Koozali.org: home of the SME Server

Certification des emails

Offline marsa_matruh

  • ****
  • 249
  • +0/-0
Certification des emails
« on: March 19, 2020, 02:57:13 PM »
Bonjour à tous,

J'ai de plus en plus d'email que j'envoie qui sont considérés comme des spams par les services de courriel de mes destinataires. De ce que je comprends, il y a des problèmes de certification sur les messages que j'émets. Néanmoins, j'ai un peu du mal à voir ce qu'il faut faire pour y remédier.

J'ai un serveur SME à la maison, en IPv4 sur fibre avec IP fixe. Monserveur s'appelle "serveur" et on l'atteint par internet à l'adresse ville.nom.fr.
Je gère moi-même mes emails avec deux adresses : perso@prenom.nom.fr et public@prenom.nom.fr
Pour l'envoi, j'utilise le smtp de mon FAI (smtp.free.fr). Authentification SMTP auprès du FAI : désactivé.

Si je regarde l'entête d'un message que j'envoie:
Quote
Authentication-Results: xxx.xxx.fr; auth=none; spf=none smtp.mailfrom=eric.sibert.fr; dkim=none

Dans le wiki email, je lis:
Quote
Domain Authentication

Major mail hosting companies (Google, Yahoo, Microsoft) have made domain-authentication mandatory so as to not mark incoming mail as spam.

To facilitate this support for DomainKeys and DKIM signing needs to be enabled in SME's mail subsystem. These techniques require the adding of records in the DNS zone for the user's domain. The DKIM/DK/SPF/SenderID configuration has to be added to your your DNS server / registrar.

Certes, mais j'ai du mal à comprendre ce qu'il faut faire en pratique.

Tout conseille est le bienvenu.


Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: Certification des emails
« Reply #1 on: March 19, 2020, 11:57:33 PM »
If you send direct from your own IP then setup DKIM for your domain.

https://wiki.contribs.org/Email

DKIM Setup - qpsmtpd version >= 0.96

But you seem to be sending via your ISP so you should be ok.

Try sending a test email to your 'Junk' Gmail (or Proton mail etc) account and check the headers.

...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline marsa_matruh

  • ****
  • 249
  • +0/-0
Re: Certification des emails
« Reply #2 on: March 22, 2020, 04:27:03 PM »
Yes, I'm using my ISP for SMPT.

When looking at the header of a message sent to gmail, I can see:

Code: [Select]
ARC-Authentication-Results: i=1; mx.google.com;
       spf=neutral (google.com: 212.27.42.5 is neither permitted nor denied by best guess record for domain of xxx@prenom.nom.fr)
[...]
Received: from smtp5-g21.free.fr (smtp5-g21.free.fr. [212.27.42.5])

I don't see anything suspicious.

Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: Certification des emails
« Reply #3 on: March 22, 2020, 04:41:38 PM »
Yes, I'm using my ISP for SMPT.

I don't see anything suspicious.

Yup because the mail is originating from your ISP and not your own server so you are fine.
(I think effectively your server is just like a mail client when it authenticates to the ISP, rather than as a full on mail server itself)
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline Jessee

  • 1
  • +0/-0
Re: Certification des emails
« Reply #4 on: March 23, 2020, 01:05:08 AM »
Bonjour marsa_matruh

Je suis chez Free et j'utilise SME SERVER sans souci depuis 2005. J'ai le même problème que toi depuis que je suis passé de freebox HD à la Mini4K (serait-ce dû à FreeboxOS???), sauf que les mails n'arrivent plus du tout chez gmail.com, yahoo.fr... Lorsque je vais voir les logs qmail/current, j'ai systématiquement ce log : Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/

J'ai l'impression que les certificats "autosignés" ne sont plus les bienvenus chez la plupart des fournisseurs d'accès. Je n'arrive pas encore à installer letsencrypt (API2), j'ai un message d'erreur à la fin de la configuration.

Je vais également voir pour activer DKIM (on ne sait jamais).

Cordialement

Jessee

Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: Certification des emails
« Reply #5 on: March 23, 2020, 02:18:41 AM »
Please don't guess at a solution or you will waste a lot of time.

Also, please don't assume that your problem is the same as the original poster - I don't believe that it is.

Is your server completely up to date?

Quote
sauf que les mails n'arrivent plus du tout chez gmail.com, yahoo.fr... Lorsque je vais voir les logs qmail/current, j'ai systématiquement ce log : Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/

How do you send you mail? Via your ISP (the same as the original post) or directly from your server?

I presume direct.

Have you set up proper domain records? Have you got proper reverse DNS? Is your IP static or dynamic? Have you set up DKIM keys correctly? Have you tested your setup with place like mxtoolbox or say check-auth@verifier.port25.com

The big providers are very fussy. Despite churning out vast quantities of spam themselves, they are very fussy about what mail they will accept.

Quote
J'ai l'impression que les certificats "autosignés" ne sont plus les bienvenus chez la plupart des fournisseurs d'accès. Je n'arrive pas encore à installer letsencrypt (API2), j'ai un message d'erreur à la fin de la configuration.

Self signed certificates have nothing to do with your email. Letsencrypt has nothing to do with email. It is a separate issue.

Please open a new thread with your SSL certificate problem, and describe it completely from the start.
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline marsa_matruh

  • ****
  • 249
  • +0/-0
Re: Certification des emails
« Reply #6 on: March 23, 2020, 11:35:12 AM »
Moi, les messages partent bien mais j'ai quelques destinataires chez qui les messages passent dans la boîte à spam. Pourtant, je rédige en mode texte simple, pas de signature à rallonge et j'en passe. Je ne peux pas faire d'investigation chez ces personnes pour savoir si elles utilisent un webmail ou un client local, l'existence de logiciel supplémentaire de filtrage...

J'envoie les messages en passant par le smtp de free. Je n'utilise pas l'authentification vis à vis du serveur smtp de free. La documentation de free dit qu'il ne faut pas utiliser l'authentification si on est connecté depuis le réseau de free.

Quant aux certificats, je suis moi aussi en auto-signé. Quand je me connecte à mon webmail ou au server-manager depuis un nouvel ordinateur, j'ai un message d'alerte. Mais, comme le dit ReetP, les certificats ne servent pas à signer les messages sortants.

Offline ReetP

  • *
  • 3,722
  • +5/-0
Re: Certification des emails
« Reply #7 on: March 23, 2020, 02:48:04 PM »
Moi, les messages partent bien mais j'ai quelques destinataires chez qui les messages passent dans la boîte à spam. Pourtant, je rédige en mode texte simple, pas de signature à rallonge et j'en passe. Je ne peux pas faire d'investigation chez ces personnes pour savoir si elles utilisent un webmail ou un client local, l'existence de logiciel supplémentaire de filtrage...

Most likely because of the route the mail takes. Make sure you check blacklists for the relevant servers. A lot of the time it is the remote end but they don't know enough to realise THEY are the problem not checking Spam etc.

Remember, the likes of Gmail and M$ want you to host all your mail with them. They are not in the business of making it easy for you to host your own email server. They want your data, and $$$$$

Quite possibly the free.fr mail servers might get blacklisted sometimes.

Quote
J'envoie les messages en passant par le smtp de free. Je n'utilise pas l'authentification vis à vis du serveur smtp de free. La documentation de free dit qu'il ne faut pas utiliser l'authentification si on est connecté depuis le réseau de free.

OK.

Quote
Quant aux certificats, je suis moi aussi en auto-signé. Quand je me connecte à mon webmail ou au server-manager depuis un nouvel ordinateur, j'ai un message d'alerte. Mais, comme le dit ReetP, les certificats ne servent pas à signer les messages sortants.

I presume you have a dynamic IP address? Do you have DynDNS or another service?

If you have you can add some records and get yourself some letsencrypt certificates.

...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions of software
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Offline mab974

  • *
  • 84
  • +1/-0
Re: Certification des emails
« Reply #8 on: March 24, 2020, 07:30:11 AM »
Je ne peux pas faire d'investigation chez ces personnes pour savoir si elles utilisent un webmail ou un client local, l'existence de logiciel supplémentaire de filtrage...

Peut-etre récupérer des examples de mails rejetés et scruter les en-tetes  ??

Offline Jean-Philippe Pialasse

  • *
  • 2,747
  • +11/-0
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Certification des emails
« Reply #9 on: March 24, 2020, 09:25:44 PM »
Bonjour ,


je vous suggere de prendre le temps de répondre aux question de ReetP, google translate pourra vous aider un peu, il prend le temps d'essayer de vous aider...

idem pour les suggestion de mab974

EN résumé tous les problemes possibles sont abordé dans la page de wiki indiquée par Reetp, et sans avoir votre nom de domaine / ip et une entete d'un courriel arrivé dans les indésirable nous ne pourrons pas aider beaucoup plus.

Pour résoudre un probleme de courriel il faut fraiment être systématique.

Bonjour marsa_matruh

Je suis chez Free et j'utilise SME SERVER sans souci depuis 2005. J'ai le même problème que toi depuis que je suis passé de freebox HD à la Mini4K (serait-ce dû à FreeboxOS???), sauf que les mails n'arrivent plus du tout chez gmail.com, yahoo.fr... Lorsque je vais voir les logs qmail/current, j'ai systématiquement ce log : Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/

Il faut regarder  un porbleme avec la configuration que permet Free quand tu passes avec cette nouvelle boite.
As tu encore de l'IP v4 ? SME n'est pas compatible IP v6.
le traffic SMTP est il toujours autorisé ?
Les plages Ip sont elle les mêmes ? Tu as peut être un plage IP blacklistée.
Toutes les connexions sont refusée ou certaines ?

Si tu utilise le SMTP de free:
- Free a un throttle sur le nombre de connexion par heure et simulatnée, par defaut SME explose ce quota, risquant de te blacklister pour plusieurs heures voir jour (20 connexions simultannée par défaut, Free n'en permet qu'une puis blackliste)
- Free est souvent blacklisté lui même et peut voir ses messages refusés ou tagué comme spam chez google ou autre grand du web.

si tu utilise SME comme SMTP sans passer par Free:
- il faut verifier que la configuration de ta connexion le permet
- il faut avoir un nom de domain qui resolve vers ton ip
- idealement seelctionner le mode ip fixe ou utiliser un service de dyndns
- il faut configurer le reverse DNS corectement chez free
- il faut verifier que ton serveur est configuré pour bien utilsier ce nom de domaine pour se presenter ( risque de refus lors de la connexion si HELO different du reverse)
- DKIM , SPF et DMARC configurés via tes champs DNS et DKIm configrué sur le SME
- vérifier que ton ip / bloc ne sont pas blacklisté http://multirbl.valli.org/lookup/ et tenter de se faire deblacklisté ( fort taux d'Echec sur une ip dynamique)
- verifier que tout est bien configuré: check-auth@verifier.port25.com
- considerer que tu es sur une ip dyanmique (ou enregistrée comme dynamique meme si free te propose de la regler en fixe) et que certains acteurs marqueront ton message comme indesirable quoi que tu fasses à cause de cela.


J'ai l'impression que les certificats "autosignés" ne sont plus les bienvenus chez la plupart des fournisseurs d'accès.
c'est un mauvais guess. Le transfert entre serveurs SMTP se fait à l'aide de TLS de façon opportuniste. On a aucun moyen de verifier l'identité du serveur SMTP. C'est enplus tres rare que l'encryption soit exigée du fait qu'elle ne protege en rien le contenu.
SME avec la dernière mise a jour de qmail permet de faire une communication TLS entre 2 SMTP quand celle ci est proposée.

Le certificat via Let'S Encrypt a seuelemnt un interet pour le https, imaps pops et la connexion client smtps.

Je n'arrive pas encore à installer letsencrypt (API2), j'ai un message d'erreur à la fin de la configuration.

je te suggere d'ouvrir ton propre post à ce sujet... en y devoilant le message d'erreur complet.

Offline marsa_matruh

  • ****
  • 249
  • +0/-0
Re: Certification des emails
« Reply #10 on: April 20, 2020, 12:05:22 PM »
Réponse un peu tardive mais, globalement, j'ai décidé de ne rien faire, le problème ne semblant pas être de mon côté. Pour le moment, je n'ai pas eu l'opportunité de récupérer un mail classé comme spam par un destinataire.

Il faut regarder  un porbleme avec la configuration que permet Free quand tu passes avec cette nouvelle boite.
As tu encore de l'IP v4 ? SME n'est pas compatible IP v6.
le traffic SMTP est il toujours autorisé ?
Les plages Ip sont elle les mêmes ? Tu as peut être un plage IP blacklistée.
Toutes les connexions sont refusée ou certaines ?

Je suis en IP v4 statique.

Quote
Si tu utilise le SMTP de free:
- Free a un throttle sur le nombre de connexion par heure et simulatnée, par defaut SME explose ce quota, risquant de te blacklister pour plusieurs heures voir jour (20 connexions simultannée par défaut, Free n'en permet qu'une puis blackliste)
- Free est souvent blacklisté lui même et peut voir ses messages refusés ou tagué comme spam chez google ou autre grand du web.

Oui, j'utilise le SMTP de free. Normalement, je n'envoie pas de grandes quantités de messages et encore moins en même temps (fini les listes de diffusion à la maison  :lol:). Effectivement, des fois, le SMTP de free est lui-même blacklisté mais c'est plus rare ces derniers temps.


Offline marsa_matruh

  • ****
  • 249
  • +0/-0
Re: Certification des emails
« Reply #11 on: May 01, 2020, 11:39:24 AM »
Suite à un premier message porté disparu le 24 avril pour un destinataire chez gmail, j'ai envoyé un nouveau message de test aujourd'hui. J'ai retrouvé les deux messages dans sa boîte à spam. Avant la personne recevait bien mes messages.

Sur le message de test, gmail affiche:

Quote
Pourquoi ce message figure-t-il dans les spams ? Il ne respecte pas les consignes de Google destinées aux expéditeurs de messages.

En demandant le message d'origine:

Code: [Select]
Delivered-To: fxxxxx@gmail.com
Received: by 2002:a0c:cd0f:0:0:0:0:0 with SMTP id b15csp468885qvm;
        Fri, 1 May 2020 02:19:05 -0700 (PDT)
X-Google-Smtp-Source: APiQypI7MSsyZIFM6CKNS/BT+Lo2iQ75DrzxiOT67zEixnWQ4WAhH0JYqkYFbNAF2q/cKP1WlxTf
X-Received: by 2002:adf:ffcd:: with SMTP id x13mr3110417wrs.11.1588324745811;
        Fri, 01 May 2020 02:19:05 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1588324745; cv=none;
        d=google.com; s=arc-20160816;
        b=Oo7tsMBETx7FCzZG7wth3Y6ZoM21OGQKTjcqy+ZQMh86YlD3Wlf6cPPUBrPglvh5ns
         h5jqecAJQdP1K8Yoa8jouWNiqenyw4iTrPoAAk8Vi/Ukdfri8RjGBf8YVWZhekSguxiS
         hVn9YkxY9pSgDI7w99RMYlYMCNwrJuSSEX7NiDDsakIHIMjv+kOSfzns7MhiaWMfCnu/
         bniM+H8AENXCPYVusqjZqQE3N5854Ux2Zvujx55nli9SaFea2SV2O3wbivgqMvEaDHWp
         c4XtqSCj4XaV1nFchDcq9mtLW/UciugcCEj/tRCF3sr333tDjT1/+WvyXfoz2Mv16g+3
         uixA==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-transfer-encoding:content-language:mime-version:user-agent
         :date:message-id:subject:from:to;
        bh=fdkeB/A0FkbVP2k4J4pNPoeWH6vqBm9+b0C3OY87Cw8=;
        b=EHvoTWO4bSUfE+HuhqMlqJ7nlZhuXMnfau+PPYQtkcK3AfYfK9QQQoxH4YYqxWlP7Z
         +kxR3ABhQVITlOtH7KLsuC6ETsWqi9Mmi//Rb+IuhnJEUewtwTiRhNHE3/3WIAuhbFJI
         9+qZDSr26vMWn0jUawWnSiUJ2xKsMD/Vzc8gdCO3uU3G06f+Z0EanCbbLZEmC52XBOjQ
         nAEfDKD84mPQF0V4Ozt0pmXRWIfCme7lf3ItFO27vRxNRdXN4WB958N5vtVOrT3zM8y2
         raRuVjOrfjxVivBK7f2tcAxX1IsJ+aJd6trVbKOVrN4OtssIfKsw8pLE0+KHLAavQ8tr
         JGVQ==
ARC-Authentication-Results: i=1; mx.google.com;
       spf=neutral (google.com: 2a01:e0c:1:1599::14 is neither permitted nor denied by best guess record for domain of perso@prenom.nom.fr) smtp.mailfrom=perso@prenom.nom.fr
Return-Path: <perso@prenom.nom.fr>
Received: from smtp5-g21.free.fr (smtp5-g21.free.fr. [2a01:e0c:1:1599::14])
        by mx.google.com with ESMTPS id s16si2094775wrr.104.2020.05.01.02.19.05
        for <fxxxx@gmail.com>
        (version=TLS1_2 cipher=ECDHE-ECDSA-CHACHA20-POLY1305 bits=256/256);
        Fri, 01 May 2020 02:19:05 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:e0c:1:1599::14 is neither permitted nor denied by best guess record for domain of perso@prenom.nom.fr) client-ip=2a01:e0c:1:1599::14;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:e0c:1:1599::14 is neither permitted nor denied by best guess record for domain of perso@prenom.nom.fr) smtp.mailfrom=perso@prenom.nom.fr
Received: from ville.nom.fr (unknown [82.64.8.190]) by smtp5-g21.free.fr (Postfix) with ESMTPS id 8061E5FFDF for <fxxxxxx@gmail.com>; Fri,
  1 May 2020 11:19:05 +0200 (CEST)
Received: (qmail 4200 invoked by uid 453); 1 May 2020 09:19:17 -0000
X-Virus-Checked: by ClamAV 0.100.2 on ville.nom.fr
X-Virus-Found: No
Authentication-Results: ville.nom.fr; auth=pass (plain) smtp.auth=prenom
Received: from pc-00233.ville.nom.fr (HELO [192.168.0.233]) (192.168.0.233) by ville.nom.fr (qpsmtpd/0.96) with ESMTPSA (ECDHE-RSA-AES256-GCM-SHA384 encrypted); Fri, 01 May 2020 11:19:17 +0200
To: Mxxxx Fxxxxxxx <fxxxxxx@gmail.com>
From: Prenom NOM <perso@prenom.nom.fr>
Subject: Test du 1er mai
Message-ID: <3dbd13f8-921d-3ce5-4dc8-b59e007a493b@prenom.nom.fr>
Date: Fri, 1 May 2020 11:19:04 +0200
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:68.0) Gecko/20100101 Thunderbird/68.7.0
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Language: fr
Content-Transfer-Encoding: 7bit

Test

Si vous avez des pistes...