PhenIXUS

[arnaud056]

Bonsoir,
je suis en train d'apprendre à héberger un domaine internet avec un site www et une réception et en envoi d'emails. Du ftp et un essai de vpn sont également au programme.

Le schéma de principe est le suivant: INTERNET --------- BOX ---------SME---------CLIENTS
Mon ip est dynamique.
Le dns dynamique est freedns.com.
Mon domaine (pour m'exercer) est un sous domaine de freedns.com. Appelons-le "arnaud.freedns.com"

Ma configuration sur freedns.com est la suivante:
- enregistrement "A" pour lier mon domaine et mon ip dynamique effectué
- ma box est configurée pour informer freedns de l'ip actuelle
- enregistrement "CNAME" pour le sous domaine http://www.arnaud.freedns.com
- enregistrement "MX" pour le sous domaine mail.arnaud.freedns.com

et tout ceci fonctionne.

Sauf que les emails que j'envoie arrivent en "spams". La raison m'est connue: je n'ai pas d'enregistrement PTR.
La syntaxe "normale" d'un enregistrement PTR m'est connue, cf wikipedia

Mais je n'arrive pas à mettre cela en application avec freedns qui m'explique ceci:

Code : Tout sélectionner

Type: RP - The Responsible Person RR.

RP has the following format:

RP <mbox-dname> <txt-dname>

Both RDATA fields are required in all RP RRs.

The first field, <mbox-dname>, is a domain name that specifies the mailbox for the responsible person.

The second field, <txt-dname>, is a domain name for which TXT RR's exist. A subsequent query can be performed to retrieve the associated TXT resource records at .

RFC1183 has the complete explanation.

Je comprends que la syntaxe est différente (certainement à cause de l'ip dynamique) et qu'il me faut un enregistrement TXT.

Je n'arrive pas à / je ne sais pas comment remplir correctement le masque des sous-domaines pour les 2 enregistrements:
que dois-je entrer exactement dans les champs:
- Subdomain
-Destination


Merci de me mettre sur la voie

@+
Arnaud

[Franck78]

Hello,

Les serveurs de mails (pas tous) vérifient avec l'adresse IP source que le domaine prétenduement expéditeur (le tien donc) possède bien cette IP.

arnaud.afraid.org A W.X.Y.Z

et

Z.Y.X.W.in-addr.arpa PTR arnaud.afraid.org

Mais le problème est :
Le serveur de 'afraid' ne peut pas créer l'enregistrement PTR qui est sur le serveur DNS du propriétaire de la plage W.X.y.z !


Par contre tu peux sans doute ajouter en enregistrement TXT pour gérer la technique 'SPF'.... dont je n'ai retenu que le nom

Franck

[jibe]

Salut,

Désolé de répondre hors sujet : tu définis bien ce que tu veux faire, et là je suis à côté de la plaque ! Mais y a-t-il pour toi un réel besoin de faire du reverse DNS ? Oui, me diras-tu, parce que je veux l'expérimenter. Excellente raison, mais je pose une seconde question : quel intérêt d'expérimenter quelque chose dont on n'a aucun intérêt de se servir ?

Perso, je n'ai jamais fait ça, bien que contrairement à ce que préconise jdh, j'aime bien que ce soient mes SME qui traitent le courrier. Mais pour ce qui est des courriers sortants, je préfère aller au plus simple en faisant relayer les mails par le FAI. Relais inutile, puisque la SME peut traiter en direct ? Oui, si on veut. Mais si on veut se passer de ce relais, il faut non seulement mettre en place le reverse DNS, mais aussi gérer l'envoi des mails, ce qui comprend aussi la gestion des RBL, et quand on voit la politique de certaines de ces listes, on prend peur Donc, je laisse aux FAI le soin de s'en occuper

Donc, mon conseil (hors-sujet ) serait de ne pas faire d'enregistrement PTR mais, tout en faisant traiter les mails sortants par ta SME, de les faire relayer par ton FAI.

[mab]

Salut,

Sauf que les emails que j'envoie arrivent en "spams". La raison m'est connue: je n'ai pas d'enregistrement PTR.

Tu envoies des mails à qui ? Ce sont des mails sortants comme l'écrit jibe, ou entrants ?

Oui, si on veut. Mais si on veut se passer de ce relais, il faut non seulement mettre en place le reverse DNS, mais aussi gérer l'envoi des mails, ce qui comprend aussi la gestion des RBL, et quand on voit la politique de certaines de ces listes, on prend peur Donc, je laisse aux FAI le soin de s'en occuper

Le problème est surtout que certains serveurs de messagerie ou FAI refusent la provenance smtp de machines dans un réseau prétendument botnet (en tout cas, les classes dhcp des clients des FAI), pour éviter le relai de spam sans doute. J'ai opté aussi pour faire transiter l'envoi de mails par le FAI pour éviter ces pièges, sinon, il faut faire des exclusions dans sme pour certains domaines/FAI.

J'use aussi de messagerie, via les services dyndns, et aussi via du dyndns sur des domaines réservés, en renseignant le champ MX, et je n'ai pas de problèmes particuliers. Le reverse dns de ces sites ne fournissent donc pas les mêmes dns.

[jdh]

Concernant l'envoi de mail (mails sortants),

compte tenu de la multiplication du SPAM (~95% des mails envoyés) et de la facilité de tromper le protocole SMTP,
des dispositions sont prises pour (tenter de) limiter les SPAM :
- test reverseDNS (PTR),
- blacklist émetteurs (type SPAMHaus),
- limitation des ranges (élimination des range ADSL des FAI) + box empêchant la sortie smtp,
- méthode SPF (ou Sender-ID pour les fanas de MS),
- méthode DKIM.

Avec une ip publique issue d'une range ADSL d'un FAI, il FAUT passer les mails via les serveurs smtp du FAI.
(Cela n'est pas une garantie que le récepteur accepte le mail mais c'est grandement plus sûr que se présenter avec une ip ADSL)

Avec une ip adsl dynamique, il est impossible d'utiliser le reverseDNS (PTR) et SPF. (Je connais mal DKIM)

Derrière un ip ADSL, il est donc à considérer comme "erreur de débutant" de ne pas passer par les smtp du FAI
ou "erreur de forcené" de refuser de passer par le FAI ! (en plus, généralement, il n'y a pas à envoyer en STMP-AUTH)

Avec une ip fixe (de type SDSL) et un (vrai) domaine sur lequel on a la main (=pas dynamique genre dyndns, freedns, ...),
on peut installer SPF (et/ou DKIM) et envoyer directement ses mails. Si on utilise pas SPF, il est à recommander de passer par le smtp du FAI.


Concernant la réception de mail (mails entrants),

il y a 2 techniques (2 visions) :
- héberger ses boites chez un hébergeur pro puis fetchmailer,
- recevoir les mails directement sur un relais mail puis le serveur de mail interne.

La deuxième est plus exigente et nécessite plus d'expertise :
- maintenir un serveur allumé 24/24 (voire 2 avec des ip distinctes),
- prévoir un relais mail (de préférence),
- maitriser les concepts DNS : enregistrement DNS (et SPF),
- assurer un serveur qui ne soit pas "open-relay",
- maitriser la gestion spam du serveur ou du relais.

La première impose de la rigueur :
- double création de boites,
- maj du fichier fetchmailrc (ou équivalent).

Je préconise la première solution pour, disons, moins de 20-30 boites mails (et donc pour la maison).
(De façon évidente, recevoir en interne les mails suppose aussi de bien traiter l'envoi !)



Ma petite solution perso : location d'un nom de domaine (mon nom.org) + hébergement chez X + iRedMail en interne + fetchmail.
Quelques utilisateurs accèdent en direct aux boites hébergés (ma mère, mon fils).
Je peux changer de FAI, de maison sans difficulté, mais plus difficilement d'hébergeur (coût 25€/an pour 20 boites).
(Et en plus, je peux envoyer via SMTP-AUTH vers l'hébergeur !)

NB : SMTP-AUTH (port 587) est la méthode moderne d'envoi de mail avec identifiant/mot de passe (et/ou cryptage). C'est utilisé généralement pour des utilisateurs vers le smtp du FAI alors qu'ils ne sont pas forcément dans le réseau (ADSL) du FAI.

[arnaud056]

bonsoir,
merci de ne pas seulement avoir répondu à ma question, mais de m'avoir proposé des solutions / des alternatives

Tu envoies des mails à qui ? Ce sont des mails sortants comme l'écrit jibe, ou entrants ?

ben à tous ceux à qui se souhaite écrire. T'en veux un???
Ce sont donc des mails sortants de ma sme et donc entrants chez mes correspondants.

Derrière un ip ADSL, il est donc à considérer comme "erreur de débutant" de ne pas passer par les smtp du FAI

je confirme!!

Effectivement, mes recherches d'aujourd'hui (google=dynamic ip ptr record) sont toutes unanimes et vont dans la direction que vous m'avez indiquée: se débrouiller pour passer par le serveur d'un fai ou d'une organisation possédant son ip fixe. Le cas contraire relève pour un non-expert des travaux d'Hercule et n'est cependant même pas fiable à 100%.

Je vais donc.......... me pencher sur la première solution indiquée par jdh.

Encore merci.
@+
Arnaud

PS: la publicité n'étant pas autorisée ici, je me contenterai donc d'éventuels "rapports positifs d'expériences vécues" en ce qui concerne des hébergeurs
Bien entendu, je vais chercher de mon côté...

[jibe]

Salut,

Moi qui suis gravement atteint du syndrome NIH, je préfère nettement la seconde solution de JDH, et j'en suis pleinement satisfait tant pour mon usage personnel que pour beaucoup de mes clients.

- maintenir un serveur allumé 24/24

Oui. Une SME assemblée avec des composants modernes (j'utilise beaucoup les cartes mini-ITX) consomme peu, et si en plus on héberge son site web, on n'a pas le choix ! Donc, puisque de toutes façons elle est allumée 24/7, autant qu'elle serve !

- prévoir un relais mail

Je suppose que c'est pour une question de fiabilité, okazou le serveur local tombe en panne ? Perso, j'utilise le MX backup. Soit on le fait entre deux SME avec la contrib de sibsib (jamais pris le temps de l'essayer, je vais au plus simple même si c'est plus cher), soit on prend un MX backup payant, dyndns propose un service dont je suis très satisfait et pas cher.

- maitriser les concepts DNS : enregistrement DNS

Certes. Mais à partir du moment où on veut être visible de l'extérieur (ne serait-ce que pour pouvoir administrer le serveur depuis l'extérieur), on est obligé d'y passer. Et puis, c'est loin d'être insurmontable. Pour les mails, il faut savoir gérer en plus les enregistrements MX et en faire deux : un pour le serveur, et un pour le MX Backup. Mais bon, ce n'est pas la mer à boire !

- assurer un serveur qui ne soit pas "open-relay",

Effectivement, c'est absolument indispensable ! Mais avec SME, pas de problème : on est blindés de ce côté

- maitriser la gestion spam du serveur ou du relais.

Oui, et c'est probablement le plus difficile. Mais de toutes manières, il faudra bien que ce soit fait. Faire confiance à son FAI ou hébergeur ne me parait pas être une bonne solution (trop laxiste ou trop de faux positifs !). Le faire sur sa SME, ça permet de se faire des filtres aux petits oignons Il y a un peu de boulot, mais ça paie le coup ! J'ai rarement de faux positifs, et quand ça arrive, au moins je peux faire immédiatement le nécessaire !

Bon, c'est vrai quand même qu'il y a un certain nombre de conditions à remplir, qui ne le sont pas toujours quand il y a peu de boites et souvent moins encore lorsqu'il s'agit d'une installation perso. Donc, jdh a de bonnes raisons de préconiser la première solution ! Mais quand on a les conditions requises, je trouve la seconde plus souple et avantageuse sur bien des points.

[jdh]

@jibe : j'ai pris du temps pour présenter un peu complètement les enjeux des démarches.
Je suis satisfait que tu ne rajoutes pas des conditions supplémentaires.

La solution 1 (fetchmailer les boites extérieures) parait moins naturelle ou logique, et pourtant elle est simple, efficace et sûre.
Mais elle n'est adaptée qu'à un nombre limité de boites.
(Et semble même agaçante parce qu'on ne reçoit pas les mails instantanément mais sous 2'30 en moyenne !)

La solution 2 (recevoir directement les mails) exige plus de compétences parce que les contraintes sont plus fortes !
Elle est plus logique mais elle est le fil du rasoir !

Est ce parce que c'est plus intéressant intellectuellement qu'il faut prendre le risque de louper quelque chose ?


J'ai juste un peu oublié de parler d'ip fixe pour la solution 2 :
sans ip fixe, comment faire hors d'un nom dynamique peu professionnel ?
(même si un MX est nécessairement un CNAME)
Me trompe-je ?

(NB : mon ADSL dispose d'un nom dynamique, différent, pour, malgré tout, accéder depuis l'extérieur à mon serveur interne.)



Il y a quelques années (>10), j'ai relié une messagerie Notes (interne) de 200 boites à Internet. (Avec firewall et sans relais smtp)
Environ 1 semaine plus tard, je recevais un mail indiquant que le (premier) serveur Notes était en open-relay !
Cela marque ...

Depuis, je réalise l'une ou l'autre selon le besoin (et pas forcément selon ma préconisation !).

[jdh]

smtp subit 2 dérives (usantes) :
- on veut que ce soit immédiat,
- on veut transférer n'importe quelle taille de pièces jointes.
(Sans compter la taille des boites ...)
Personnellement je défends la fiabilité et non ces illusoires qualités !


Avec un fetchmail à 5', statistiquement on reçoit un mail en 2'30, ce qui ne devraient pas une contrainte !
Il ne faut pas oublier la nature asynchrone d'un mail : smtp ne garanti aucunement le temps d'arrivée ! (cf code 400)
Par ailleurs, le greylisting est une autre barrière de défense anti-spam, installable sur le relais, peut ajouter 5' lors du premier mail.

Je ne connais pas d'offre "packagée" de relais mail chez les hébergeurs type Amen, 1et1, Ovh, ...


NB : qu'est ce le push email en ssh ?

[jibe]

Salut,

Est ce parce que c'est plus intéressant intellectuellement qu'il faut prendre le risque de louper quelque chose ?

Certes non ! D'ailleurs, si je défends un peu plus la solution de réception locale directe, j'ai bien précisé que c'est avec SME qui résoud facilement certains problèmes que tu soulèves très judicieusement (par exemple en ce qui concerne l'open relay, ou simplement le fait d'avoir à laisser le serveur mail allumé 24/7, obligation remplie pour une SME qui héberge un site web).

J'aurais dû préciser plus clairement dans quel cadre je parlais : désolé, je n'ai pas fait attention que nous n'étions pas sur le forum SME

Si j'ai insisté, c'est surtout que je pense qu'Arnaud056 aime expérimenter, aime les solutions "intellectuellement intéressantes" et surtout fait tout ça sur SME.

Je ne sais pas ce qu'il en serait sur d'autres serveurs "tout en un" comme Zentyal ou ClearOS. On peut espérer que c'est pareil (mais à vérifier, entre autres par des tests poussés d'open relay et de contournement de l'interdiction de relayage). Par contre, pour tout autre type de serveur, la solution hébergement pro + fetchmail reprend l'avantage, au moins en dessous d'un certain volume !

La solution 1 [...] semble même agaçante parce qu'on ne reçoit pas les mails instantanément mais sous 2'30 en moyenne !

Comme tu le dis si bien plus loin, smtp n'est pas un protocole de messagerie instantanée. Il n'est pas rare que certains mails mettent plusieurs minutes, voire bien plus, pour parcourir le circuit entre l'expéditeur et la boite mail du destinataire. Alors, effectivement, que sont 2'30 ou même 5' pour la récupération dans la boite hébergée à l'extérieur ?

L'utilisation de SMTP pour des besoins de discussion immédiate sur des documents venant d'être envoyés est une erreur : même si dans bien des cas les mails sont acheminés très rapidement, rien ne le garantit et la solution choisie n'est donc pas du tout en adéquation avec le besoin ! Et donc, là encore, les 2'30 ajoutés en moyenne sont négligeables si la solution est adaptée aux besoins.

J'ai juste un peu oublié de parler d'ip fixe pour la solution 2 :
sans ip fixe, comment faire hors d'un nom dynamique peu professionnel ?
(même si un MX est nécessairement un CNAME)
Me trompe-je ?

Je ne suis pas sûr de bien comprendre la question ? Je suppose que tu veux dire qu'avec une ip dynamique, on est obligé de passer par un prestataire de DNS dynamique qui va proposer un nom de domaine du genre tartempion.ipdynamic.com (en fait, un sous-domaine d'un de ceux appartenant au dit prestataire) ?

C'est vrai que, même si les noms de domaine sont assez bien choisis, ça ne fait quand même pas "pro". Quoique, entre masupersociete@orange.fr et service-commercial@masupersociete.societesuper.com, le second me semble quand même meilleur (bien qu'un peu long)

Mais bon : pour 12€ annuels et des bricoles, je peux avoir masupersociete.fr, et donc des adresses du type service-commercial@masupersociete.fr. Y compris (et je crois que c'était là ta question ?) avec une IP dynamique : en effet, si le registrar permet de choisir les serveurs DNS (c'est le cas chez GANDI, et comme j'en ai toujours été content je n'ai jamais changé de crèmerie) et que le prestataire de DNS dynamique autorise à utiliser les siens (ça me semble la moindre des choses ! En tous cas, dyndns (une autre crémerie que je n'ai jamais jugé utile de changer) le fait), on peut utiliser son nom de domaine avec une IP dynamique. C'est ce que je pratique avec bonheur depuis longtemps, tant pour moi que pour mes clients.

Par contre, il peut peut-être y avoir un problème au moment du changement d'@IP. On imagine la scène : on commence le dialogue SMTP avec masupersociete.fr qui a l'adresse 123.132.231.213, et au cours de la procédure, l'adresse change ! Pire, même : 123.132.231.213 est affectée à Mme Michu dont le notebook tout neuf sous Cévennes Home Edition est infesté par un virus faisant office d'open relay ! J'avoue que je ne sais pas trop ce qui se passe dans ce cas, mais en toute logique la transaction va avorter (comment un serveur SMTP pourrait-il comprendre et accepter une transaction débutée ailleurs ?), et un nouvel essai va être tenté, cette fois avec la nouvelle (et bonne) adresse.

En tous cas, je n'ai jamais constaté le moindre problème.