Le blog de Genma
Vous êtes ici : Accueil » Yunohost » Yunohost comme serveur de mails - Billet N°2

Yunohost comme serveur de mails - Billet N°2

D 12 septembre 2018     H 09:00     A Genma     C 4 messages   Logo Tipee

TAGS : Planet Libre Tutoriaux Sysadmin Yunohost Auto-hébergement

Ce billet fait suite au billet Yunohost comme serveur de mails - Billet N°1 Dans la todo, il y avait l’envoi à un mail de GAFAM et l’ajout de DKIM, DMarc, SPF...

DKIM, DMarc, SPF

Pour ça, je citerai le billet Délivrabilité : SPF, DKIM, DMARC, … ce qu’il faut savoir sur l’authentification de vos emails !

DKIM = DomainKeys Identified Mail DKIM tente d’associer un nom de domaine à un message en y aposant une signature numérique. La vérification de la signature se fait via une clef cryptée située dans un enregistrement DNS. Ce faisant, DKIM permet de vérifier si un message a été altéré durant son transport entre les différents serveurs SMTP et de garantir que le contenu arrivera intact jusqu’au destinataire.

SPF = Sender Policy FrameworkEnregistrement SPF sur son serveur DNS. Permet de vérifier / valider que les IP associées des serveurs ont le droit d’envoyer des mails pour ce nom de domaine

DMARC = Domain-based Message Authentication, Reporting and ConformanceDMARC joue sur la synthèse entre SPF et DKIM, pas en les remplaçant, mais en les unissant et en les rendant plus intelligents.

Dans Yunohost

Yunohost dispose donc d’un serveur de mail (cf Yunohost comme serveur de mails - Billet N°1) et DKIM et SPF sont déjà préconfigurés, disponibles, il n’y a quasiment rien à faire. Il faut récupérer les informations de configuration. Pour ce faire, il faut :

 aller dans la partie interface d’administration de Yunohost https://mondomaine.tld/yunohost/admin/
 Dans le menu DOMAIN > mondomaine.tld > Voir la Configuration DNS

Là il y a les informations pour le DKIM, DMarc, SPF

@ 3600 IN TXT "v=spf1 a mx ip4:12.345.678.123 -all"
mail._domainkey 3600 IN TXT "v=DKIM1; k=rsa; p= 50917a15d4930834a9dd3b43a43ee131190e12674eab791a354dea0afb4475b1"
_dmarc 3600 IN TXT "v=DMARC1; p=none"

Ces informations sont à saisir dans la configuration de l’entrée DNS chez son prestataire (Gandi par exemple) sous la forme :

Nom du champ, Type du champ, Valeur
@ 	TXT 	"v=spf1 a mx i … .159.188 -all"
mail._domainkey 	TXT 	"v=DKIM1; k=rsa; p= 50917a15d4930834"
_dmarc 	TXT 	"v=DMARC1; p=none"

Et on attend de nouveau la propagation du DNS.

Pour vérifier tout ça

Différentes façons de faire et de valider que la configuration est correcte.

Test en ligne

On va sur le site

Champ - valeur : 
Domain name : mondomaine.tld
DKIM Selector : mail._domainkey

Et on a comme résultat :

SPF check

1 SPF record found for the domain mondomaine.tld :
"v=spf1 a mx ip4:12.345.678.123 -all"

DKIM check

DNS record for mail._domainkey.mondomaine.tld:
"v=DKIM1; k=rsa; p=50917a15d4930834a9dd3b43a43ee131190e12674eab791a354dea0afb4475b1"
Key length : 1024

On a donc bien la bonne configuration

Thunderbird : on peut ajouter une extension comme DKIM verifier

qui permet d’ajouter un champ dans l’entête d’un mail reçu et de vérifier le DKIM.

Envoi du mail sur un compte Gmail

Et on regarde alors dans le détail du mail (option Afficher l’original), on a alors

SPF :	NEUTRAL avec IP 12.345.678.123 En savoir plus
DKIM :	'PASS' avec le domaine mondomaine.tld En savoir plus
DMARC :	'PASS' En savoir plus

Et quand on clique sur bouton le copier-coller, on a le détail :

Received-SPF: neutral (google.com: 12.345.678.123 is neither permitted nor denied by best guess record for domain of genma@mondomaine.tld) client-ip=12.345.678.123;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@mondomaine.tld header.s=mail header.b=mbt7mELs;
       spf=neutral (google.com: 12.345.678.123 is neither permitted nor denied by best guess record for domain of genma@mondomaine.tld) smtp.mailfrom=genma@mondomaine.tld;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=mondomaine.tld
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mondomaine.tld; s=mail; t=1535027249; h=from:from:sender:reply-to:subject:subject:date:date:

Soit une autre façon de valider que la configuration est correcte.
Les mails reçus ne doivent normalement pas être reconnus / tombés dans le SPAM par défaut.

4 Messages

  • Oui, alors les courriels ne tombent pas dans le SPAM à condition de ne pas les envoyer vers les serveurs de Microsoft.


  • Bonjour,
    J’ai mis en place une boite mail perso, il y a un an de cela.
    Le but étant de quitter google (ce n’est pas encore le cas)... avec une note de 10/10 chez http://www.mail-tester.com/ j’arrivais directement dans la boite à spam chez google. J’ai indiqué dans mes mails google que ce n’était pas du spam un "certain" nombre de fois. à la suite de quoi je ne suis plus reconnu comme spam ni sur mes mails, ni sur les mail gmail de mes contacts.
    J’imagine que du point de vue de google, il ne faut parler au inconnu et que du coup un inconnu est considéré comme un spammer. Et qu’il faut amélioré la note de confiance du point de vue de google et que pour se faire la seul solution est de déclaré depuis gmail les mails comme non spam...

    C’est un peu du vaudou pour moi... j’ai trouvé ça par tâtonnement... ou alors c’était le hasard.


  • Bonjour,

    Pour répondre partiellement à Nithir (réponse rapide : désolé je ne sais pas comment régler le problème avec Google), et compléter le post de Genma :
    Une chose est malheureusement souvent sous-entendue sur des sujets en rapport avec l’auto-hébergement , c’est qu’il faut une "adresse IP FIXE".

    J’ai mis en majuscule et entre quote pour bien mettre en évidence ce mot, parce qu’il a un sens bien précis
    Quand un particulier (ou une entreprise) souscrit à une offre d’accès internet et que le FAI propose (gratuitement ou non) une adresse IP fixe, il propose en fait une "adresse IP réservée" qu’il faut comprendre comme "une adresse IP stable dans le temps". Traduction : le FAI active une réservation d’adresse pour la box sur son serveur DHCP.
    Pour obtenir une "adresse IP FIXE", il faut remplir un formulaire RIPE (de mémoire, Orange Business le proposait, moyennant facturation) sur lequel on demandait l’attribution d’une adresse ou d’une plage IP

    Alors l’ "adresse IP Réservée", c’est sympa comme solution, sauf que vous appartenez toujours aux plages DHCP utilisées par les FAI, référencées comme telles sur les BlackList (ou BL, une petite liste par ici : https://whatismyipaddress.com/blacklist-check , dites-vous qu’il y en a bien plus dans le monde et que certaines s’échangent des infos).
    Les gros hébergeurs de messagerie s’appuient sur les BL pour identifier les spammeurs, et "par défaut", selon les BL, une adresse IP provenant d’un DHCP de FAI est classé comme possible spammeur.

    L’autre chose à prendre en compte, c’est par quel chemin partent les mails auto-hébergés :
    * le serveur fait une requête DNS pour trouver le MX de destination et y envoyer les mails directement
    * ou alors, le serveur envoie uniquement les mails au relais de messagerie du FAI, qui relaiera ensuite vers la destination. (mise en place nécessaire d’un connecteur d’envoi avec authentification en utilisant un compte reconnu chez le FAI)

    En l’état je n’ai pas de solution pour Google, mais au moins vous saurez pourquoi les mails finissent en spam


  • Bonjour,

    J’ai publié un petit retex sur comment bien déployer SPF/DKIM/DMARC au sein du grande entreprise :

    https://www.dmarc.fr/retour-d-experience

    J’ai pensé que cela pouvait en intéresser plus d’un !

    Keep going !

    Fabien