Koozali.org formerly Contribs.org

Certification des emails

Certification des emails
« on: March 19, 2020, 02:57:13 PM »
Bonjour à tous,

J'ai de plus en plus d'email que j'envoie qui sont considérés comme des spams par les services de courriel de mes destinataires. De ce que je comprends, il y a des problèmes de certification sur les messages que j'émets. Néanmoins, j'ai un peu du mal à voir ce qu'il faut faire pour y remédier.

J'ai un serveur SME à la maison, en IPv4 sur fibre avec IP fixe. Monserveur s'appelle "serveur" et on l'atteint par internet à l'adresse ville.nom.fr.
Je gère moi-même mes emails avec deux adresses : perso@prenom.nom.fr et public@prenom.nom.fr
Pour l'envoi, j'utilise le smtp de mon FAI (smtp.free.fr). Authentification SMTP auprès du FAI : désactivé.

Si je regarde l'entête d'un message que j'envoie:
Quote
Authentication-Results: xxx.xxx.fr; auth=none; spf=none smtp.mailfrom=eric.sibert.fr; dkim=none

Dans le wiki email, je lis:
Quote
Domain Authentication

Major mail hosting companies (Google, Yahoo, Microsoft) have made domain-authentication mandatory so as to not mark incoming mail as spam.

To facilitate this support for DomainKeys and DKIM signing needs to be enabled in SME's mail subsystem. These techniques require the adding of records in the DNS zone for the user's domain. The DKIM/DK/SPF/SenderID configuration has to be added to your your DNS server / registrar.

Certes, mais j'ai du mal à comprendre ce qu'il faut faire en pratique.

Tout conseille est le bienvenu.


Offline ReetP

  • *
  • 2,359
Re: Certification des emails
« Reply #1 on: March 19, 2020, 11:57:33 PM »
If you send direct from your own IP then setup DKIM for your domain.

https://wiki.contribs.org/Email

DKIM Setup - qpsmtpd version >= 0.96

But you seem to be sending via your ISP so you should be ok.

Try sending a test email to your 'Junk' Gmail (or Proton mail etc) account and check the headers.

...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Re: Certification des emails
« Reply #2 on: March 22, 2020, 04:27:03 PM »
Yes, I'm using my ISP for SMPT.

When looking at the header of a message sent to gmail, I can see:

Code: [Select]
ARC-Authentication-Results: i=1; mx.google.com;
       spf=neutral (google.com: 212.27.42.5 is neither permitted nor denied by best guess record for domain of xxx@prenom.nom.fr)
[...]
Received: from smtp5-g21.free.fr (smtp5-g21.free.fr. [212.27.42.5])

I don't see anything suspicious.

Offline ReetP

  • *
  • 2,359
Re: Certification des emails
« Reply #3 on: March 22, 2020, 04:41:38 PM »
Yes, I'm using my ISP for SMPT.

I don't see anything suspicious.

Yup because the mail is originating from your ISP and not your own server so you are fine.
(I think effectively your server is just like a mail client when it authenticates to the ISP, rather than as a full on mail server itself)
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Re: Certification des emails
« Reply #4 on: March 23, 2020, 01:05:08 AM »
Bonjour marsa_matruh

Je suis chez Free et j'utilise SME SERVER sans souci depuis 2005. J'ai le même problème que toi depuis que je suis passé de freebox HD à la Mini4K (serait-ce dû à FreeboxOS???), sauf que les mails n'arrivent plus du tout chez gmail.com, yahoo.fr... Lorsque je vais voir les logs qmail/current, j'ai systématiquement ce log : Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/

J'ai l'impression que les certificats "autosignés" ne sont plus les bienvenus chez la plupart des fournisseurs d'accès. Je n'arrive pas encore à installer letsencrypt (API2), j'ai un message d'erreur à la fin de la configuration.

Je vais également voir pour activer DKIM (on ne sait jamais).

Cordialement

Jessee

Offline ReetP

  • *
  • 2,359
Re: Certification des emails
« Reply #5 on: March 23, 2020, 02:18:41 AM »
Please don't guess at a solution or you will waste a lot of time.

Also, please don't assume that your problem is the same as the original poster - I don't believe that it is.

Is your server completely up to date?

Quote
sauf que les mails n'arrivent plus du tout chez gmail.com, yahoo.fr... Lorsque je vais voir les logs qmail/current, j'ai systématiquement ce log : Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/

How do you send you mail? Via your ISP (the same as the original post) or directly from your server?

I presume direct.

Have you set up proper domain records? Have you got proper reverse DNS? Is your IP static or dynamic? Have you set up DKIM keys correctly? Have you tested your setup with place like mxtoolbox or say check-auth@verifier.port25.com

The big providers are very fussy. Despite churning out vast quantities of spam themselves, they are very fussy about what mail they will accept.

Quote
J'ai l'impression que les certificats "autosignés" ne sont plus les bienvenus chez la plupart des fournisseurs d'accès. Je n'arrive pas encore à installer letsencrypt (API2), j'ai un message d'erreur à la fin de la configuration.

Self signed certificates have nothing to do with your email. Letsencrypt has nothing to do with email. It is a separate issue.

Please open a new thread with your SSL certificate problem, and describe it completely from the start.
...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Re: Certification des emails
« Reply #6 on: March 23, 2020, 11:35:12 AM »
Moi, les messages partent bien mais j'ai quelques destinataires chez qui les messages passent dans la boîte à spam. Pourtant, je rédige en mode texte simple, pas de signature à rallonge et j'en passe. Je ne peux pas faire d'investigation chez ces personnes pour savoir si elles utilisent un webmail ou un client local, l'existence de logiciel supplémentaire de filtrage...

J'envoie les messages en passant par le smtp de free. Je n'utilise pas l'authentification vis à vis du serveur smtp de free. La documentation de free dit qu'il ne faut pas utiliser l'authentification si on est connecté depuis le réseau de free.

Quant aux certificats, je suis moi aussi en auto-signé. Quand je me connecte à mon webmail ou au server-manager depuis un nouvel ordinateur, j'ai un message d'alerte. Mais, comme le dit ReetP, les certificats ne servent pas à signer les messages sortants.

Offline ReetP

  • *
  • 2,359
Re: Certification des emails
« Reply #7 on: March 23, 2020, 02:48:04 PM »
Moi, les messages partent bien mais j'ai quelques destinataires chez qui les messages passent dans la boîte à spam. Pourtant, je rédige en mode texte simple, pas de signature à rallonge et j'en passe. Je ne peux pas faire d'investigation chez ces personnes pour savoir si elles utilisent un webmail ou un client local, l'existence de logiciel supplémentaire de filtrage...

Most likely because of the route the mail takes. Make sure you check blacklists for the relevant servers. A lot of the time it is the remote end but they don't know enough to realise THEY are the problem not checking Spam etc.

Remember, the likes of Gmail and M$ want you to host all your mail with them. They are not in the business of making it easy for you to host your own email server. They want your data, and $$$$$

Quite possibly the free.fr mail servers might get blacklisted sometimes.

Quote
J'envoie les messages en passant par le smtp de free. Je n'utilise pas l'authentification vis à vis du serveur smtp de free. La documentation de free dit qu'il ne faut pas utiliser l'authentification si on est connecté depuis le réseau de free.

OK.

Quote
Quant aux certificats, je suis moi aussi en auto-signé. Quand je me connecte à mon webmail ou au server-manager depuis un nouvel ordinateur, j'ai un message d'alerte. Mais, comme le dit ReetP, les certificats ne servent pas à signer les messages sortants.

I presume you have a dynamic IP address? Do you have DynDNS or another service?

If you have you can add some records and get yourself some letsencrypt certificates.

...
1. Read the Manual
2. Read the Wiki
3. Don't ask for support on Unsupported versions
4. I have a job, wife, and kids and do this in my spare time. If you want something fixed, please help.

Bugs are easier than you think: http://wiki.contribs.org/Bugzilla_Help

If you love SME and don't want to lose it, join in: http://wiki.contribs.org/Koozali_Foundation

Re: Certification des emails
« Reply #8 on: March 24, 2020, 07:30:11 AM »
Je ne peux pas faire d'investigation chez ces personnes pour savoir si elles utilisent un webmail ou un client local, l'existence de logiciel supplémentaire de filtrage...

Peut-etre récupérer des examples de mails rejetés et scruter les en-tetes  ??

Offline Jean-Philippe Pialasse

  • *
  • 1,469
  • aka Unnilennium
    • http://smeserver.pialasse.com
Re: Certification des emails
« Reply #9 on: March 24, 2020, 09:25:44 PM »
Bonjour ,


je vous suggere de prendre le temps de répondre aux question de ReetP, google translate pourra vous aider un peu, il prend le temps d'essayer de vous aider...

idem pour les suggestion de mab974

EN résumé tous les problemes possibles sont abordé dans la page de wiki indiquée par Reetp, et sans avoir votre nom de domaine / ip et une entete d'un courriel arrivé dans les indésirable nous ne pourrons pas aider beaucoup plus.

Pour résoudre un probleme de courriel il faut fraiment être systématique.

Bonjour marsa_matruh

Je suis chez Free et j'utilise SME SERVER sans souci depuis 2005. J'ai le même problème que toi depuis que je suis passé de freebox HD à la Mini4K (serait-ce dû à FreeboxOS???), sauf que les mails n'arrivent plus du tout chez gmail.com, yahoo.fr... Lorsque je vais voir les logs qmail/current, j'ai systématiquement ce log : Sorry,_I_wasn't_able_to_establish_an_SMTP_connection._(#4.4.1)/

Il faut regarder  un porbleme avec la configuration que permet Free quand tu passes avec cette nouvelle boite.
As tu encore de l'IP v4 ? SME n'est pas compatible IP v6.
le traffic SMTP est il toujours autorisé ?
Les plages Ip sont elle les mêmes ? Tu as peut être un plage IP blacklistée.
Toutes les connexions sont refusée ou certaines ?

Si tu utilise le SMTP de free:
- Free a un throttle sur le nombre de connexion par heure et simulatnée, par defaut SME explose ce quota, risquant de te blacklister pour plusieurs heures voir jour (20 connexions simultannée par défaut, Free n'en permet qu'une puis blackliste)
- Free est souvent blacklisté lui même et peut voir ses messages refusés ou tagué comme spam chez google ou autre grand du web.

si tu utilise SME comme SMTP sans passer par Free:
- il faut verifier que la configuration de ta connexion le permet
- il faut avoir un nom de domain qui resolve vers ton ip
- idealement seelctionner le mode ip fixe ou utiliser un service de dyndns
- il faut configurer le reverse DNS corectement chez free
- il faut verifier que ton serveur est configuré pour bien utilsier ce nom de domaine pour se presenter ( risque de refus lors de la connexion si HELO different du reverse)
- DKIM , SPF et DMARC configurés via tes champs DNS et DKIm configrué sur le SME
- vérifier que ton ip / bloc ne sont pas blacklisté http://multirbl.valli.org/lookup/ et tenter de se faire deblacklisté ( fort taux d'Echec sur une ip dynamique)
- verifier que tout est bien configuré: check-auth@verifier.port25.com
- considerer que tu es sur une ip dyanmique (ou enregistrée comme dynamique meme si free te propose de la regler en fixe) et que certains acteurs marqueront ton message comme indesirable quoi que tu fasses à cause de cela.


J'ai l'impression que les certificats "autosignés" ne sont plus les bienvenus chez la plupart des fournisseurs d'accès.
c'est un mauvais guess. Le transfert entre serveurs SMTP se fait à l'aide de TLS de façon opportuniste. On a aucun moyen de verifier l'identité du serveur SMTP. C'est enplus tres rare que l'encryption soit exigée du fait qu'elle ne protege en rien le contenu.
SME avec la dernière mise a jour de qmail permet de faire une communication TLS entre 2 SMTP quand celle ci est proposée.

Le certificat via Let'S Encrypt a seuelemnt un interet pour le https, imaps pops et la connexion client smtps.

Je n'arrive pas encore à installer letsencrypt (API2), j'ai un message d'erreur à la fin de la configuration.

je te suggere d'ouvrir ton propre post à ce sujet... en y devoilant le message d'erreur complet.