serveur mail auto heberge, certain mails non recu

[vaneck]

bonjour

j'héberge sur mon synology un serveur mail de la marque  (du postfix rebadgé). Il y a certain mail en particulier que je ne recoit plus, évidement , je ne sais pas precisement quels mails je ne recoit pas, ce dont je suis sur c'est que je ne recoit plus les mails de double authentification, à la connectionsd'un site web. C'est le cas pour:

-steam (pourtant je recoit les mail publicitaires)

-github (pourtant il y a 4 mois je recevais les mails de double authentification)

-discord

A noter que pour discord, quand je change d'adresse pour une plus connue (hotmail) cela fonctionne. Sinon sur ma boite mail , je reçoit tous les autres mails qui me sont adressé, du moins je suppose. Et je n'ai pas de filtre anti -spams, de quelque manière que ce soit.

J'aimerais déjà savoir comment détecter l'origine du problème. Est ce que çà vient de l'expéditeur qui ne sait pas/ne veux pas m'envoyer un mail pour x raison?

OU est ce moi de mon cote qui est bloqué je ne sais comment la réception de ce type de mail en particulier?

merci pour votre aide

[L33thium]

montre nous le résultat de https://www.mail-tester.com/

[brice.wernet]

Et appliquer tout cela: https://www.nextinpact.com/article/30341/109074-emails-avec-spf-dkim-dmarc-arcet-bimi-a-quoi-ca-sert-comment-en-profiter

[L33thium]

je me suis fait avoir aussi une fois à trop vouloir sécuriser le serveur en n'acceptent que le smtps (sur ssl), on se coupe de plus de la moitié des autres serveurs mails

[vaneck]

@brice.wernet je n'ai plus accès à mon dns  (cette गंदगी d'ovh de លាមក m'a imposé de force une double authentification, avec des codes qu'ils ne m'ont jamais transmis).Mais les enregistrements DNS, sont , sauf erreur de ma part, uniquement pour la sécurité de l'envoie des mail. Pour la réception , il suffit juste d'avoir un MX qui pointe sur son serveur, ce qui est le cas. Le DNS ne peut pas filtrer les mails de quelque façon que ce soit il me semble.

Pareil pour mail tester @L33thium, le service ne sert qu'a testé la délivrabilité d'un mail , par la reception d'une boite mail (au passage , j'ai 10/10, la totalité des exigences sont satisfaites).

sur sur mon serveur j'ai activé smtp + smtp-ssl + smtp-tls. Je viens de désactiver sur mon serveur les validations spf+dmarc, mais rien ne passe.

[ashlol]

question bête t'acceptes bien les emails avec tls 1.3, j'ai eu le cas cette année un client n'acceptait pas les email tls 1.3 et donc ne recevais plus nos emails car on avait migré en tls 1.3, tls 1.2 est vieux et dépassé plein de serveur migre sur tls1.3.

[L33thium]

@vaneck non mail-tester test la validité de l'e-mail et du serveur, il retourne notamment les paramètres spf, dkim, dmarc, rdns, etc...

si tu as 10/10 ça élimine donc des causes possible.
Mais excuse moi d'avoir essayé de chercher à comprendre ce qui peut causer ton problème.

[vaneck]

@ashlol a prioris, synology est bloqué au tls 1.1, y a un moyen que je connaisse ce que mon serveur peut accepeter?  en fouillant dans les entete de mail que j'ai recu dernierement , j'en vois marqué en tls 1.3. ce n'est donc pas ca le probleme

@L33thium merci pour ton aide. Cependant, il me semble que tout les protocoles sur DNS, ceux testé par mail tester donc, ne servent qu'a la déliverabilté des mails, mais n'ont pas d'impact sur la reception

Modifié le 12 décembre 2022 par vaneck

[brice.wernet]

J'avais lu en diagonale.

Pour les problèmes de réception de mail, mon 1er réflexe est de vérifier l'adresse MX dans le DNS du domaine. Ensuite de la tester via un traceroute depuis l'extérieur.

Et surtout: bien tester l'IPv6! De plus en plus de services basculent en IPv6, ce n'est pas toujours super testé.

[vaneck]

si j'ai bien compris, pour un traceroute d'un mail , j'ai besoin de son entete? du coup , si je recoit pas le mail , c'est pas possible?

J'ai du désactiver l'ipv6 de mon cote, car le reverse dns de free ne fonctionne que sur l'ipv4

[brice.wernet]

il y a 55 minutes, vaneck a dit :

si j'ai bien compris, pour un traceroute d'un mail , j'ai besoin de son entete? du coup , si je recoit pas le mail , c'est pas possible?

Non, le traceroute c'est juste de l'extérieur vers ton serveur (via un service sur le web, ou depuis un ordi chez quelqu'un d'autre)

Sous Windows, c'est selon le protocole

• tracert -4 mondomaine.ovh
• tracert -6 mondomaine.ovh

 

il y a 55 minutes, vaneck a dit :

J'ai du désactiver l'ipv6 de mon cote, car le reverse dns de free ne fonctionne que sur l'ipv4

Alors vérifie que ton MX de DNS soit une IPv4 ou que le nom DNS de ton syno soit uniquement en IPv4. Parce que les services externes qui marchaient il y a quelques mois, ils sont parfois juste passés à l'IPv6 si dispo...

• nslookup -type=all mondomaine.fr

 

Je récapitule ce que je pense:

* Tu as un domaine chez ovh (mondomaine.ovh) qui a un champ MX dans le DNS

* Si ce MX est l'adresse IPv4 de ta freebox, normalement c'est bon

* Si ce MX est le nom de ta freebox (azrty234.freebox.fr), il faut vérifier que azrty234.freebox.fr ne se résout pas en IPv6

* Si ce MX est le nom de ton NAS sur un service extérieur (def34up.synology.gnagnagna), il faut vérifier que def34up.synology.gnagnagna ne se résout pas en IPv6

 

[vaneck]

j'ai testé traceroute -6 monsite.fr, mais

 Aucune adresse associée avec le nom de l'hôte

j'ai testé traceroute -4 monsite.fr,

traceroute to monsite.fr (82.66.xxx.xxx), 30 hops max, 60 byte packets
 1  monautresite.org (82.66.xxx.xxx)  3.162 ms  3.125 ms  3.107 ms

je n'ai pas compris les options de traceroute.

nslookup -type=all monsite.fr

unknown query type: all
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
Name:	monsite.fr
Address: 82.66.xxx.xxx

mon mx sur ovh pointe vers mail.monsite.fr . mail.monsite.fr pointe sur l' ipv4 de ma freebox

 

Modifié le 12 décembre 2022 par vaneck

[ashlol]

les options du tracert sont là pour spécifier quel protocole tester ipv4 ou ipv6

https://linux.die.net/man/8/traceroute

donc résultat monsite.fr ne se résout pas en ipv6 et donc normalement les services externes devraient continuer à utiliser l'ipv4.

T'as bien testé depuis une autre connection internet ? l'idéal étant depuis un autre opérateur pour être sûr qu'il n'y ai pas un soucis avec free.

je laisse à @brice.wernet le soin de confirmer mais ton nslookup est curieux on dirait qu'il utilise un cache local (127.0.0.53) pour le dns sur le port 53

en cherchant apparemment c'est lié à systemd-resolved si tu l'utilises comme service voir post sur stack exchange https://unix.stackexchange.com/questions/612416/why-does-etc-resolv-conf-point-at-127-0-0-53 et donc tu aurais un lien symbolique qui pointe vers ton dns local mais donc voudrais dire à priori que tu as fait le test depuis chez toi et donc idem le tracert si tu le fais sur un ordi qui a un lien vers ton server codé en dur (sur windows dans le fichier host par exemple) c'est normal qu'il le trouve mais c'est pour ça qu'il faut tester depuis un autre ordi sur un autre réseau internet donc depuis ton boulot par exemple ou chez un ami

si tu spécifies un dns mondial style celui de google ça donne quoi ? (nslookup mondomaine.fr 8.8.8.8)

[brice.wernet]

Il y a 13 heures, vaneck a dit :

nslookup -type=all monsite.fr

unknown query type: all
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
Name:	monsite.fr
Address: 82.66.xxx.xxx

Là on a une réponse locale, qui peut soit être un cache, soit carrément un forçage DNS local. Pour moi c'est non représentatif comme l'a dit @ashlol

Il y a 13 heures, vaneck a dit :

mon mx sur ovh pointe vers mail.monsite.fr . mail.monsite.fr pointe sur l' ipv4 de ma freebox

Ca c'est bien, et ça éjecte le problème là je pense (s'il n'y a qu'un seul MX ou que tous les MX sont des noms qui n'ont pas de réponse en IPv6 (champ AAAA)).

[David.C]

Il faudrait essayer de récupérer le mail d'erreur reçu par l’expéditeur.
Peut-être que le problème ne vient pas de toi directement, il faudrait pas que l’expéditeur ait son IP sur spamlist et que ton serveur mail soit en train de le filtrer. (a vérifier sur mxtoolbox par exemple avec leur nom de domaine)

[ashlol]

je ne serais pas étonné que ce soit le dns de free qui merde et qui ne résout pas toujours bien le "monsite.fr" en 82.66.xxx.xxx

si c'est ça en étant chez free tu peux demander une ipv4 fixe c'est permanent mais au moins t'as plus de soucis de dns car dans le mx tu mets direct ton ipv4 fixe au lieu de "monsite.fr" bon par contre si tu fais ça il va falloir blinder ton serveur au niveau filtrage et ou firewall pour ne pas te faire spammer, hacker etc.

ou alors utilises autre chose que free

[brice.wernet]

Je résume ce que j'ai compris:

• Tu utilises des adresses type
  • monmail@monsite.fr
• Niveau DNS (OVH):
  • monsite.fr a un enregistrement:
    • MX=mail.monsite.fr
  • mail.monsite.fr
    • A=aaa.bbb.ccc.ddd (ta freebox)

La chaîne quand discord envoie un email @monsite.fr:

• le relai de messagerie discord:
  • lit le DNS "monsite.fr" --> pointe vers mail.monsite.fr
  • lit le DNS "mail.monsite.fr" --> pointe vers aaa.bbb.ccc.ddd
  • envoie le mail sur aaa.bbb.ccc.ddd
    • cette adresse est ta freebox, donc tu as un routage DMZ -> ton syno (port 25 - mais est-ce le seul?)
  • côté Syno, il y a filtrage, anti spam j'imagine (je ne connais pas syno)

 

Donc si tu ne reçois pas de mails:

• il faut vérifier côté du client (ton client mail, ton syno) si ce n'est pas dans les spams (c'est bête, mais mieux vaut y regarder 2 fois)
• il faut ensuite regarder côté serveur MTA (ton postfix): est-il accessible?
  • a priori oui si tu reçois d'autres mails...
• le reste, c'est ce dont j'ai déjà parlé: si "mail.monsite.fr" a un champ AAAA, des serveurs vont passer par IPv6, donc si IPv6 est désactivé sur la freebox ou le syno, il NE FAUT PAS de champ AAAA
  • conseil: il faut activer IPv6 maintenant. Sur le web, ne pas avoir d'IPv6, c'est avoir des problèmes avec la consultation par smartphone. Pour les emails, ça commence à venir en IPv6.

Voilà où j'en suis de mes réflexions sur ce problème.

[vaneck]

j'ai refait un traceroute ailleurs.  Aucune difference pour le 6 , par contre le 4

traceroute -4 monsite.org
traceroute to monsite.org (82.66.xxx.xxx), 30 hops max, 60 byte packets
 1  bbox.lan (192.168.1.254)  0.658 ms  1.002 ms  1.782 ms
 2  176-xxx-xxx-2.abo.bbox.fr (176.xxx.xxx.2)  8.186 ms  8.497 ms  8.697 ms
 3  62.34.2.120 (62.34.2.120)  8.882 ms  9.049 ms  9.344 ms
 4  62.34.2.115 (62.34.2.115)  18.496 ms  19.231 ms  19.459 ms
 5  be5.cbr01-ntr.net.bbox.fr (212.194.171.137)  19.650 ms  19.861 ms  20.109 ms
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

j'ai déjà une ip4 fixe, c'est indispensable pour le reverse dns, d'autant plus que le reverse dns de free ne gere pas l'ip6.

Je ne sais pas si j'ai un routage "DMZ". Mon stp est relié par 3 port : 25, 465 (ssl), 587  (tls), tous ouvert sur la freebox.

Et non , je n'ai pas de filtre anti -spams, de quelque manière que ce soit. Je n'ai pas de redirection sur un AAAA.

Par contre, grande nouvelle, Steam m'a répondu  avec une vrais réponse d'un humain qui comprend , et pas d'un robot, j'en esperais pas tant! :

2022-12-12 07:01:16 mon@adresse.me Code for New Web Login with IP Location Warning Delivery failure Remote MTA Status Code 550
2022-12-12 06:52:15 mon@adresse.me Code for New Web Login with IP Location Warning Delivery failure Remote MTA Status Code 550
2022-12-11 18:44:40 mon@adresse.me adresse.me Help Request Received Delivery failure Remote MTA Status Code 550

 

Modifié le 14 décembre 2022 par vaneck

[L33thium]

https://mxtoolbox.com/blacklists.aspx

ça peut être un problème d'authentification entre les deux serveurs smtp donc de configuration de ton coté,
ou alors certains fournisseurs bloquant les serveurs dont l'adresse ip n'est pas allouée à un centre de données ou un hébergeur.

[brice.wernet]

Il y a 5 heures, vaneck a dit :

Par contre, grande nouvelle, Steam m'a répondu  avec une vrais réponse d'un humain qui comprend , et pas d'un robot, j'en esperais pas tant! :

2022-12-12 07:01:16 mon@adresse.me Code for New Web Login with IP Location Warning Delivery failure Remote MTA Status Code 550
2022-12-12 06:52:15 mon@adresse.me Code for New Web Login with IP Location Warning Delivery failure Remote MTA Status Code 550
2022-12-11 18:44:40 mon@adresse.me adresse.me Help Request Received Delivery failure Remote MTA Status Code 550

 

Code 550: 

• Bonne nouvelle: le server Steam a causé au tien! Donc comme tu l'as dit patiemment avant, le réseau est OK
• Mauvaise nouvelle: sans le sous-code, difficile à diagnostiquer...
  • Ca peut quand même être le firewall (certains firewalls envoient direct du 550)
  • Ca peut être une adresse email non reconnue
  • Ca peut être un antispam "primaire" intégré
  • Ca peut être tout autre mauvaise config de ton serveur mail

--> Ton serveur mail c'est bien celui du syno? Tu as des logs?

 

[vaneck]

@L33thium je ne suis sur aucune liste de blacklist.

@brice.wernet C'est celui de syno, dans les log , je n'ai rien qui vient de steam. Je vient de desactiver SPF DKIM et DMARC, qui peuvent faire office de filtre avant l'anti spam, mais pas de difference.

 

[ashlol]

le tracert reste quand même un poil bizarre qu'il n'arrive pas à déterminer un itinéraire en moins de 30 hops c'est quand même curieux non ?

d'après le site de ovh ils étaient en maintenance cette semaine depuis lundi ils migraient l'infra mx mail

https://web-cloud.status-ovhcloud.com/incidents/k740v8wj9ldt

 

[brice.wernet]

Il y a 5 heures, vaneck a dit :

@L33thium je ne suis sur aucune liste de blacklist.

@brice.wernet C'est celui de syno, dans les log , je n'ai rien qui vient de steam. Je vient de desactiver SPF DKIM et DMARC, qui peuvent faire office de filtre avant l'anti spam, mais pas de difference.

SPF DKIM DMARC servent surtout quand tu envoies des emails.

Tu a reçu des mails d'autres émetteurs depuis?

Peux-tu nous faire une capture de comment la freebox est configurée pour le renvoi du port 25 vers le syno?

 

Peux-tu faire depuis l'extérieur la commande suivante:

telnet mail.monsite.fr 25

Je crois que postfix doit répondre avec des infos, notamment si il est compatible TLS.

Pour le TLS tu as un certificat let'encrypt ou autre valide?

[brice.wernet]

Hello, c'en est où?