TOOT Chalec

Un bon article de @bortzmeyer sur la gestion d'un serveur de courriel autohébergé.

J'ai fait en gros les mêmes constatations.

Différences : 1) serveur est chez moi donc IP de FAI grand public, ce qui complique la donne : IP blacklistée à nombre d'endroits ; impossibilité de configurer le reverse DNS ce qui provoque des refus idiots (ne faites pas ça !), 2) je ne perds pas de temps en mails manuel pour demander du déblocage.

https://www.bortzmeyer.org/mon-serveur-messagerie.html

@pb Certains FAI permettent de configurer le DNS inverse (Free, par exemple).

@pb Les mails manuels ont marché avec Microsoft. Alors, Microsoft qui répond, et répond correctement, et fait ce qu'on avait demandé, c'est tellement extraordinaire que ça valait bien quelques mois de galère.

@bortzmeyer @pb
C'était vrai sur l'ADSL mais, sauf erreur, ça ne fonctionne plus avec la fibre... On configure mais en pure perte, l'enregistrement inverse n'est pas pris en compte.
Je ne peux pas vous montrer, ma fibre est cassée :(

@michelguillou @pb Non, ce n'est pas lié à la fibre, je suis Free-fibré et ça marche (en IPv4, ne rêvons pas).

@bortzmeyer @michelguillou ah, comme Michel je pensais que c'était lié à la fibre. C'est bon à savoir (ça dépend peut-être des subnets et/ou préfixes...)

@bortzmeyer @michelguillou cf ma config actuelle... je vais peut-être essayer la 2e option, histoire de voir.

@pb @michelguillou Supprimer puis rétablir ?

@bortzmeyer @michelguillou déjà fait 2 fois (ça ne marchait pas -> on m'a dit que ça marchait -> j'ai détruit puis refait -> pareil).

@pb @bortzmeyer @michelguillou
J'avais configuré le reverse DNS de free a l'époque de l'adsl. A mon passage a la fibre, la valeur était mauvaise et free a mis très longtemps pour rétablir le fonctionnement de ce paramétrage.

Je ne suis plus sur de comment j'ai réussi a le corriger, mais je penche fortement par un "supprimer / créer" sur 2 jours différents.

@GeantJaune @pb @michelguillou Sacrifier un poulet ou une vierge doit pouvoir aider, également.

@bortzmeyer @pb

En théorie, tu peux, mais ce n'est pas plus en compte.

Pire, les serveurs SMTP de Free.fr sont de toute façon incapables de récupérer la résolution inverse, et vont rejeter les emails pour "absence de reverse", différent d'un reverse qui ne correspond pas.
J'ai fini par avoir une règle spécifique pour envoyer vers Free.Fr de manière à faire sortir les emails via une connexion SFR, et ça fonctionne, même si le reverse n'est quand même pas bon.

Le reste (SPF, DKIM) étant bon.

@lautre @pb Si, c'est pris en compte, au moins pour certains (l'algorithme de choix des certains étant mystérieux).
CMCM.

@pb @bortzmeyer Avec un VPN de FDN, tu peux configurer le reverse DNS.
replies
0
announces
0
likes
0

3) j'utilise le relais de mon FAI et un autre relais externe chez Hivane mais ça ne suffit pas forcément.

Spamhaus et d'autres ont une procédure de déblocage d'IP avec une forme "d'attestation sur l'honneur par simple clic" qui fonctionne assez souvent. Gmail est très peu fiable et peut balancer le mail même si on utilise un relais.

4) si vous utilisez Gmail pour un compte eu.org, ne venez pas chouiner que les mails de eu.org ne vous parviennent pas, je n'ai aucune idée du pourquoi, changez plutôt de fournisseur de mail.

@pb Ouais, enfin, changer pour lequel ? Parce que Microsoft/Yahoo/LaPoste, c'est plutôt pire.

@pb @bortzmeyer @michelguillou le problème s'est résolue pour moi et beaucoup de personnes car ils semblent avoir réparé un truc il y a quelques semaines, donc supprimer puis remettre le reverse à fonctionné dans mon cas

@codimp @pb @michelguillou Sans sacrifier de poulet à la pleine lune ?

@bortzmeyer @pb proton est plutôt bien: @protonmail

@WowSuchCyber @pb @protonmail Sauf erreur, il ne permet pas de récupérer son courrier en IMAP, ce qui est éliminatoire pour moi.

@pb@mast.eu.org @bortzmeyer@mastodon.gougere.fr @michelguillou@mastodon.xyz Avant décembre cette option ne fonctionnait pas si tu étais sur de la fibre. Les 2 infras sont séparées et le NS fibre n'est/était pas dispo au public.
Le reverse fibre arrivait du coup dans un NS qui n'était pas celui annoncé sur le NS associé à l'ip.

@pb@mast.eu.org @bortzmeyer@mastodon.gougere.fr @michelguillou@mastodon.xyz Problème connu depuis 2019
https://dev.freebox.fr/bugs/task/26772
J'avais identifié plus proprement la root cause du NS split cet été et un fix est supposé être arrivé en novembre.

@aeris @bortzmeyer @michelguillou ça semble pas avoir touché mon subnet... "dig @nsdb1.proxad.net. soa 169.194.78.in-addr.arpa." => serial 2010070601 qui sauf hasard malencontreux avec de l'autoincrémenté semble bien correspondre à du AAAAMMJJ avec une dernière mise à jour il y a loooooongtemps.

@pb@mast.eu.org @bortzmeyer@mastodon.gougere.fr @michelguillou@mastodon.xyz

C’est plus compliqué que ça pour trouver le NS
Les NS sont par zone inverse, donc par plage d’IP

Pour moi 82.67.8.211, faut donc

$ dig NS -x 82.67.8
ns3-rev.proxad.net
ns2-rev.proxad.net
$ dig SOA -x 82.67.8 @ns2-rev.proxad.net
2003061901
$ dig SOA -x 82.67.8 @ns3-rev.proxad.net
2003061901

La blaque dans mon cas était que les reverses étaient même désynchro…

@aeris @bortzmeyer @michelguillou les 256 zones reverses pour 78.194.0.0/16 semblent pareilles en fait, même numéro de série et je vais peut-être tenter de les scanner pour voir s'il y a des IP avec une configuration autre que celle par défaut :)

@pb@mast.eu.org @bortzmeyer@mastodon.gougere.fr @michelguillou@mastodon.xyz À l’époque

└─> # dig +short NS 8.67.82.in-addr.arpa
ns2-rev.proxad.net.
ns3-rev.proxad.net.
└─> # dig +short -x 82.67.8.211 @ns3-rev.proxad.net
gai69-1_migr-82-67-8-211.fbx.proxad.net.
└─> # dig +short -x 82.67.8.211 @ns2-rev.proxad.net
naboo.imirhil.fr.

@aeris @bortzmeyer @michelguillou ben moi je tombe sur nsdb1 & nsdb2 pour mes reverses. Et ils répondent bien avec des PTR qui vont bien.

@pb@mast.eu.org @bortzmeyer@mastodon.gougere.fr @michelguillou@mastodon.xyz Tu dois être sur l’ancienne infra (IPv4 natif) qui du coup ne fonctionne pas sur la fibre de ce que j’ai compris.

ADSL, ancienne infra, IPv4 native, nsdb (la majorité) :

ADSL, nouvelle infra, IPv4 encapsulé, ns-rev (rare sinon inexistant) :

Fibre, ancienne infra, IPv4 native, nsdb (rare, ancien client) :

Fibre, nouvelle infra, IPv4 encapsulé, ns-rev (la majorité) :

@pb@mast.eu.org @bortzmeyer@mastodon.gougere.fr @michelguillou@mastodon.xyz (Et comme quoi, IPv4 c’est tabou, on en viendra tous à bout !)

@aeris @bortzmeyer @michelguillou alors tu veux le numéro de série du NS du préfixe IPv6 de Free dans lequel je suis ? Encore pire. Déjà ça s'arrête à 3.e.0.1.0.a.2.ip6.arpa où mon subnet n'est donc pas du tout délégué. Numéro de série 2007121301 😱

@pb@mast.eu.org @bortzmeyer@mastodon.gougere.fr @michelguillou@mastodon.xyz Je dirais de ne pas se fier aux SOA. Les miens sont en 2003 or ma ligne fibre remonte à juillet 2023 et mon reverse à septembre.

@pb@mast.eu.org @bortzmeyer@mastodon.gougere.fr @michelguillou@mastodon.xyz Et le subnet doit être délégué, c’est juste que la zone est immense 🤣
Ils se sont arrêté sur les /24 sur IPv4 (d’ailleurs je ne sais pas comment serait géré des préfixes ne se scindant pas parfaitement sur les /24 DNS
Mais c’est tout le range 2a01
​:e34:​:/26 qui est dans une unique zone DNS du coup.

@aeris @bortzmeyer @michelguillou a priori si dig -x sur mon IPv6 complète me rend ça c'est que le préfixe où je suis n'est pas du tout délégué.

@pb@mast.eu.org @bortzmeyer@mastodon.gougere.fr @michelguillou@mastodon.xyz Si puisque c’est même ns2 qui te répond que le domaine n’existe pas

;; AUTHORITY SECTION:
3.e.0.1.0.a.2.ip6.arpa. 3600 IN SOA ns2.proxad.net. hostmaster.proxad.net. 2007121301 21600 3600 1209600 86400

@pb@mast.eu.org @bortzmeyer@mastodon.gougere.fr @michelguillou@mastodon.xyz Du coup 3.e.0.1.0.a.2.ip6.arpa existe bien et est servi par ns2.proxad.net
Il n’y a juste pas d’entrée 5.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.a.4.9.a.2.c.e.4 dans cette zone

@aeris @bortzmeyer @michelguillou ça oui... mais pas de délégation non plus vers un sous-préfixe.

@pb@mast.eu.org @bortzmeyer@mastodon.gougere.fr @michelguillou@mastodon.xyz Il n’y aurait pas besoin de délégation ici. Tu arrives chez un NS qui est opéré par le proprio de l’IP.

@pb@mast.eu.org @bortzmeyer@mastodon.gougere.fr @michelguillou@mastodon.xyz D’ailleurs je me pose la question de comment serait gérér un /26
Parce que par exemple 78.194.169.74/26, ça ferait que 78.194.169.126 serait chez A, 78.194.169.129 serait chez B, mais du coup c’est un seul NS 169.194.78.in-addr.arpa sans délégation possible en sous-splittant les IP (DNS ne peut split que sur . si je me trompe ?)