serveiur mail dédié, erreur DMARC

[L33thium]

Bonjour à tous, depuis quelques jours je configure mon serveur dédié (VPS) chez ovh pour ma future entreprise.

Le plus gros morceau a été le serveur mail.
Je suis sur une config Debian Stretch, postfix/dovecot/spamassassin.
SPF et DKIM sont OK, le DMARC est OK à un bout de la chaîne mais KO à un autre bout.
Je ne comprends pas trop où est le problème ou si seulement il y a un problème en fait.
Sur le DNS tout est au vert. J'ai obtenu un score de 10/10 à mail-tester.com.
gmail considère mes mails comme spam (aussi) sans doute du fait que mon nom de domaine à moins de 5 jours.

Dans les headers des mails envoyés depuis mon serveur, au premier authentication results j'ai bien dmarc=pass
Mais à la fin après les headers concernant le client expediteur je tombe sur dmarc=fail.

La question est trop tordue pour trouver une réponse via les moteurs de recherche.
Donc merci aux admins sys/réseau de m'éclairer si possible.

voici le résultat du bot dmarctest.org :

Spoiler

Received: from lateliernumerique.net (lateliernumerique.net
 [51.77.194.234]) by dmarctest.org (8.14.9/8.14.9/dmarctest.org.mc-1.2) with
 ESMTP id wBTHacDO085278 for <autoreply@dmarctest.org>; Sat, 29 Dec 2018
 09:36:40 -0800 (PST) (envelope-from ******@lateliernumerique.net)
DMARC-Filter: OpenDMARC Filter v1.3.0 dmarctest.org wBTHacDO085278
Authentication-Results: dmarctest.org/wBTHacDO085278; dmarc=pass
 header.from=lateliernumerique.net
Authentication-Results: dmarctest.org; spf=pass
 smtp.mailfrom=******@lateliernumerique.net
DKIM-Filter: OpenDKIM Filter v2.10.3 dmarctest.org wBTHacDO085278
Authentication-Results: dmarctest.org; dkim=pass (1024-bit key)
 header.d=lateliernumerique.net header.i=@lateliernumerique.net
 header.b=oSls1AGi; dkim=pass (1024-bit key) header.d=lateliernumerique.net
 header.i=@lateliernumerique.net header.b=hPEsDSO4; dkim-atps=neutral
Received: by lateliernumerique.net (Postfix, from userid 1002)
	id 22A9A20D99; Sat, 29 Dec 2018 13:30:16 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple;
 d=lateliernumerique.net; s=mail; t=1546086616;
 bh=R884m1F3KXvhSCjYQLaRL2TXGFdBH9YwsAlZeIz30wE=;
 h=Subject:From:To:Date:In-Reply-To:References:From;
 b=oSls1AGiqw84lNjSMk7YUL90imgBYCETOIOibSwXpuomzQ0khdRPtCb7dgUVFQBSO
 OBz71/cm19qQnUSLlxjUFptPOzfijmnLBhob3Wee2CnQKQCHdbdWeBZlXLpHYnkMut
 EWwbojtHLV6LB0VgiYKTLlXqHSsjtvFMbvKBmatA=
X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on
	lateliernumerique.net
X-Spam-Level: 
X-Spam-Status: No, score=-1.1 required=5.0 tests=ALL_TRUSTED,DKIM_SIGNED,
	DKIM_VALID,DKIM_VALID_AU,SURBL_BLOCKED,URIBL_BLOCKED autolearn=ham
	autolearn_force=no version=3.4.2
Received: from *****.lan (lfbn-*-****-**.w**-***.abo.wanadoo.fr
 [**.***.***.**]) (Authenticated sender: ******) by lateliernumerique.net
 (Postfix) with ESMTPSA id 0C2C520D97 for <autoreply@dmarctest.org>; Sat, 29
 Dec 2018 13:30:14 +0100 (CET)
Authentication-Results: lateliernumerique.net; dmarc=fail (p=none dis=none)
 header.from=lateliernumerique.net
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple;
 d=lateliernumerique.net; s=mail; t=1546086615;
 bh=R884m1F3KXvhSCjYQLaRL2TXGFdBH9YwsAlZeIz30wE=;
 h=Subject:From:To:Date:In-Reply-To:References:From;
 b=hPEsDSO4VOgQpEvcvOIQmZFmazG9iQH0lHXVTlC36po7XoiD9nGRG7tjS+NW0nFU+
 BBEahwXR7AIW7fNO+uwM6ZvYayiuIaJhZnvNu0MyWtACUPYdf4Bswbk2XUl29Spwdv
 loZyXNYw+2sEO23P8mRWkx30j7nYau9x0w3rjTqY=
Message-ID: <1e3544f3b824b8a07a2f0bb7377134f3c7ecc593.camel@lateliernumerique.net>
Subject: Re: bonjour
From: =?ISO-8859-1?Q?J=E9r=F4me?= ****** <******@lateliernumerique.net>
To: autoreply@dmarctest.org
Date: Sat, 29 Dec 2018 13:30:14 +0100
In-Reply-To: <378cd9d30393f2d236fc402adcdad15a31058ffe.camel@lateliernumerique.net>
References: 
	<37d1891f9482c680f1249e821ed707cc171fd14d.camel@lateliernumerique.net>
	 <378cd9d30393f2d236fc402adcdad15a31058ffe.camel@lateliernumerique.net>
Organization: L'Atelier =?ISO-8859-1?Q?Num=E9rique?=
Content-Type: text/plain; charset="UTF-8"
User-Agent: Evolution 3.30.1-1build1 
Mime-Version: 1.0
Content-Transfer-Encoding: 8bit

Le samedi 29 décembre 2018 à 03:16 +0100, ****** ****** a écrit :
> Le samedi 29 décembre 2018 à 02:34 +0100, ****** ****** a écrit :
> > ceci est un essai

 

 

[florentv]

Bonjour,

J'avais mis ce genre de config en place sur mon VPS, j'ai finalement abandonné pour revenir sur l'hébergement mail OVH (trop galère à faire marcher et des scans de bots toute la journée sur mon  postfix).

Pour ton problème, j'avais utilisé à l'époque le service mxtoolbox qui est très bon pour diagnostiquer les problèmes. Exemple d'analyse :

https://mxtoolbox.com/domain/lateliernumerique.net/

Gmail passe tous tes mails en spam s'il y a le moindre problème de config, c'est assez contraignant. Attention aussi aux blacklists, si l'IP de ton VPS était auparavant utilisée pour envoyer du spam, il faut réussir à rattraper sa réputation.

[L33thium]

oui je le connais, grâce à lui j'ai pris connaissance de la Blacklisted by SEM FRESH (.net de moins de 5 jours) par contre il me trouve des erreurs incompréhensible là ou les 4 ou 5 autres que j'ai fait disent OK.

[refuznik]

Pour dmarc, dans ton domaine il te faut rajouter un fichier de type txt, en nom tu mets _dmarc.lateliernumerique.net. et dans les données tu mets :

v=DMARC1;p=none;rua=mailto:postmaster@lateliernumerique.net;adkim=r;aspf=r;pct=100;rf=afrf;sp=reject

Test ça au lieu de ce que tu as marqué v=DMARC1; p=none; adkim=r; aspf=r

Quant MXtoolbox s'est marrant qu'il ne voit pas ton dmarc.

Bon je viens de vérifier ton cname profites en pour en mettre un en www pour ton futur site web et mes un A pour ton smtp pas un CName.

https://www.dnsqueries.com/en/domain_check.php

 

[L33thium]

le rua est optionnel selon la doc officielle (ce serait utile si on voulait monitorer les rejets)

Pour les A et cname c'est peut être un peu le boxon oui, j'ai trouvé plus productif de faire un A et AAAA et des cname plutôt que la paire pour chaque sous-domaine.

Le www c'est la config par défaut ovh, je me suis basé dessus pour les autres sous-domaines, j'ai trouvé ça malin.

Pour le dmarc=fail je me demande si c'est pas une erreur de configuration sur le serveur, comme s'il voulait vérifier le dmarc du client expéditeur qui n'en a forcément aucun.

mail-tester.com qui semble être une référence me dit que ça passe avec un score parfait, donc je vais attendre d'avoir une explication sur ce phénomène avant de retoucher la config je pense