Configuration spf

[artefax]

Bonjour à tous,

J'ai un vds chez sivit et je souhaiterais configurer un spf, quand je me rend dans mon administrations j'ai la possibilité d'ajouter un spf, 5 questions me sont posées auquel je n'ai aucune idée des réponses du moins sans vouloir tout foutre en l'air :?

quelqu'un pourait-il me donner des expliquations?
voici les questions:

1/ Les champs A ont-ils le droit d'envoyer des mails? :
Réponses proposées:
- Au serveur de mail en face de choisir
- A priorie NON
- Non ferme et définitif
- Oui

2/ Les champs MX ont-ils le droit d'envoyer des mails? :
Réponses proposées:
- Au serveur de mail en face de choisir
- A priorie NON
- Non ferme et définitif
- Oui

3/ Les champs PTR ont-ils le droit d'envoyer des mails? :
Réponses proposées:
- Au serveur de mail en face de choisir
- A priorie NON
- Non ferme et définitif
- Oui

4/ Les FAI qui ont le droit d'envoyer des mails pour mon domaine :
Orange :
Free :
Alice :
NeufTelecom :
Noos :

5/ Le monde exterieur a il le droit d'envoyer des mails? :
Réponses proposées:
- Au serveur de mail en face de choisir
- A priorie NON
- Non ferme et définitif
- Oui

Je serais tenté de mettre oui partout mais sans grande conviction, de plus j'ai trouvé ce tuto:
http://www.queret.net/blog/post/2007/04/19/77-spf-sender-policy-framework

pensez-vous que je dois aussi appliquer ce qui est dit dans ce tuto après avoir ajouté mon champ spf?

merci

 

[artefax]

Par la même occasion si quelqu'un pouvait me dire si mon header est bon sa m'arrangerais bien

Return-Path: <www-data@serveur.org>
X-Original-To: destinataire@hotmail.fr
Delivered-To: destinataire@hotmail.fr
Received: by serveur.org (Postfix, from userid 33)
id 6815E3EE06; Fri, 12 Feb 2010 18:54:45 +0100 (CET)
To: destinataire@tld.com
Subject: =?utf-8?B?W2thZG9hb2ZmcmlyLmZyXSBGcmFuY2sgUGljaGFyZCB2b3Vz?= =?utf-8?B?IGVudm9pZSB1biBsaWVuIHZlcnMgUGVuZGVudGlmIGV0IMOJY2xhaXJh?= =?utf-8?B?Z2UgZGUgc8OpY3VyaXTDqQ==?=
From: Prenom Nom <expéditeur@hotmail.fr>
Reply-To: Prenom Nom <expéditeur@hotmail.fr>
Date: Fri, 12 Feb 2010 18:54:45 +0100
X-LibVersion: 3.3.2
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="_=_swift-19474850554b7595e55dc791.33606573_=_"
Content-Transfer-Encoding: 7bit
Message-ID: <20100212175445.11315.290561155.swift@MonDomaine.fr>

Je précise que cette entête proviens d'un email envoyé depuis mon site depuis un lien faire connaître ce produit à un amis, donc avec l'adresse du client(la mienne pour le test) en expediteur, qui est arrivé directement dans la boite spam du destinataire sur hotmail.

 

[artefax]

Bon j'ai remplie le formulaire et j'ai rajouté un champ TX mais le problème est que je me retrouve avec 2 champs TX dans le fichier maintenant comme ceci:

tld.com. 86400 IN TXT 0 v=spf1 ?a +mx ~ptr +a:smtp.A include:A ~all
tld.com. 86400 IN TXT 0 v=spf1 a mx ~all

Le premier à été généré par le questionnaire et le deuxième c'est moi qui l'est rajouté je ne sais pas le quelle garder par précaution je vais virer celui que j'ai rajouté

 

[Julia41]

Tu regardes quelles IPs (ou MX) envoient tes mails.
Le "mieux" seraient je pense le plus simple (et le plus standard)

"v=spf1 ip4:IP_de_ton_serveur_de_mail_out ~all"

Il me semble que tu as oublié les doubles quotes.

Perso j'ai ça :

"v=spf1 ip4:XX ip4:XX ip4:XX ip4:XX ip4:XX ?all"

Le ?all est un peu méchant.

Au niveau de ton header, je n'aime pas trop swift, mais normalement il tourne correctement.

Si jamais tu es sous postfix et que tu te sens motivé, tu devrais en profiter pour implémenter DKIM.

 

[Julia41]

Pour checker ton install, et tes headers, tu envois un mail à :
check-auth [ arobase ] verifier [ dot ] port25 [ dot ] com

ça te retourne un mail avec tes infos header, dkim, domainkey, spf, senderid.
Quand tout sera bon, tu auras :

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   pass
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

 

[artefax]

Bonjour Julia41,

Merci de me répondre j'ai justement suivi l'excellent tuto sur AdminServeur pour l'installation de DKIM, que je conseil à tout le monde, je remet un petit lien sa mange pas de pain https://admin-serv.net/blog/2009/11/24/165/installation-de-dkimproxy-sur-postfix/

Quelques petites questions par rapport à ce tuto:

J'ai 2 domaines et un domaine qui ma été attribué avec mon serveur dédié virtuel du style vdsxxxx.sivit.org en suivant le tuto j'ai rentré les champs TXT pour deux domaines directement dans le panel d'aministration de mon serveur, et j'ai éffectivement pas rentré les double quotes car je pensais qu'il ne fallait pas donc je vais modifier.

Ma question est est-ce que je doit refaire le tuto en utilisant le nom de domaine de mon serveur puisque qu'il est toujours présent dans les en-têtes de mes emails que j'envoie un email avec un de mes noms de domaines ou l'autre il y as toujours le nom de mon serveur dans les en-têtes.

Pour le test sur gmail je l'ai fais, mon email n'a pas été direct dans la boite de spam par contre j'ai pas réussis à ouvrir la source de l'email sous gmail (je ne l'utilise pas vraiment)

Sur yahoo la c'est la cata ! directement dans la boite spam sans préavis, bon je me demande si il ne faut quand même pas attendre quelques jours le temps que le champs TXT ce soit propagé ?

J'ai ajouté un champ TXT avec la même clé RSA pour chaque domaines, j'ai juste changé le selecteur postfix. pour l'un et mail. pour l'autre, je sais pas si c'est ce qu'il fallait faire mais d'après ce que j'ai compris le selecteur sert à différencier les domaine alors j'ai pas mis le même par contre tout le reste de la ligne est idem mise à part le nom de domaine biensur.

si ca ce trouve je me suis completement trompé et il fallait juste que je le fasse avec le nom de domaine de mon serveur :?

En faite je ne sais pas trop je lis plein de chose à droite à gauche et c'est assez floue pour moi tout ça 8O

Pour le champ SPF il vaut mieux que je supprime les 2 lignes qui sont prsente dans mon fichier var/cache/bind/db.tld.com et que je remplace par la ligne que tu me conseil alors

"v=spf1 ip4:IP_de_ton_serveur_de_mail_out ~all"

IP_de_ton_serveur_de_mail_out correspond au champ MX ou A ?
D'ailleurs sur mon panel je n'ai pas de champ MX mais MX 10 je pense que c'est pareil?

J'ai envoyé un email à l'adresse que tu m'a donné et en l'état actuel sa ne parait pas très bon, voici le retour:

==========================================================
Summary of Results
==========================================================
SPF check: neutral
DomainKeys check: neutral
DKIM check: permerror
Sender-ID check: neutral
SpamAssassin check: ham

avec une floppé de détails en dessous que je n'est pas encore réussis à déchiffrer, d'ailleurs je vais aller comprendre ça de plus près en attendant ton retour.

merci

 

[Julia41]

Merci pour le compliment sur le tuto
Pour voir si ton spf est bon, tu tappes :

dig -t TXT ton_domain.tld

IP_de_ton_serveur_de_mail_out correspond au champ MX ou A ?

Ca correspond à l'IP de ce qui fait sortir le mail vers l'Internet. Chez moi c'est mon champs MX et une IP d'un serveur qui ne fait qu'envoyer des mails (mais jamais en recevoir).

Sur yahoo la c'est la cata ! directement dans la boite spam sans préavis, bon je me demande si il ne faut quand même pas attendre quelques jours le temps que le champs TXT ce soit propagé ?

Sur yahoo, si tu te payes l'entête :

X-YahooFilteredBulk: 94.23.XX.XX

Tu tomberas toujours en spam tant que tu n'auras pas eu suffisament (je pense à environ 1000 mais aucune certitude) de "ceci n'est pas un spam". Mes serveurs étant chez OVH, ils sont tous bannis par défaut.

J'ai ajouté un champ TXT avec la même clé RSA pour chaque domaines, j'ai juste changé le selecteur postfix. pour l'un et mail. pour l'autre, je sais pas si c'est ce qu'il fallait faire mais d'après ce que j'ai compris le selecteur sert à différencier les domaine alors j'ai pas mis le même par contre tout le reste de la ligne est idem mise à part le nom de domaine biensur.

En fait, DKIM/postfix peut te permettre de signer des mails "bizarrement" (perso j'utilise Sender map mais un peu compliqué).
Exemple simple, le domaine aserv.eu peut signer des mails (et être valide) pour le domaine admin-serv.net, ce n'est pas gênant et c'est valide.

N'hésites pas à me donner tes noms de domaines en PV (ou en publique), je pense que tu dois être bloqué sur une erreur "toute bête".

Au niveau des logs DKIM de signature, ça donne quoi dans /var/log/mail.info ?
Perso j'ai :

Feb 13 13:35:44 ara dkimproxy.out[15699]: DKIM signing - signed; message-id=<4B769C9F.7060906@admin-serv.net>, signer=<user@admin-serv.net>, from=<user@admin-serv.net>

Bon, pour info, si tu es en permerror au niveau du DKIM, c'est déjà une bonne chose, ça veut dire que c'est bien configuré au niveau de postfix.

avec une floppé de détails en dessous que je n'est pas encore réussis à déchiffrer, d'ailleurs je vais aller comprendre ça de plus près en attendant ton retour.

Pour mon SPF, par exemple, j'utilise un include.

Result:         pass 
ID(s) verified: smtp.mail=spam@admin-serv.net
DNS record(s):
    admin-serv.net. 600 IN TXT "v=spf1 include:spf-a.aserv.eu ~all"
    spf-a.aserv.eu. 10800 IN TXT "v=spf1 ip4:IP1 ip4:IP2 ip4:91.121.XX.XX ?all"

Ca me permet de n'avoir à gérer qu'un seul champ SPF par domaine qui est toujours le même. Et un seul réellement à éditer en cas de changement de dédié/rajout.

Vérifie bien ta signature DKIM au niveau de ton DNS, la clé RSA est plutôt énorme.

 

[artefax]

La commande:

dig -t TXT ton_domain.tld

me retourne:

# dig -t TXT artefaxaudio.com

; <<>> DiG 9.5.1-P3 <<>> -t TXT artefaxaudio.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43944
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;artefaxaudio.com. IN TXT

;; ANSWER SECTION:
artefaxaudio.com. 78144 IN TXT "0" "postfix._domainkey.artefaxaudio.com" "IN" "TXT" "\"k=rsa"
artefaxaudio.com. 78144 IN TXT "0" "v=spf1" "a" "mx" "~all"
artefaxaudio.com. 78144 IN TXT "0" "v=spf1" "?a" "+mx" "~ptr" "+a:smtp.A" "include:A" "~all"

;; AUTHORITY SECTION:
artefaxaudio.com. 164544 IN NS ns1.artefaxaudio.com.
artefaxaudio.com. 164544 IN NS ns2.sivit.org.

;; ADDITIONAL SECTION:
ns1.artefaxaudio.com. 164544 IN A 80.248.222.57
ns2.sivit.org. 3600 IN A 194.146.224.2

;; Query time: 13 msec
;; SERVER: 194.146.224.102#53(194.146.224.102)
;; WHEN: Sat Feb 13 13:46:30 2010
;; MSG SIZE rcvd: 264

Sa à l'air d'être bon?

Pour le SPF si je regarde sur http://www.dnsqueries.com/en/domain_check.php c'est apparement l'ip de mon serveur qu 'il faut que je mette.

Concernant yahoo bien vu j'ai éffectivement X-YahooFilteredBulk: l'ip de mon serveur dans les en-têtes du mail agrr
Y'a rien à faire pour contrer ça que d'attendre un millier de "pas un spam" c'est vraiment rageant :twisted:


Voilà ce qui ressort dans /var/log/mail.info

Feb 13 14:23:08 vds1566 dkimproxy.out[4208]: DKIM signing - signed; message-id=<3bd918948972110370ca1050ea9003eb@vds1566.sivit.org>, signer=<@sivit.org>, from=<contact.admin@artefaxaudio.com>

c'est pas tout à fait la même chose que toi :?

je vais me renseigner pour l'include sa ma l'air bien plus pratique en effet.

 

[Julia41]

artefaxaudio.com. 78144 IN TXT "0" "postfix._domainkey.artefaxaudio.com" "IN" "TXT" "\"k=rsa"

Ca c'est pas bon

C'est quoi tous ces doubles quotes dans tes champs SPF ?
Au niveau de tes dig, les domainkeys ne devraient apparaitres QUE pour :

dig -t TXT _domainkey.artefaxaudio.com

dig -t TXT mail._domainkey.artefaxaudio.com

(fait le test sur mon NDD, mon selecteur est mail).

En tout cas, vire tous tes TXT et repart au propre.

Edit: faute de frappes.

 

[Julia41]

Arf j'avais pas vu :

Feb 13 14:23:08 vds1566 dkimproxy.out[4208]: DKIM signing - signed; message-id=<3bd918948972110370ca1050ea9003eb@vds1566.sivit.org>, signer=<@sivit.org>, from=<contact.admin@artefaxaudio.com>

Tu signes avec ton domaine sivit (qui n'est pas à toi )

Copie moi ton dkimproxy_out.conf.
et une des sorties de

ps aux |grep dkim

(un out et un in).

 

[artefax]

Bon sa ne va pas en s'arrangeant sa y'est je suis perdu et je pige plus rien.

J'ai éffacé les champs TXT dans mon panel d'aministration mais il sont toujours là quand je fais un

dig -t TXT artefaxaudio.com

j'y comprend plus rien, c'est pas automatique? il faut attendre pour voir le résultat?

J'ai été faire un tour dans webmin dans la section configurer postfix et à la question "Quel domaine utiliser pour le courrier sortant" c'est un fichier qui est indiquer, lequel contient le nom de mon serveur.
Alors je sais pas si c'est bien configuré.

Je sais pas d'ou sorte ces doubles quotes c'est mon panel d'administrations qui me les rentre ainsi et j'éssaye de voir sa avec sivit sur leurs champs irc mais bon y'a 50 personnes sur ce champs et aucun qui répond comme d'hab.


PS: oui donc c'est bien ce que je pensais à la question "Quel domaine utiliser pour le courrier sortant" il faut pas mettre le nom de mon serveur, j'm'en doutais mais vu que j'ai 2 nom de domaine lequel mettre alors?

Je reviens de suite et je met le résultat de ta demande.

 

[artefax]

Fichier dkimproxy_out.conf :

  GNU nano 2.0.7                                                              Fichier : dkimproxy_out.conf                                                                                                                                   

# specify what address/port DKIMproxy should listen on
listen    127.0.0.1:12028

# specify what address/port DKIMproxy forwards mail to
relay     127.0.0.1:12029

# specify what domains DKIMproxy can sign for (comma-separated, no spaces)
# Note that this is set in /etc/init.d/dkimproxy in this Debian package
# unactivate it there if you want to use the config file
#domain    example.org
domain     artefaxaudio.com
domain     kadoaoffrir.fr

# specify what signatures to add
signature dkim(c=relaxed)
signature domainkeys(c=nofws)

# specify location of the private key
keyfile /etc/dkimproxy/keys/private.key

# specify the selector (i.e. the name of the key record put in DNS)
selector  postfix
selector  mail

Résultat de ps aux |grep dkim

110 4189 0.0 1.1 13836 3116 ? S 11:42 0:00 /usr/bin/perl -I/usr/lib /usr/sbin/dkimproxy.in --hostname=vds1566.sivit.org --conf_file /etc/dkimproxy/dkimproxy_in.conf --user=dkimproxy --group=dkimproxy
110 4197 0.0 1.5 13808 4072 ? S 11:42 0:00 /usr/bin/perl -I/usr/lib /usr/sbin/dkimproxy.out --domain=sivit.org --method=simple --conf_file /etc/dkimproxy/dkimproxy_out.conf --user=dkimproxy --group=dkimproxy
110 4203 0.0 0.9 13836 2364 ? S 11:42 0:00 /usr/bin/perl -I/usr/lib /usr/sbin/dkimproxy.in --hostname=vds1566.sivit.org --conf_file /etc/dkimproxy/dkimproxy_in.conf --user=dkimproxy --group=dkimproxy
110 4204 0.0 0.9 13836 2492 ? S 11:42 0:00 /usr/bin/perl -I/usr/lib /usr/sbin/dkimproxy.in --hostname=vds1566.sivit.org --conf_file /etc/dkimproxy/dkimproxy_in.conf --user=dkimproxy --group=dkimproxy
110 4205 0.0 0.9 13836 2496 ? S 11:42 0:00 /usr/bin/perl -I/usr/lib /usr/sbin/dkimproxy.in --hostname=vds1566.sivit.org --conf_file /etc/dkimproxy/dkimproxy_in.conf --user=dkimproxy --group=dkimproxy
110 4206 0.0 0.9 13836 2488 ? S 11:42 0:00 /usr/bin/perl -I/usr/lib /usr/sbin/dkimproxy.in --hostname=vds1566.sivit.org --conf_file /etc/dkimproxy/dkimproxy_in.conf --user=dkimproxy --group=dkimproxy
110 4207 0.0 0.9 13836 2492 ? S 11:42 0:00 /usr/bin/perl -I/usr/lib /usr/sbin/dkimproxy.in --hostname=vds1566.sivit.org --conf_file /etc/dkimproxy/dkimproxy_in.conf --user=dkimproxy --group=dkimproxy
110 4208 0.0 1.7 13940 4580 ? S 11:42 0:00 /usr/bin/perl -I/usr/lib /usr/sbin/dkimproxy.out --domain=sivit.org --method=simple --conf_file /etc/dkimproxy/dkimproxy_out.conf --user=dkimproxy --group=dkimproxy
110 4209 0.0 2.6 13940 6900 ? S 11:42 0:00 /usr/bin/perl -I/usr/lib /usr/sbin/dkimproxy.out --domain=sivit.org --method=simple --conf_file /etc/dkimproxy/dkimproxy_out.conf --user=dkimproxy --group=dkimproxy
110 4210 0.0 1.2 13808 3204 ? S 11:42 0:00 /usr/bin/perl -I/usr/lib /usr/sbin/dkimproxy.out --domain=sivit.org --method=simple --conf_file /etc/dkimproxy/dkimproxy_out.conf --user=dkimproxy --group=dkimproxy
110 4211 0.0 1.2 13808 3204 ? S 11:42 0:00 /usr/bin/perl -I/usr/lib /usr/sbin/dkimproxy.out --domain=sivit.org --method=simple --conf_file /etc/dkimproxy/dkimproxy_out.conf --user=dkimproxy --group=dkimproxy
110 4212 0.0 1.2 13808 3204 ? S 11:42 0:00 /usr/bin/perl -I/usr/lib /usr/sbin/dkimproxy.out --domain=sivit.org --method=simple --conf_file /etc/dkimproxy/dkimproxy_out.conf --user=dkimproxy --group=dkimproxy
root 24980 0.0 0.2 3436 744 pts/0 R+ 15:48 0:00 grep dkim

 

[Julia41]

OK, je comprends mieux, donc dans ton dkimproxy_out.conf, tu vires l'un des deux domaines, pareil pour les sélecteurs (pour le moment test avec un seul domaine).
avant de refaire un dig fais un coup de :

rndc flush

pour purger ton cache DNS.

Pour ton champ SPF, au final tu dois avoir quelquechose avec simplement un double quote au départ et à la fin (pas 500 à chaque mot on est pas en PHP ).

Pour ton DKIM, il est lancé avec, --domain=sivit.org.
Il s'agit d'un petit bug debian il me semble même si normalement ça ne devrait pas être gênant, donc édite le /etc/init.d/dkimproxy et vire ce qui parle de "domain" (c'est dans ton fichier de configuration), pareil pour le "method".
Toujours est-il, actuellement tu ne peux pas signer.

 

[artefax]

Ouai je crois qu'a force j'ai tout embrouiller maintenant, je vais faire un peux le bilan de la situation

Pour le spf j'ai remplie le questionnaire qui est dans mon panel d'administration serveur de sivit qui ma remplie cette ligne:

artefaxaudio.com.	81495	IN	TXT	"0" "v=spf1" "?a" "+mx" "~ptr" "+a:smtp.A" "include:A" "~all"

Ensuite comme sa m'avais donné un message d'echec j'ai ajouter un champ TXT toujours dans mon panel ce qui me donne cette ligne:

artefaxaudio.com.	81495	IN	TXT	"0" "v=spf1" "a" "mx" "~all"

J'ai pas mis les double quote en faite j'ai juste mis

v=spf1 a mx ~all

mais quand je fais un dig sur le nom de domaine artefaxaudio.com sa me sort les 2 lignes du haut avec des doubles quotes partout, je ne sais pas pourquoi, d'ailleurs je comprend pas trop ou s'inscrivent ces lignes quand je les rentre dans mon panel, mais quand je vais voir dans le fichier /var/cache/bind/db.artefaxaudio.com j'ai ça:

$ttl 86400
artefaxaudio.com. IN SOA ns1.artefaxaudio.com. tech.artefaxaudio.com. (
                        2010021304
                        28800
                        7200
                        604800
                        86400 )

        86400   IN      A       80.248.222.57
artefaxaudio.com.       86400   IN      MX      10      mail
        86400   IN      NS      ns1.artefaxaudio.com.
        86400   IN      NS      ns2.sivit.org.
artefaxaudio.com.       86400   IN      TXT     0       v=spf1 ?a +mx ~ptr +a:smtp.A include:A ~all
artefaxaudio.com.       86400   IN      TXT     0       v=spf1 a mx ~all
artefaxaudio.com.       86400   IN      TXT     0       \"v=spf1 ip4:80.248.222.57 ~all\"
*       86400   IN      CNAME   artefaxaudio.com.
ftp     86400   IN      CNAME   artefaxaudio.com.
list    86400   IN      A       80.248.222.57
mail    86400   IN      A       80.248.222.57
ns1     86400   IN      A       80.248.222.57
www     86400   IN      CNAME   artefaxaudio.com.

le dernier champ TXT que l'on voit avec les double quotes échappé c'est moi qui après avoir éffacé les champs TXT que j'avais fais précédement est rajouté celui-ci avec des doubles quote comme tu m'avais dit au début qu'il fallait que je les rajoute.
Je n'ai pas échappé les double quote c'est quand j'édite le fichier avec nano que sa me met des double quotes échappé, j'ai rentré la ligne comme ceci:

"v=spf1 ip4:80.248.222.57 ~all"

Voilà pour les spf, je crois que c'est pas bien configuré, j'en suis sur même mais bon.

Dans le fichier dkimproxy_out.conf, j'ai donc viré le domaine et le selecteur et garder celui de artefaxaudio.com, j'ai fais un rndc flush avant de faire un dig et voici le résultat:

# dig -t TXT artefaxaudio.com

; <<>> DiG 9.5.1-P3 <<>> -t TXT artefaxaudio.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6508
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;artefaxaudio.com.		IN	TXT

;; ANSWER SECTION:
artefaxaudio.com.	80448	IN	TXT	"0" "v=spf1" "a" "mx" "~all"
artefaxaudio.com.	80448	IN	TXT	"0" "v=spf1" "?a" "+mx" "~ptr" "+a:smtp.A" "include:A" "~all"

;; AUTHORITY SECTION:
artefaxaudio.com.	154614	IN	NS	ns1.artefaxaudio.com.
artefaxaudio.com.	154614	IN	NS	ns2.sivit.org.

;; ADDITIONAL SECTION:
ns1.artefaxaudio.com.	154614	IN	A	80.248.222.57
ns2.sivit.org.		3600	IN	A	194.146.224.2

;; Query time: 24 msec
;; SERVER: 194.146.224.102#53(194.146.224.102)
;; WHEN: Sat Feb 13 16:32:00 2010
;; MSG SIZE  rcvd: 200

Pas très concluant :?

Pour ton DKIM, il est lancé avec, --domain=sivit.org.
Il s'agit d'un petit bug debian il me semble même si normalement ça ne devrait pas être gênant, donc édite le /etc/init.d/dkimproxy et vire ce qui parle de "domain" (c'est dans ton fichier de configuration), pareil pour le "method".
Toujours est-il, actuellement tu ne peux pas signer.

J'ai édité ce fichier par contre je ne vois pas trop quoi viré je le met à la suite comme ça tu pourras me le dire:

#!/bin/sh
#
# Copyright (C) 2005 Messiah College.
# Copyright (C) 2008 Thomas Goirand <thomas@goirand.fr>

### BEGIN INIT INFO
# Provides:		dkimproxy
# Required-Start:	$local_fs $remote_fs
# Required-Stop:	$local_fs $remote_fs
# Default-Start:	2 3 4 5
# Default-Stop:		0 1 6
# Short-Description:	Domain key filter init script
# Description:		dkimproxy is an SMTP-proxy designed for Postfix. It
#                       implements DKIM message signing and verification.
#                       It comprises two separate filters, an "outbound" filter
#                       for signing outgoing email, and an "inbound" filter for
#                       verifying signatures of incoming email. The filters can
#                       operate as either Before-Queue or After-Queue Postfix
#                       content filters.
### END INIT INFO

. /lib/lsb/init-functions

DKIMPROXYUSER=dkimproxy
DKIMPROXYGROUP=dkimproxy
DKIMPROXY_OUT_PRIVKEY="/var/lib/dkimproxy/private.key"

DKIM_HOSTNAME=`hostname -f`

# Get the host domains dynamically. You can change this to the location where
# you have your virtual table here, or best: ehance this script to support more
# situations with packages others than DTC
HOST_DOMAIN=`hostname -d`
if [ -f /var/lib/dtc/etc/local_domains ] ; then
	DTC_DOMAIN=`cat /var/lib/dtc/etc/local_domains | tr \\\r\\\n ,,`
	DTC_DOMAIN=`echo ${DTC_DOMAIN} | grep -v ^${HOST_DOMAIN}`
else
	DTC_DOMAIN=""
fi
DOMAIN=${DTC_DOMAIN}${HOST_DOMAIN}

DKIMPROXY_IN_ARGS="--hostname=${DKIM_HOSTNAME} --conf_file /etc/dkimproxy/dkimproxy_in.conf --user=${DKIMPROXYUSER} --group=${DKIMPROXYGROUP}"
DKIMPROXY_OUT_ARGS="--domain=${DOMAIN} --method=simple --conf_file /etc/dkimproxy/dkimproxy_out.conf --user=${DKIMPROXYUSER} --group=${DKIMPROXYGROUP}"

DKIMPROXY_IN_BIN="/usr/sbin/dkimproxy.in"
DKIMPROXY_OUT_BIN="/usr/sbin/dkimproxy.out"
PIDDKIMPROXY_IN="/var/run/dkimproxy.in"
PIDDKIMPROXY_OUT="/var/run/dkimproxy.out"

if [ -x /sbin/start-stop-daemon ] ; then
	STRT_STP_DMN=/sbin/start-stop-daemon
else
	STRT_STP_DMN=`which start-stop-daemon`
fi
if [ -z "${STRT_STP_DMN}" ] ; then
	echo "Can't find the start-stop-daemon binary"
fi

case "$1" in
	start)
		log_daemon_msg "Starting inbound DomainKeys-filter" "dkimproxy.in"
		${STRT_STP_DMN} --background --make-pidfile --start -p ${PIDDKIMPROXY_IN} -u ${DKIMPROXYUSER} -g ${DKIMPROXYGROUP} -x ${DKIMPROXY_IN_BIN} -- ${DKIMPROXY_IN_ARGS}
		RETVAL=$?
		START_ERROR=${RETVAL}
		log_end_msg ${RETVAL}
		if ! [ "${RETVAL}" -eq 0 ] ; then
			exit ${RETVAL}
		fi

		log_daemon_msg "Starting outbound DomainKeys-filter" "dkimproxy.out"
		${STRT_STP_DMN} --background --make-pidfile --start -p ${PIDDKIMPROXY_OUT} -u ${DKIMPROXYUSER} -g ${DKIMPROXYGROUP} -x ${DKIMPROXY_OUT_BIN} -- ${DKIMPROXY_OUT_ARGS}
		RETVAL=$?
		log_end_msg ${RETVAL}
		if ! [ "${RETVAL}" -eq 0 -a "${START_ERROR}" -eq 0 ] ; then
			if ! [ ${RETVAL} -eq 0 ] ; then
				echo "Error ${RETVAL} when starting ${DKIMPROXY_IN_BIN}"
			fi
			if ! [ "${START_ERROR}" -eq 0 ] ; then
				echo "Error ${START_ERROR} when starting ${DKIMPROXY_OUT_BIN}"
			fi
		fi
		;;

	stop)
		log_daemon_msg "Shutting down inbound DomainKeys-filter" "dkimproxy.in"
		${STRT_STP_DMN} --stop -p ${PIDDKIMPROXY_IN}
		RETVALIN=$?
		log_end_msg ${RETVALIN}
		log_daemon_msg "Shutting down outbound DomainKeys-filter" "dkimproxy.out"
		${STRT_STP_DMN} --stop -p ${PIDDKIMPROXY_OUT}
		RETVALOUT=$?
		log_end_msg ${RETVALOUT}
		if ! [ ${RETVALIN} -eq 0 -a ${RETVALOUT} -eq 0 ]; then
			if ! [ ${RETVALIN} -eq 0 ] ; then
				echo "Error ${RETVALIN} when shutting down ${PIDDKIMPROXY_IN}"
			fi
			if ! [ "${RETVALOUT}" -eq 0 ] ; then
				echo "Error ${RETVALOUT} when shutting down ${PIDDKIMPROXY_OUT}"
			fi
		fi
		;;
	force-reload)
		$0 stop
		sleep 1
		$0 start
		;;
	reload)
		$0 stop
		sleep 1
		$0 start
		;;
	restart)
		$0 stop
		sleep 1
		$0 start
		;;
	*)
		echo "Usage: $0 {start|stop|restart|reload|force-reload}"
		exit 1
		;;
esac

exit 0

merci julia41

Edit: Tu va peut être trouver que j'abuse un peut là et je comprendrais si tu refuse mais je me disais que je pourrais peut être te donner les clé de la boutique pour que tu puisse voir par toi même ce qui ne va pas, ça iras peut être plus vite.

 

[Julia41]

artefaxaudio.com.       86400   IN      TXT     0       v=spf1 ?a +mx ~ptr +a:smtp.A include:A ~all
artefaxaudio.com.       86400   IN      TXT     0       v=spf1 a mx ~all
artefaxaudio.com.       86400   IN      TXT     0       \"v=spf1 ip4:80.248.222.57 ~all\"

Parfait si tu as accès à ton fichier bind directement sans passer par un pannel (par défault c'est dans /etc/bind/).

Change ça en :

artefaxaudio.com.      IN      TXT             "v=spf1 ip4:80.248.222.57 ~all"
; DKIM
_domainkey.artefaxaudio.com.   IN      TXT     "o=~;"
postfix._domainkey.artefaxaudio.com.   IN      TXT     "k=rsa; p=ta_clée_hyper_longue;"

Voilà, avec ça ça devrait passer nikel.

Je ne sais plus à quoi sert ce 0, mais tente de le virer (pourquoi faire compliqué quand on peut faire simple).
Surtout pense à bien éditer ton numéro de série :

2010021304

<année><mois><jour><numéro>
Incrémente le à chaque fois et reload bind.

Pour le fichier init.d de dkim
Remplace :

DKIMPROXY_OUT_ARGS="--domain=${DOMAIN} --method=simple --conf_file /etc/dkimproxy/dkimproxy_out.conf --user=${DKIMPROXYUSER} --group=${DKIMPROXYGROUP}"

par

DKIMPROXY_OUT_ARGS="--conf_file /etc/dkimproxy/dkimproxy_out.conf --user=${DKIMPROXYUSER} --group=${DKIMPROXYGROUP}"

 

[artefax]

artefaxaudio.com.       86400   IN      TXT     0       v=spf1 ?a +mx ~ptr +a:smtp.A include:A ~all
artefaxaudio.com.       86400   IN      TXT     0       v=spf1 a mx ~all
artefaxaudio.com.       86400   IN      TXT     0       \"v=spf1 ip4:80.248.222.57 ~all\"

Parfait si tu as accès à ton fichier bind directement sans passer par un pannel (par défault c'est dans /etc/bind/).

Oui exactement, le fichier named.conf me renvoyais dans /var/cache/bind/db.artefaxaudio.com c'est comme ça que j'ai trouvé ce fichier

Change ça en :

artefaxaudio.com.      IN      TXT             "v=spf1 ip4:80.248.222.57 ~all"
; DKIM
_domainkey.artefaxaudio.com.   IN      TXT     "o=~;"
postfix._domainkey.artefaxaudio.com.   IN      TXT     "k=rsa; p=ta_clée_hyper_longue;"

Voilà, avec ça ça devrait passer nikel.

C'est fais j'ai reload bind maintenant je vais renvoyer un email pour l'authentification pour voir.
Par contre si je fais un dig j'ai toujours le même résultat :?

Je ne sais plus à quoi sert ce 0, mais tente de le virer (pourquoi faire compliqué quand on peut faire simple).
Surtout pense à bien éditer ton numéro de série :

2010021304

<année><mois><jour><numéro>
Incrémente le à chaque fois et reload bind.

ok!
J'ai mis

201002135

j'espère que c'est ce que tu me disais de faire.

Pour le fichier init.d de dkim
Remplace :

DKIMPROXY_OUT_ARGS="--domain=${DOMAIN} --method=simple --conf_file /etc/dkimproxy/dkimproxy_out.conf --user=${DKIMPROXYUSER} --group=${DKIMPROXYGROUP}"

par

DKIMPROXY_OUT_ARGS="--conf_file /etc/dkimproxy/dkimproxy_out.conf --user=${DKIMPROXYUSER} --group=${DKIMPROXYGROUP}"

C'est fait, avec ces modifications tout est ok ou j'ai encore quelque chose à configurer?

 

[Julia41]

k!
J'ai mis

Code: Tout sélectionner
    201002135


j'espère que c'est ce que tu me disais de faire.

Le "numéro de série" se termine par "2 chiffres"
Donc il doit être entre :
2010021300 et 2010021399
Donc tu as oublié un "0" avant ton 5.

Avant ton dig, tu as bien fait un rndc flush et tu as bien reloadé bind ?

 

[artefax]

Je croyais que tu m'avais dit de le virer le "0", mais ce numéro de série je le trouve ou? avant c'était "04" j'ai mis "05" suivant tes instructions, j'ai fais un rndc flush et reload bind mais rien y fais quand je fais un dig j'ai toujours le même résultat ces deux ligne TXT avec plein de doubles quotes 8O

C'est peut être pas le bon fichier que j'ai modifié, pourtant quand je vais dans /etc/bind/named.conf il y as un include du fichier named.conf.local et dans celui-ci pour mes domaine je suis renvoyé dans /var/cache/bind/db.artefaxaudio.com

//###artefaxaudio.com###
zone "artefaxaudio.com" {
        type master;
        file "/var/cache/bind/db.artefaxaudio.com";
};
//###<artefaxaudio.com>###

 

[Julia41]

;; ANSWER SECTION:
artefaxaudio.com.       86400   IN      TXT     "v=spf1 ip4:80.248.222.57 ~all"

Parfait chez moi

;; ANSWER SECTION:
_domainkey.artefaxaudio.com. 86400 IN   TXT     "o=~\;"

Parfait chez moi

postfix._domainkey.artefaxaudio.com. 86400 IN TXT "k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYU4n4Vgw+oSxXltXcxYfPnuImXxX1tXzgrcy9af5cwPp+xgujXngrByj5byMDAdAee/pwa0hh1QXlhXh/Yuft0yMcgPPI2/Sphnsj+xCKZtCCIYs1esh2tLK1SBfwO6NGN5DqbsbH6ktlSuXllCN9IfX6TKDU/V197tTRKtKrXwIDAQAB\;"

Parfait chez moi

 

[Julia41]

Maintenant balance moi un mail ou à check-auth un peu plus haut et file moi les résultats.
Ca devrait être "pass" partout (sauf si après tu t'es planté quelque part).

 

[artefax]

Ba y'a du mieux, vois par toi même:

==========================================================
Summary of Results
==========================================================
SPF check: pass
DomainKeys check: neutral
DKIM check: permerror
Sender-ID check: pass
SpamAssassin check: ham

DomainKeys check: neutral
c'est quoi ça exactement?

Sinon y'a toujours une erreur avec DKIM je vais revoir le tuto y'a surement quelques chose que j'ai du zaper je vois rien d'autre :?

Ps: j'ai pas ton adresse email pour t'envoyer un email de test.

 

[Julia41]

postmaster@monwww.net

Là ça doit être que ton DKIM signe "mal", si tu m'envois un mail, profites en pour me FW le rapport complet port25

Edit: dépèche toi, 19h, l'heure de l'apéro =)

Edit2: un service de signature DKIM de mail devrait être une bonne idée après ce genre de topic

 

[Julia41]

Le message d'erreur de port25 est plutôt clair pour domainkey :

----------------------------------------------------------
DKIM check details:
----------------------------------------------------------
Result:         permerror (key "mail._domainkey.sivit.org" doesn't exist)

Donc soit tu mets postfix dans ta conf dkim, soit tu mets "mail" dans ta conf de bind. Mais tu signes toujours avec SIVIT, tente simplement d'utiliser la commande "mail" de ton serveur

echo "plop" | mail -s tongmail@gmail.com

gmail donne lui aussi des résultats :

Authentication-Results: mr.google.com; spf=pass (google.com: domain of 3veJMSxEKCjgUhUfsncWm-hilYjfsaiiafY.WigVilcmv1y2uagUcf.Wig@scoutcamp.bounces.google.com designates 10.141.124.18 as permitted sender) smtp.mail=3veJMSxEKCjgUhUfsncWm-hilYjfsaiiafY.WigVilcmv1y2uagUcf.Wig@scoutcamp.bounces.google.com; dkim=pass header.i=3veJMSxEKCjgUhUfsncWm-hilYjfsaiiafY.WigVilcmv1y2uagUcf.Wig@scoutcamp.bounces.google.com

Désolé (j'avais pas de gmail envoyés par moi sous la main).

Edit: tu as bien redémarré domainkey après avoir fait les modifs ?
/etc/init.d/dkimproxy restart
/etc/init.d/postfix restart
/etc/init.d/bind9 reload

 

[Julia41]

Rock & Roll !

Authentication-Results: mx.google.com; spf=pass (google.com: best guess record for domain of root@vds1566.sivit.org designates 80.248.222.57 as permitted sender) smtp.mail=root@vds1566.sivit.org; dkim=pass header.i=@artefaxaudio.co

Bon, par contre, tu devrais changer ton reverse, le SIVIT fait moche

 

[artefax]

J'arrive pas voir les entête dans gmail y'a pas de lien.

bref d'après ce que tu me dit c'est bon?
ouai faut vraiment que je change ce sivit en plus a chaque email que j'envoie le Return-Path est pour le compte root sa n'a vraiment aucun sans.

m'enfin c'est mon premier dédié et j'apprend beaucoup de chose, je vais éssayer de changer sa par moi même et sinon j'ouvrirais un nouveau sujet


encore un grand merci julia, je crois que ta bien mérité l'apéro, je te l'aurai bien offert mais bon il me semble pas qu'on soit de la même région :|

 

[artefax]

NIIIIIIIIIIIIIIIIIIIIIIKKKKKKKKKKKKEEEEEEEEEEEEEEELLLLLLLLLLL

The Port25 Solutions, Inc. team

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   pass
DKIM check:         pass
Sender-ID check:    pass
SpamAssassin check: ham

Maintenant il faut que je reconfigure quelques chose pour mon autre domaine que j'ai un peux laissé du coup, faut que je le reconfigure dans le fichier de conf de KDIM nan?

 

[Julia41]

Je pense que ça vient de ton script pour le mauvais résultat de check-auth.
Pour le DKIM, ça prends le @ du return-path (tout dépends des méthodes de signature bien sûr).

Pour gmail, c'est la petite "flèche vers le bas" en haut à droite, sinon, tu clics sur "afficher les détails" et tu verras rapidement le :

signé par paypal.fr
envoyé par bounce.gandi.net[/code]

Ou autres trucs du genre.

Nettoie quand même ton reverse, vérifie qu'il reste rien après :

cd /etc/
grep -rin "sivit" ./*

Et tu édites ce que tu dois éditer.
Généralement un:

nano /etc/host*

suffit, mais si tu as installé pas mal de trucs depuis, il doit y en avoir plus.

Si tu peux te permettre de réinstaller ton dédié perso c'est la première chose que je fais juste avant le changement de noyaux. Ca évite les "traces".

Prochaine étape, l'installation d'Amavis/Spamassain/Clamd

 

[artefax]

Ba en faite Amavis/Spamassain/Clamd

tout est déjà installé
Bien configuré sa c'est une autre histoire :? j'ai pris ce dédié il yas 6 mois j'ai passé un mois dessus avant de faire le transfert de mon site, j'avoue que ce doit être un gros bordel dessus je fais avec ce que je trouve

Quant à tout réinstaller j'aurai la possiblité de le faire, mais pas le courage, pis si je n'arrive pas à tout remettre comme c'est à présent (les bug et les mauvaise configuration en moins) je vais être dans la mouise j'ai quand même un site qui tourne dessus :wink:

Je vais déjà éssayer de réparer les erreurs comme ça et sinon ba je payerais quelqu'un pour refaire l'installation et remettre tout correctement parce que c'est un métier tout de même et ça ne s'improvise pas!

j'ai de la chance de t'avoir eu aujourd'hui encore un grand merci julia.

@+++

 

[Julia41]

Pas de soucis, fait pas mal de test, les header rajouté par yahoo et gmail sont pas mal pour débuguer.
Essaye de faire un truc propre et pense à faire des backups aux instants "où ça marche" car les conneries sont vites arrivées.