IP dynamique, livebox fibre et DNS/nom de domaine chez Yulpa

[Matthieu]

Installation de base : un hébergement + nom de domaine chez Yulpa, une livebox Play, une fibre optique, un serveur web (lamp) à la maison sur  et une IP ... dynamique....

Quand je redirige un sous domaine via le menu "zone DNS" vers mon IP, ça marche, c'est super cool. Sauf que pour la première fois que j'ai du haut débit, j'ai une IP dynamique qui change une fois la semaine je dirais. Y a t'il moyen de reconfigurer l'entrée DNS via un script ou suis je condamné à utiliser un service type dyndns (ce qui est un peu con, étant donné que j'ai 3 noms de domaine...) ?

Merci d'avance !

[Aurelien P.]

Bonjour, 

actuellement ce n'est pas possible.

Vous pouvez utiliser DynDNS puis faire un CNAME avec votre domaine vers le nom DynDNS. AVec un TTL faible.

Ainsi DynDNS va gérer le changement d'IP, et le CNAME vous permettra d'utiliser votre domaine.

[Matthieu]

Ça sonne bien ça ...

 

Et ça marche ! C'est fou, dès que je bricole un peu sur mon site j'apprends des trucs.

[Jul Ien]

Bonjour @Aurélien PONCINI

 

j'ai à peu près un problème similaire :

• une ip que je pensais fixe mais qui en fait est dynamique
• un serveur de mail sur la dite ip, "raccordé" à Yulpa par des enregistrements A, MX et TXT (spf, dkim, dmarc)

Du coup je pensais remplacer mon enregistrement A par un CNAME comme suggéré plus haut.

Le problème est que je ne peux plus faire de MX ensuite.

J'ai trouvé un début d'explication ici : https://www.rfc-editor.org/rfc/rfc2181.txt)

Citation

10.3. MX and NS records

   The domain name used as the value of a NS resource record, or part of
   the value of a MX resource record must not be an alias.

Comment dans ce cas puis-je solutionner ce problème de redirection ?

 

Merci d'avance

Julien

[Invité Simon D.]

Bonjour,

Il suffit d'utiliser directement le nom DynDNS comme du valeur du champ MX.

Exemple : @ IN MX 10 demo.dyndns.org.

Simon

[Jul Ien]

Bonjour Simon,

c'est justement ce que j'ai essayé de faire mais j'ai eu une erreur en retour :

Citation

Message d'erreur

• L'entrée est déjà présente sur cette zone ou est incompatible avec une autre entrée de la zone

 

J'ai présumé que c'était parce que vous suiviez les préco de rfc2181 qui empêchent qu'un MX pointent sur un alias.

[Invité Simon D.]

Hum, quelque chose m'échappe

L'enregistrement MX (qui doit être le seul du domaine) doit ressembler à cela :

 

Pas de raison que cela bloque, demo.dyndns.org doit être un enregistrement de type A, la RFC est donc respectée.

De quel domaine s'agit-il ?

[Jul Ien]

il s'agit de jakubowicz.me qui comprend déjà des MX mais liés à la racine : le MX que je fais s'applique au sous-domaine mail.jakubowicz.me

Je ne comprends pas comment un enregistrement de type A peut contenir une url en cible alors qu'il est spécifié qu'il ne peut s'agit que d'une ip4

 

[Invité Simon D.]

D'accord. Je vois bien l'enregistrement mais celui-ci pointe vers mail.jakubowicz.me qui est une IP fixe. Le but n'était pas d'utiliser du DDNS ?

La configuration en l'état est correcte mais pas dynamique, il faudrait :

• Transformer le mail de type A en CNAME pointant vers l'adresse DDNS
• Modifier le mail de type MX pour mettre l'adresse DDNS en cible.

Par adresse DDNS, j'entends quelque chose du genre demo.dyndns.org, tout dépend du service utilisé pour.

[Jul Ien]

C'est exactement ce que j'ai fait juste avant d'ouvrir le sujet. C'est là que ça a planté :

• impossible de créer le CNAME avec le MX déjà présent => suppression du MX
• Et là, pas moyen de créer le MX une fois le CNAME créé...

La config est celle d'origine que j'ai du rétablir pour que les mails continuent de circuler.

Modifié 17 août 2018 par Jul Ien

[Invité Simon D.]

Quel est le domaine DDNS ?

[Aurelien P.]

Bonjour, 

il n'est pas possible d'avoir un CNAME et un MX sur le même champ. 

[Jul Ien]

Bonjour Aurélien,

pourquoi cette limitation ?

Y a-t-il un moyen de :

- soit la contourner ?

- soit de mettre à jour depuis une url l’adresse ip4 sur lequel pointe un enregistrement « A » ?

 

merci

[Simon]

Les deux ne sont pas compatibles, ce n'est pas une limitation Yulpa ici.

Une entrée CNAME veut dire "redirige tout le trafic vers la cible du CNAME, quel que soit le type. Donc tout le trafic MX, A, TXT, etc... Est rédigé vers la cible du CNAME.

Avoir une entrée MX et CNAME sur la même zone dns du même host est techniquement faisable mais un non-sens car le trafic est rédigé et l'entrée MX de la zone ne serait pas utilisée.

[Jul Ien]

Merci pour votre réponse Simon, je comprends mieux

Je suis à présent dans la situation suivante :

• Chez Yulpa : CNAME vers un domaine OVH
• Chez OVH :
  • dynhost vers l'ip4 de mon serveur de mail (Yulpa permet-il ce genre de choses ?)
  • Enregistrements MX, SPF, DKIM et DMARC vers ce dynhost

Mon serveur de mail fonctionne, avec l'assurance qu'il continuera à le faire même si je change d'ip.

Cependant, un coup de mail-tester.com me renvoie le résultat suivant :

dkim=fail reason="key not found in DNS" (0-bit key; unprotected) header.d=mail.jakubowicz.me header.i=@mail.jakubowicz.me header.b=jQan2d5H;

Je pense que c'est parce qu'il y a discordance entre le domaine paramétré au niveau du serveur  (et qui est celui que je souhaite voir apparaitre dans mes mails) et celui d'OVH qui n'est finalement là que pour m'aider à actualiser l'ip du serveur...

Modifié 20 août 2018 par Jul Ien

[Simon]

c'est quoi ton adresse from ?

c'est quoi ton selecteur dkim ?

dans l'idéal, tu peux nous filer le lien vers le résultat mail tester ?

[Aurelien P.]

Bonjour, 

à titre d'infos, avoir un serveur de mails sur une IP dynamique et sur une IP FAI grand public est une très mauvaise idée pour la délivérabilité des mails.

Le dynamique encore passera avec ce que vous mettez en place, mais pour l'envoi mieux vaut faire appel à un relay SMTP (on le fait si vous voulez). 

[Jul Ien]

Il y a 13 heures, Simon a dit :

c'est quoi ton adresse from ?

c'est quoi ton selecteur dkim ?

dans l'idéal, tu peux nous filer le lien vers le résultat mail tester ?

from : admin@mail.jakubowicz.me

sélecteur dkim : 717

le lien vers le résultat du mail tester : https://www.mail-tester.com/web-upc8t

EDIT : le source du mail contenant les résultats du test

Received: by mail-tester.com (Postfix, from userid 500)
	id ADA0DA820D; Tue, 21 Aug 2018 12:45:34 +0200 (CEST)
Authentication-Results: mail-tester.com;
	dkim=fail reason="key not found in DNS" (0-bit key; unprotected) header.d=mail.jakubowicz.me header.i=@mail.jakubowicz.me header.b=wN3I2d00;
	dkim-atps=neutral
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on mail-tester.com
X-Spam-Level: 
X-Spam-Status: No/0.5/5.0
X-Spam-Test-Scores: DKIM_SIGNED=0.1,HTML_MESSAGE=0.001,RCVD_IN_SORBS_DUL=0.001,
	RDNS_DYNAMIC=0.363,SPF_HELO_PASS=-0.001,SPF_PASS=-0.001,T_DKIM_INVALID=0.01
X-Spam-Last-External-IP: 78.115.243.226
X-Spam-Last-External-HELO: mail.jakubowicz.me
X-Spam-Last-External-rDNS: 226.243.115.78.rev.sfr.net
X-Spam-Date-of-Scan: Tue, 21 Aug 2018 12:45:34 +0200
X-Spam-Report: 
	*  0.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP address
	*      [78.115.243.226 listed in dnsbl.sorbs.net]
	* -0.0 SPF_PASS SPF: sender matches SPF record
	* -0.0 SPF_HELO_PASS SPF: HELO matches SPF record
	*  0.0 HTML_MESSAGE BODY: HTML included in message
	*  0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily
	*      valid
	*  0.4 RDNS_DYNAMIC Delivered to internal network by host with
	*      dynamic-looking rDNS
	*  0.0 T_DKIM_INVALID DKIM-Signature header exists but is not valid
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=78.115.243.226; helo=mail.jakubowicz.me; envelope-from=admin@mail.jakubowicz.me; receiver=web-upc8t@mail-tester.com 
DMARC-Filter: OpenDMARC Filter v1.3.1 mail-tester.com 29152A7ED7
Authentication-Results: mail-tester.com; dmarc=none header.from=mail.jakubowicz.me
Authentication-Results: mail-tester.com;
	dkim=fail reason="key not found in DNS" (0-bit key; unprotected) header.d=mail.jakubowicz.me header.i=@mail.jakubowicz.me header.b=wN3I2d00;
	dkim-atps=neutral
Received: from mail.jakubowicz.me (226.243.115.78.rev.sfr.net [78.115.243.226])
	(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
	(No client certificate requested)
	by mail-tester.com (Postfix) with ESMTPS id 29152A7ED7
	for <web-upc8t@mail-tester.com>; Tue, 21 Aug 2018 12:45:30 +0200 (CEST)
Received: from iPhone-de-Julien.mail (unknown [80.12.34.62])
	(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
	(No client certificate requested)
	by mail.jakubowicz.me (Postfix) with ESMTPSA id A769FC1109
	for <web-upc8t@mail-tester.com>; Tue, 21 Aug 2018 12:45:26 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mail.jakubowicz.me;
	s=717; t=1534848329;
	bh=K35QveS3NPZ/QGIHLYJ0LnZljlahaI9KJzgpll0qQV0=;
	h=Date:From:To:Subject;
	b=wN3I2d00XZSuS8dexqiKxLDKKNDfHqK0NOIbmGYx9UQlkT0cfIgeP+B+2CnnLm2/6
	 zaPEA5S+I4rw7aS2jSZWT7EQQF32a4ja4eKSUdp4ZRNBdJB6oRsdNVZhp6hsJZY3RT
	 CO98kfaRyJF6Eug9ALw87b2YRCzopQE1OVjLn4Bs=
Date: Tue, 21 Aug 2018 12:44:31 +0200
From: Admin <admin@mail.jakubowicz.me>
To: web-upc8t@mail-tester.com
Message-ID: <etPan.5b7bed44.327b23c6.1b26@mail.jakubowicz.me>
Subject: Test 21/08 12:45
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="5b7bed44_643c9869_1b26"
X-Synology-Spam-Status: score=-0.1, required 5, FROM_HAS_DN 0, __KHOP_NO_FULL_NAME 0, NO_RECEIVED -0.001, __NOT_SPOOFED 0, MIME_GOOD -0.1, HTML_MISSING_CTYPE 0, TO_MATCH_ENVRCPT_ALL 0, FREEMAIL_ENVRCPT 0, RCVD_TLS_ALL 0, FROM_EQ_ENVFROM 0, FREEMAIL_TO 0, RCVD_COUNT_ZERO 0, TO_DN_NONE 0, RCPT_COUNT_ONE 0, MID_RHS_MATCH_FROM 0, HTML_MESSAGE 0.001
X-Synology-Spam-Flag: no
X-Synology-Virus-Status: no

--5b7bed44_643c9869_1b26
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: 7bit
Content-Disposition: inline

Hello ceci est un test ! 
-- 
Admin 


--5b7bed44_643c9869_1b26
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<html><head></head><body>Hello ceci est un test =21<div class=3D=22bloop=5F=
sign=22><div>--&nbsp;<br>Admin</div></div>

<div><br></div></body></html>
--5b7bed44_643c9869_1b26--

 

Il y a 4 heures, Aurélien PONCINI a dit :

Bonjour, 

à titre d'infos, avoir un serveur de mails sur une IP dynamique et sur une IP FAI grand public est une très mauvaise idée pour la délivérabilité des mails.

Le dynamique encore passera avec ce que vous mettez en place, mais pour l'envoi mieux vaut faire appel à un relay SMTP (on le fait si vous voulez). 

Vous parlez d'une classification systématique en spam ? Je pensais que le fait d'avoir un bon spam-score (inférieur à 0 en ce qui me concerne) me préviendrait contre ce genre d'ennui. Est-ce le cas ?

Modifié 21 août 2018 par Jul Ien

[Simon]

simon$ dig +short txt 717._domainkey.mail.jakubowicz.me

il n'y a en effet aucun enregistrement DKIM présent sur le sous domaine 717._domainkey.mail.jakubowicz.me, c'est ici que devrait se trouver la clé publique DKIM.

Pour ce qui est de l'ip dynamique, les providers mails utilisent des DNSBL qui identifient les ips publiques d'ISP, et identifient les mails comme potentiellement douteux. (https://www.dnsbl.info/dnsbl-details.php?dnsbl=dul.dnsbl.sorbs.net par exemple)

Beaucoup d'ordinateurs infectés (botnets) envoient des mails de façon incontrôlée via des ips dynamiques, le risque est donc fort, donc les emails présentant ce type de patterns sont beaucoup plus susceptibles d'être livrés en spambox

Modifié 21 août 2018 par Simon

[Aurelien P.]

Sans parler du fait que le reverse de l'IP ne pouvant être modifié, cela sera mal vu par la majorité des serveurs.

yulPa peut vous proposer la solution SpamExperts (celle utilisé sur le mutualisé) afin que vous puissiez l'utiliser en relay sortant. Ainsi les paramètres (IP, reverse, DKIM...) seraient géré sur cette solution  

[Jul Ien]

Ca pourrait m'intéresser.

Pourriez-vous m'expliquer en détail en quoi consiste l'offre ? Peut-être avez-vous une doc à ce sujet ?

[Jul Ien]

Bonjour,

j'ai trouvé une solution de configuration pour mon serveur mail !

Toute l'astuce consiste à utiliser un second sous-domaine juste pour le CNAME, et à autoriser le dyndns (mon.ipdynamique.com) à envoyer des mails. Voir en rouge :

• CNAME : mail2 3600 mon.ipdynamique.com
• MX : mail 3600 mail2.mondomaine.com
• TXT : mail 3600 "v=spf1 a mx include:mon.ipdynamique.com include:spf.yulpa.io ~all"
• TXT : monselecteur._domainkey.mail 3600 "v=DKIM1; q=*; p=masuperclé"
• TXT : _dmarc.mail 3600 "v=DMARC1; p=reject; rua=mailto:une@adressemail.com; ruf=mailto:une@adressemail.com; fo=1; adkim=s; aspf=s; pct=100; ri=86400; sp=reject"

[Aurelien P.]

Bonjour, 

désolé j'avais raté la question précédente  

L'offre SpamExpert n'est pas encore documenté  

Sur les hébergements mutualisés vous avez un antiSpam en entrée, tous les mails que l'on recoit passent par cet antispam et sont livrés dans vos boites mails.

L'offre SE en dehors des hébergements mutualisés permet d'avoir un compte ou vous pouvez ajouter des domaines qui seront couvert en entrée et en sortie. 

Vous pouvez donc définir que tous les mails arrivent chez nous et qu'ils soient redirigés ensuite chez vous. Ainsi vous avez nos 3 MTA qui assurent la réception des mails et vous avez des logs de tout ce qui se passe.

En sortie vous pouvez configurer le serveur chez vous afin qu'il passe les mails à SE (en relay), ainsi l'IP d'envoi est la notre, elles ne changent jamais (plusieurs IP). Cela permet aussi d'avoir des logs des mails sortant. 

[Jul Ien]

Merci Aurélien, à priori je ne suis pas intéressé

(Je suis plus dans l'objectif de bidouiller mon propre serveur, en partie parce que je souhaite savoir "comment tout ça fonctionne")

 

D'ailleurs je ne comprends pas : ma solution ne fonctionne pas en fait :

CNAME : mail2 3600 mon.ipdynamique.com

MX : mail 3600 mail2.mondomaine.com

 

maintenant j'ai tout simplement mail.mondomaine.com qui n'est pas reconnu comme nom d'hôte...
Retour à la case départ...