ai des aliases ?
Le truc là c’est que si je peux le faire pour quelques uns, c’est pas le cas de tous.

#6

ecoute j ai ecrit un tuto hier la dessus

je te promet pas le sans faute mais regarde tjrs
je l ai publié la pour toi j ai pas fini les corrections dessus

http://www.admin-systeme.com/mail/lutter-contre-le-spam-avec-un-spf/

j espere que ca t aidera

Bien sur s il y a des erreurs dans ce que je dis faut pas hesiter a me le dire !!!

#7

Il faut :

  • soit que le serveur qui forwarde le mail soit autorisé dans le SPF du domaine d’origine
  • soit utiliser SRS pour modifier l’enveloppe lors de la redirection

cf openspf.org/FAQ/Forwarding

#8

Ceci explique donc pourquoi je ne trouvais rien précédemment. Merci :slightly_smiling: