paramétrages Gandi + freeDNS.afraid

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

paramétrages Gandi + freeDNS.afraid

Message par arnaud056 » 26 Déc 2011 22:52

Bonsoir,
Suite à la proposition de sibsib d'effectuer le MX-Backup pour mon domaine, il apparait que ma configuration de DNS n'est / n'était pas tout à fait correcte.
Je pense avoir trouvé quelque chose de convenable, mais aimerait avoir une confirmation et savoir si le MX-backup alors fonctionne.

La situation générale est donc la suivante:
Gandi est le registar de mon domaine "guedel.eu" que j'essaye d'hégberger totalement (www + MX etc…) chez moi sur ma sme. Etant en ip dynamique, je passe par freedns.affraid .


1) Ce que j'avais effectué:

Code : Tout sélectionner
Internaute      -------->        gandi                     ------------->           freedns          ------------------>       ma sme
                        DNS: ceux de freedns                                              DNS:                                       ip dynamique
                                                                                     guedel.eu (G)   A   92.252.92.131
                                                                                 mail.guedel.eu (G)   MX   10:guedel.eu
                                                                            http://www.guedel.eu (G)   CNAME   guedel.eu


Ma logique: tous les DNS sont gérés par freedns

Fonctionnement apparent: tout fonctionne. Le www est visible de l'extérieur et je reçois les emails ##@guedel.eu.

Malheureusement il est apparu que l'enregistrement MX est pas visible:
Code : Tout sélectionner
[ ~]$ host -t mx guedel.eu
guedel.eu has no MX record


--> comment se fait-ce (c'est bien comme ca que ca s'écrit?? Quoi qu'en un mot... :roll: ) alors que je reçois les mails?

2) j'ai alors modifié de la manière suivante:

Code : Tout sélectionner
Internaute       -------->        gandi                     ------------->           freedns          ------------------>       ma sme
                            DNS: ceux de gandi                                              DNS:                                    ip dynamique
                      @       IN    MX        10 mail.guedel.eu         guedel.eu (G)   A   92.252.92.131
                     mail     IN    CNAME     guedel.eu
                      www   IN    CNAME     guedel.eu


Ma logique: freedns ne fait plus que faire correspondre mon ip avec le domaine. Gandi fait correspondre le www avec le domaine, le MX avec le domaine etc...

Fonctionnement apparent: cela fonctionne moins bien. Le www n'est plus joignable et je recois les emails ##@guedel.eu



Retour de la commande host: MX= mail.guedel.eu.guedel.eu --> ca ne va pas non plus.

J'ai essayé un "@ MX 10 mail" pour enlever un "guedel.eu" mais ce n'est pas accepté.

Là également: pourquoi est-ce que je parviens à recevoir les emails? Parce que guedel.eu.guedel.eu est considéré comme un sous domaine de guedel.eu et que ma sme accepte les messages destinés aux sous-domaines?

3) sibsib m'a fait remarquer que dans la config 1, l'entrée MX était à l'envers. Après de nombreuses recherches, je pense avoir trouvé comment faire

Code : Tout sélectionner
Internaute       -------->        gandi                     ------------->           freedns          ------------------>       ma sme
                        DNS: ceux de freedns                                             DNS:                                    ip dynamique
                                                                        guedel.eu (G)   A   92.252.115.166
                                                               guedel.eu (G)   MX   10:mail.guedel.eu
                                                               guedel.eu (G)   MX   20:mail.schirrms.net
                                                             mail.guedel.eu (G)   CNAME   guedel.eu
                                                           www.guedel.eu (G)   CNAME   guedel.eu



Je tiens à préciser que le masque des entrées DNS de freedns.afraid et assez "rigide". Pour configurer les champs "MX" de la sorte, il faut remplir les champs comme ceci:
- subdomain: lasser vide
- domain: reste tel quel (ne peut de toute façon pas être modifié)
- destination: 10:mail.le_domaine

Maintenant:
Code : Tout sélectionner
arnaud@KCNAthlon:~$ host -t any guedel.eu  ns3.afraid.org.
Using domain server:
Name: ns3.afraid.org.
Address: 72.20.15.62#53
Aliases:

guedel.eu has address 92.252.115.166
guedel.eu mail is handled by 10 mail.guedel.eu.
guedel.eu mail is handled by 20 mail.schirrms.net.
guedel.eu has SOA record ns1.afraid.org. dnsadmin.afraid.org. 1112250001 86400 7200 2419200 3600
guedel.eu name server ns4.afraid.org.
guedel.eu name server ns1.afraid.org.
guedel.eu name server ns2.afraid.org.
guedel.eu name server ns3.afraid.org.


ainsi que cette page qui me renvoie:
Code : Tout sélectionner
10   mail.guedel.eu   92.252.115.166   60 min
20   mail.schirrms.net   88.167.79.67   60 min


Je pense donc avoir maintenant une configuration avec MX-backup correcte. Oui? Non?

Etant donner qu'il n'a pas été si facile de trouver cette astuce de laisser le champ "subdomain" vide dans freedns, je pense que ce topic pourra servir de fiche pense-bête à plus d'un (...de mon niveau :oops: )

La méthode de test du MX-backup que m'a donnée sibsib:
"tu installes expect :
yum install expect

tu détarres le fichier où tu veux (je crois que je l'ai tarré avec le path, il va donc te créer un dossier bin)

tu vérifies que le script est exécutable (ls -l doit donner des 'x', genre rwxr-xr-x)

Et tu lances :
bin/testMail mail.schirrms.net

Si tout se passe bien, quelques secondes après, tu as un mail avec comme sujet 'test' dans la boite admin de ton SME.
"
ne fonctionne pas:
Code : Tout sélectionner
[root@sme-intel temporaire]# ./testMail mail.schirrms.netspawn telnet mail.schirrms.net 25
Trying 88.167.79.67...
mail.schirrms.net: connect to port 25 timeout

Les jours précédents le script se déroulait bien, mais je n'ai jamais reçu le mail "test". Après avoir attendu plusieurs jours que les DNS digèrent mes modifs, j'ai le timeout --> la bécane de sibsib est offline en ce moment (ne pingue pas non plus :cry: ) ou j'ai été blacklisté pour avoir essayé 8 à 10 fois les jours derniers.

Je vous rends le clavier ;)
@+
Arnaud
Mieux vaut faire envie que pitié...
it's me
arnaud056
 
Message(s) : 98
Inscription : 04 Nov 2011 20:52
Localisation : Allemagne

Re: paramétrages Gandi + freeDNS.afraid

Message par sibsib » 27 Déc 2011 16:34

Salut Arnaud,

En effet, il suffit de partir quelques jours pour avoir un disque qui passe offline, et donc, le SME avec... Là, je suis rentré, et mon serveur est de retour ;-) tu devrais pouvoir tester.

Quelques réponses en vrac :

Pourquoi recevais tu les mails sans MX valable ? Les serveurs de mails cherchent en priorité un MX pour un domaine. S'il n'y a pas de MX, alors ils cherchent si un champ A est défini pour le domaine. Comme c'est le cas chez toi, bingo.

Un bout de DNSchez Gandi, un autre chez affraid, pour moi, ce n'est pas possible : il ne peut y avoir qu'une autorité pour une zone. Ce que gandi garde, par contre, c'est le contrôle du chemin vers ton domaine. C'est normal, c'est ton registrar.
Donc :
gandi indique au monde entier ou se trouve(nt le(s) serveur(s) DNS de la zone guedel.eu
affraid se charge de g&rer le contenu de la zone.

Au niveau actuel de ton DNS, c'est pas mal du tout :
Code : Tout sélectionner
$ host -t any guedel.eu
guedel.eu has address 92.252.103.25
guedel.eu mail is handled by 10 mail.guedel.eu.
guedel.eu mail is handled by 20 mail.schirrms.net.
guedel.eu has SOA record ns1.afraid.org. dnsadmin.afraid.org. 1112260001 86400 7200 2419200 3600
guedel.eu name server ns2.afraid.org.
guedel.eu name server ns1.afraid.org.
guedel.eu name server ns4.afraid.org.
guedel.eu name server ns3.afraid.org.

$ host -t any mail.guedel.eu
mail.guedel.eu is an alias for guedel.eu.


En étant puriste, certains mail servers n’aiment guère s'adresser à un alias. Il aurait donc fallu mettre mail.guedel.eu pointant sur l'IP de ton domaine, ou, plus simplement faire pointer ton MX vers ton domaine (jamais testé, ceci dit !). Mais je ne pense pasque ceci devrait interférer avec un bon fonctionnement de ton mail server.

A suivre...

A+,
Pascal
sibsib
 
Message(s) : 188
Inscription : 20 Oct 2011 21:08

Re: paramétrages Gandi + freeDNS.afraid

Message par arnaud056 » 27 Déc 2011 20:50

merci bien de te manifester Pascal,
effectivement, je te pingue de nouveau ;)
Le script donne maintenant la chose suivante:
Code : Tout sélectionner
[root@sme-intel temporaire]# ./testMail mail.schirrms.net
spawn telnet mail.schirrms.net 25
Trying 88.167.79.67...
Connected to mail.schirrms.net.
Escape character is '^]'.
220 gw1.schirrms.net ESMTP
EHLO me.com
250-schirrms.net Hi xdsl-92-252-103-25.dip.osnanet.de [92.252.103.25]
250-PIPELINING
250-8BITMIME
250-SIZE 15000000
250 STARTTLS
MAIL FROM: <me@me.com>
250 <me@me.com>, sender OK - how exciting to get mail from you!
RCPT TO: <admin@schirrms.net>
550 http://www.spamhaus.org/query/bl?ip=92.252.103.25
[root@sme-intel temporaire]#

Cependant je n'ai pas reçu l'email "test" :cry:
Je suppose alors que ce dernier, s'il la été envoyé (peut-être peux-tu vérifier ceci), a été considéré comme un spam par ma sme!
En me connectant en admin via webmail (Horde), je n'ai malheureusement rien trouvé dans les "junks" ni dans les "junksmails" :evil: le mail peut-il encore être ailleurs??

Comme tu dis: @ suivre.....

@+
Arnaud
Mieux vaut faire envie que pitié...
it's me
arnaud056
 
Message(s) : 98
Inscription : 04 Nov 2011 20:52
Localisation : Allemagne

Re: paramétrages Gandi + freeDNS.afraid

Message par sibsib » 27 Déc 2011 22:33

Hello,

Évidemment, tu n'as rien reçu ! Le destinataire est en dur dans le script "admin at schirrms dot net" !!!! Je suis un âne ! Par contre, je ne le retrouve pas non plus, ce qui m’inquiète nettement plus... En même temps, mon serveur délire grave à cause de mon disque malade, je viens de le retirer (je suis donc en raid 1 dégradé). Là, le serveur a l'air de bien fonctionner (jusqu'à la panne du deuxième disque ! Ouille, les disques sont chers actuellement...).

Bref, comme la machine a planté à 20:20, environ, et que le symptôme est "machine vivante, mais plus de disque en lecture/écriture", si ton mail de test est arrivé à cette heure là...

Bon, je viens de mettre le script à jour.

Pour info générale, ce script envoie un mail tout à fait minimal, mais suffisamment conforme pour passer les divers filtres anti spam. Je l'ai trouvé quasi tel quel sur le net (j'espère que j'ai bien laissé les références dedans !), je n'ai eu qu'à ajouter la date (et représenter différemment les noms).

Ce script utilise expect, qu'il faut donc installer sur la machine émettrice (yum install expect).
Vous téléchargez le script ici :http://www.schirrms.net/files/expectTestMail.tgz,vous le décompactez , vous vérifiez qu'il est exécutable, et vous le lancez ainsi :
./testMail {nom ou adresse IP du serveur de mail à tester} {adresse mail de l’émetteur - avec un domaine valide !} {adresse mail du destinataire}

Un des intérêts de l'utilisation de Expect, c'est que vous voyez en temps réel l'&change avec le serveur distant.

A+,
Pascal
sibsib
 
Message(s) : 188
Inscription : 20 Oct 2011 21:08

Re: paramétrages Gandi + freeDNS.afraid

Message par jibe » 27 Déc 2011 22:45

Salut,

sibsib a écrit :faire pointer ton MX vers ton domaine (jamais testé, ceci dit !).

Je l'ai fait, et ça fonctionnait jusqu'à récemment où j'ai eu une sombre histoire que je n'ai pas compris. Mais comme les conditions étaient très spéciales, je ne saurais dire s'il faut en tenir compte ou non ! Je raconte quand même, aux lecteurs de faire le tri :

Une SME chez un client, PME de TP, petit réseau 4 postes mais activité assez importante, surtout au niveau mails pour les appels d'offre. La SME est en place depuis 2 ans, héberge totalement le serveur mail, le MX backup étant assuré par dyndns (service mailhop, si ma mémoire est bonne, au besoin je peux vérifier). Adresse dynamique donc côté internet. Le MX pointait sur le nom de domaine, et tout se passait très bien niveau mail, avec deux particularités :
1 - Le patron a possibilité de consulter sa boite mail depuis son domicile, via thunderbird sur son poste sous Linux. Connexion ADSL Orange.
2 - Je consulte depuis chez moi la boite admin du serveur, là aussi via thunderbird sous Linux, à travers une SME connectée sur ADSL Free.

Donc, tout cela fonctionnait à merveille jusqu'au jour où la boite ouvre une agence. Le chef d'agence (un ancien haut responsable d'une très grosse entreprise de TP) a un copain qui a une boite d'informatique. On me demande de lui faire une BAL, je la crée et envoie les identifiants et toutes les infos nécessaires au copain du chef d'agence... qui n'arrive pas à se connecter. Je passe les détails, on se donne finalement RDV au siège avec l'agent pour que je fasse fonctionner la BAL sur son portable (sous W$7/Outlook).

Et là, plusieurs grosses surprises m'attendaient :
- Je n'ai jamais pu me connecter avec Outlook,
- Thunderbird sous W7 n'a jamais accepté le serveur mail en domaine.tld, y compris depuis le LAN : j'ai dû reprendre le classique mail.domaine.tld
- L'adresse comportait un point (nom.prenom@domaine.tld), ça n'a jamais fonctionné. J'ai dû refaire une adresse en nomprenom@domaine.tld, et là, ok du premier coup !!!

Ne pouvant pas faire d'essais depuis Internet, j'ai laissé les choses en état, avec un compte thunderbird fonctionnel dans le LAN. Le lendemain, le "collègue" me rappelle, me prenant de haut : ça ne fonctionne pas, et de toutes façons il faut que ça fonctionne sous Outlook. Je précise insidieusement que pour moi, tout fonctionne parfaitement sous Linux, tant dans le LAN qu'à l'extérieur et que puisqu'il prétend que W$ est bien meilleur, connaissant bien cet OS et ses logiciels, il devrait pouvoir faire fonctionner cette BAL. "J'en ai la prétention", m'a-t-il dit !!!

Quelques heures et un gros paquet d'essais plus tard, il m'envoit un mail :
En raison du changement de notre politique Internet, nous vous demandons de faire suivre les courriers arrivant dans la boite nomprenom@domaine.tld vers nomprenom@unautredomaine.tld.
:shock:

De mon côté, après avoir remis mail.domaine.tld comme serveur IMAP et SMTP sur les postes internes, chez le patron et sur mon propre poste, tout fonctionne à merveille comme depuis toujours...

Apparemment, il y a des choses que W$ n'accepte pas ! Mais je n'ai pas approfondi, vu l'ambiance. D'ailleurs, l'agent n'arrive pas à envoyer de mails au siège !!! En tous cas, mes conclusions provisoires sont les suivantes :
- Parfaitement fonctionnel sous Linux,
- Peut-être fonctionnel sous XP (je ne me souviens plus si j'avais mis en place cette BAL avant de passer le poste du domicile du patron sous Linux, mais c'est très possible),
- NOK sous Seven.
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.

L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
jibe
 
Message(s) : 943
Inscription : 09 Sep 2011 23:19
Localisation : Haute Savoie

Re: paramétrages Gandi + freeDNS.afraid

Message par arnaud056 » 29 Déc 2011 19:22

Code : Tout sélectionner
# ./testMail guedel.eu admin@schirrms.net admin@guedel.eu
spawn telnet guedel.eu 25
Trying 192.168.2.5...
Connected to guedel.eu.
Escape character is '^]'.
220 sme-intel.maison.ag ESMTP
EHLO me.com
250-maison.ag Hi sme-intel.maison.ag [192.168.2.5]
250-PIPELINING
250-8BITMIME
250-SIZE 20000000
250 STARTTLS
MAIL FROM: <admin@schirrms.net>
250 <admin@schirrms.net>, sender OK - how exciting to get mail from you!
RCPT TO: <admin@guedel.eu>
250 <admin@guedel.eu>, recipient ok
DATA
354 go ahead
From: admin@schirrms.net <admin@schirrms.net>
To: admin@guedel.eu <admin@guedel.eu>
Date: Thu Dec 29 17:46:16 2011 GMT
Subject: test

This is a test message
Thu Dec 29 17:46:16 2011 GMT
.
250 Queued! 1325180776 qp 7783 <>
#

et j'ai bien reçu le message :D
et toi aussi certainement car j'ai inversé "email émetteur" et "destinataire" :oops:

En tous cas merci!
@+
Arnaud
Mieux vaut faire envie que pitié...
it's me
arnaud056
 
Message(s) : 98
Inscription : 04 Nov 2011 20:52
Localisation : Allemagne


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron