Forum Linux.général Serveur smtp et IP dynamique

Posté par  . Licence CC By‑SA.
Étiquettes :
2
14
oct.
2020

Bonjour,
suite à mon précédent post et grâce à l'aide de sympathiques intervenants, j'ai pu configurer mon serveur smtp auto-hébergé avec succès.

Je suis maintenant confronté à un autre problème: mon FAI ne me propose que des adresses IP dynamique (j'utilise dyndns) et je suis, de ce fait, bloqué par tous les anti-spams qui utilisent des listes comme celles de spamhaus (qui interdit toutes les IP dynamiques).

Afin d'améliorer mon score, j'ai ajouté des enregistrements DMARC, SPF et DKIM valides dans ma configuration DNS, en vain (mon score est, à titre indicatif, à 6.2/10 sur mail-tester.com à cause du blocage spamhaus sur spamassassin).

Inutile de préciser que je termine systématiquement en spam chez gmail et consort.

Un autre problème se pose également: il est possible que je ne puisse pas recevoir mes mails suite à un changement d'adresse IP qui n'a pas encore été notifié à mon fournisseur de dyndns ou bien à cause du cache du résolveur dns du client.
Je suppose qu'il est même probable que les mails qui me sont destinés terminent, dans cet intervalle, chez quelqu'un d'autre si celui-ci dispose d'un serveur smtp accessible.

Suis-je contraint de basculer chez un FAI qui attribue des IP fixes (à l'exception des FAI associatifs et de ceux destinés aux professionnels, y a-t-il un opérateur grand public qui en propose ?) ou existe-t-il une quelconque astuce me permettant de résoudre ces problèmes ?

Merci d'avance pour toutes vos réponses.

  • # IP fixe et FAI

    Posté par  . Évalué à 2.

    Quand j'étais en ADSL chez Bouygues, mon IP n'a jamais changé pendant 2 ans.
    Sinon il y a OVH telecom.

    • [^] # Re: IP fixe et FAI

      Posté par  . Évalué à 1.

      Apparemment, je suis éligible à leur offre et ils semblent proposer une box, pourquoi pas.

  • # Un VPN de la FFDN

    Posté par  (site Web personnel) . Évalué à 7.

    Beaucoup de la FAI de la FFDN proposent des VPN. Tu auras du coup une IP fixe pour ton serveur (ou ton réseau si tu montes le VPN au niveau du routeur (mais c’est pas sur une box opérateur que tu peux faire ça, faut un routeur en plus ou à la place)) et youplà.

    Being a sysadmin is easy. As easy as riding a bicycle. Except the bicycle is on fire, you’re on fire and you’re in Hell.

    • [^] # Re: Un VPN de la FFDN

      Posté par  . Évalué à 1.

      J'avais complètement oublié cette possibilité, merci. J'ai été consulter l'offre chez l'opérateur associatif FDN qui est assez connu et il faut être membre de l'association pour avoir accès à l'offre vpn.
      Les membres doivent-ils obligatoirement avoir ouvert une ligne chez la FDN pour avoir accès aux autres services ?

    • [^] # Re: Un VPN de la FFDN

      Posté par  . Évalué à 1.

      Mmm… je doute que tu possèdes une IP propre, et que tu puisses router des ports vers ton infra. En général un VPN est une porte de sortie, mais pas d'entrée.

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

      • [^] # Re: Un VPN de la FFDN

        Posté par  (site Web personnel) . Évalué à 8.

        Mais si, les offres de VPN des fournisseurs d'accès associatifs sont principalement faites pour cela : avoir du vrai Internet par-dessus l'accès mal fichu d'un FAI ordinaire.

        • [^] # Re: Un VPN de la FFDN

          Posté par  . Évalué à 3. Dernière modification le 14/10/20 à 16:26.

          Ah excellent !

          Alors oui c'est ce qui pourrait bien aller à l'auteur de ce journal, surtout que même en changeant de FAI perso il garderait ainsi la même IP publique.

          Nickel.

          En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

          • [^] # Re: Un VPN de la FFDN

            Posté par  . Évalué à 1.

            En effet, ça pourrait me convenir mais il me semble quand même plus simple d'avoir une IP fixe (et c'est normalement moins cher, car j'ai simplement à payer le FAI).
            J'en ai un peu marre de devoir passer par des intermédiaires superflus pour que mon serveur soit joignable (comme avec dyndns).

            • [^] # Re: Un VPN de la FFDN

              Posté par  (site Web personnel) . Évalué à 5.

              Bon courage pour trouver un FAI qui te fournisse de l'Internet digne de ce nom, avec IPv4 fixe, plage IPv6, reverse DNS IPv4 personnalisable, reverse DNS IPv6 déléguable, et adresses IPv4 et v6 non inscrites dans les listes de spammeurs potentiels.

              Bon courage pour trouver un FAI avec des interlocuteurs qui comprennent simplement les termes que je viens d'utiliser.

              Par contre, les FAI courants fournissent de la télévision avec Canal+, et de la VOD aussi. Et ça, leurs commerciaux savent en parler.

              • [^] # Re: Un VPN de la FFDN

                Posté par  . Évalué à 1.

                Si seulement la loi les contraignaient à fournir de l'internet correct…Ils ont vraiment une vision particulière du réseau.
                C'est juste le vpn que je trouve superflu mais ovh, les opérateurs pro et les opérateurs de la ffdn proposent ces services, non ?
                Je vais peut-être tester ovh ultérieurement car là je suis dans une zone à très faible débit (moins de 1 mbit/s) et je suis contraint de passer par une box 4G pour éviter d'attendre 5 minutes pour charger la moindre page web :(
                En attendant, je vais peut-être effectivement avoir recours au vpn.

              • [^] # Re: Un VPN de la FFDN

                Posté par  . Évalué à 3.

                Peut-être parce qu'ils sont des opérateurs de téléphonie avant d'être des FAI

            • [^] # Re: Un VPN de la FFDN

              Posté par  (site Web personnel) . Évalué à 2. Dernière modification le 17/10/20 à 09:10.

              En fait quand tu utilises un VPN chez un FAI associatif sur un accès fourni par un gros FAI commercial, chacun tient un rôle bien distinct :

              • ton vrai FAI c’est l’association, qui te fournit un accès neutre à Internet et un support de qualité
              • le FAI commercial, il ne te fournit que des tuyaux (généralement des gros tuyaux qui vont vite pour pas trop cher)

              C’est ce que j’utilise ici pour mon serveur mail auto-hébergé, avec un accès à Internet fourni par Grifon qui passe par des tuyaux que je loue à Orange.

  • # reverse dns

    Posté par  (site Web personnel) . Évalué à 2.

    Salut,

    Pour le mail c'est bien d'avoir un enregistrement reverse dns pour ton ip aussi.
    Y'en a qui contrôle ça.

    les pixels au peuple !

    • [^] # Re: reverse dns

      Posté par  . Évalué à 1. Dernière modification le 14/10/20 à 12:23.

      J'ai celui attribué par mon opérateur, qui ne peut pas être changé et qui ne correspond pas à mon nom de domaine mais ça ne diminue que très légèrement mon score.

  • # Trop compliqué

    Posté par  . Évalué à 4.

    Pour moi c'est très très très compliqué d'héberger un serveur email en IP variable (ne serait-ce que parce que quand on écrit il faut l'IP et on a des chances qu'elle soit pas bonne, donc faut ré-essayer etc…).

    Si tu veux héberger ton propre email, tu le fais pas chez toi, mais tu loues un petit serveur (voire un VPS, largement suffisant). Tu peux aller voir OVH ou Online, mais FDN donne une liste de FAI associatifs bien sympa (et souvent à petit prix).

    Bcp moins dépendant de ta connexion Internet, avec une IP fixe et sûrement une meilleure réputation que les IP grand public.

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Trop compliqué

      Posté par  . Évalué à 1. Dernière modification le 14/10/20 à 12:37.

      Le but de l'opération étant d'auto-héberger mon serveur mail, je n'ai pas vraiment envie de louer un serveur externe.
      En revanche, je trouve les FAI associatifs intéressants mais il n'y en a pas là où je me situe et je suis également plutôt nomade ;(
      Je pense me tourner vers OVH.

      • [^] # Re: Trop compliqué

        Posté par  . Évalué à 4. Dernière modification le 14/10/20 à 14:14.

        Le but de l'opération étant d'auto-héberger mon serveur mail

        Perso je ne pense pas que "auto-héberger" veuille dire "utiliser mon FAI grand public pour tout faire" mais plutôt "maîtriser mes services le plus possible". Quand tu loues une VM pour y mettre un serveur e-mail, tu auto-héberges tout de même. Que ce soit chez OVH (VM) ou chez Orange (ta ligne perso), c'est pareil : tu es bien obligé de passer par un FAI amendoné.

        Mettre un VM chez OVH (ou autre) te permet en plus d'être indépendant pour ton fournisseur perso, à la fois dans le sens que si tu préfères le service Orange, tant pis pour l'IP variable, tu peux rester chez Orange, mais aussi dans le sens où si tu changes de FAI perso un jour, tu n'auras rien à faire côté hébergement e-mail, la continuité de service sera assurée.

        Ça fait belle lurette que dans mon budget connexion Internet j'y ai intégré une location, que je considère dans mon infra tout comme le réseau local de la maison. D'ailleurs avec un VPN entre les deux, c'est presque le cas physiquement :)

        Pour les hébergeurs associatifs, aucun pas de soucis avec le nomadisme : ils ont leur salle de serveurs, et fonctionnent exactement comme un hébergeur commercial. En tous cas c'est le cas de Tetaneutral par exemple (région Toulousaine mais c'est un détail).

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

        • [^] # Re: Trop compliqué

          Posté par  . Évalué à 2.

          Pour détailler un peu, je préfère héberger mon serveur chez moi pour 2 raisons :
          - Parce que c'est amusant de devoir gérer le hardware
          - Parce que j'ai davantage confiance en une machine hébergée chez moi (dans une certaine limite)

          Concernant les FAI alternatifs, je me suis dit qu’étant localisés dans des zones géographiques précises et s'agissant d'associations, il est préférable de s'investir un peu dans leur vie associative et ne pas simplement avoir un comportement de consommateur passif, chose un peu difficile avec le nomadisme (mais je me trompe peut-être).
          Un autre problème est qu'il me faudra acheter un modem/routeur car ils ne fournissent pas de box.
          Cela ne me dérange pas particulièrement d'avoir à configurer l'ensemble mais il faut tout de même l'acheter et je suis particulièrement pingre ;)
          Donc j'y songe effectivement mais ce n'est pas pour tout de suite.

          • [^] # Re: Trop compliqué

            Posté par  . Évalué à 4. Dernière modification le 15/10/20 à 08:08.

            Un autre problème est qu'il me faudra acheter un modem/routeur

            Je ne te parle pas de la partie FAI mais de la partie hébergeur de ces associations. Tu payes une cotisation, tu as une VM, tu y mets ton serveur email, point.

            Mais j'ai compris que c'est pas le but recherché. Tu vas donc bien devoir envisager de changer de FAI pour choper une IP fixe, mais même avec ça tu risques d'avoir des soucis à être considéré comme SPAM, bcp de récepteurs partant du principe qu'un email envoyé depuis une IP grand public st le fruit d'un ordinateur zombie.

            En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

            • [^] # Re: Trop compliqué

              Posté par  . Évalué à 1. Dernière modification le 15/10/20 à 13:45.

              Désolé, je t'ai peut-être lu un peu vite. Effectivement ce n'est pas ce que je recherche.
              Concernant le changement de FAI, si je passe par un opérateur moins connu, comme ovh (je ne savais même pas qu'ils fournissaient ce genre de services), je suppose qu'il y a moins de chances que mon IP figure dans une liste ?
              La seule liste de blocage utilisée dans mes tests qui contient mon IP (lien) semble effectivement contenir des IP fixes.
              En bref, si je ne souhaite pas héberger mon serveur chez un tiers, il me faut un opérateur inconnu ou, comme cela m'est suggéré plus haut, un tunnel vers un endroit qui propose des IP fixes non bloquées.

              • [^] # Re: Trop compliqué

                Posté par  . Évalué à 5.

                je suppose qu'il y a moins de chances que mon IP figure dans une liste ?

                pas dit non plus :(

                j'ai été chez eux, j'avais une IP anciennement Russe (OVH avait racheté un pool d'IP) ça a été assez galère pour le simple web (style site Orange qui te refuse par exemple) alors j'imagine même pas en hébergeant un serveur email…

                En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

                • [^] # Re: Trop compliqué

                  Posté par  . Évalué à 1.

                  C'est peut-être possible de demander à OVH de changer mon adresse IP si celle-ci est blacklistée ?
                  Sinon il reste toujours la possibilité de montrer patte blanche auprès des entités qui construisent les listes car il y a, semble-t-il, des procédures de suppression d'IP.

                  • [^] # Re: Trop compliqué

                    Posté par  . Évalué à 4.

                    montrer patte blanche auprès des entités qui construisent les listes

                    ça c'est possible et même pas très compliqué

                    le soucis c'est que les hébergeurs chiants (hotmail par exemple) n'utilisent pas ces entités mais leurs propres règles. et ils sont injoignables. même OVH galérait souvent, alors en tant que particulier… tu vas pleurer.

                    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

                    • [^] # Re: Trop compliqué

                      Posté par  . Évalué à 1. Dernière modification le 16/10/20 à 16:32.

                      J'ai justement tenté d'envoyer un message à une adresse hotmail et il n'est jamais arrivé (même pas en spam).
                      Sinon, il y a le tunnel vpn vers un opérateur propre (comme fdn) et sans doute pas blacklisté (car ils ont peut-être trouvé un moyen de contacter ces hébergeurs)…
                      Je vais tout tester et, avec un peu de chance, je finirai par avoir une adresse IP qui parvient à passer le videur à l'entrée de la boîte.

  • # Sursis

    Posté par  . Évalué à 3.

    Idéalement, c'est certain, il te faudrait une IP fixe.
    Mais en attendant, si tu utilises DynDNS, tu vas toujours être vu comme un client de fournisseur d'accès.
    Un moyen d'apparaître (plus) légitime serait de passer par le smtp de ton fournisseur d'accès.

    Pour un postfix et chez Free, dans /etc/postfix/main.cf, ça serait relayhost = smtp.free.fr

    Remarque, c'est valable même en IP fixe. Le soucis, ce sont les adresses listées comme appartenant à un FAI, qu'elles soient fixes ou pas.

    Encore mieux : prend toi un domaine. C'est ce que j'ai fait récemment. J'ai regretté tout suite … de ne pas l'avoir fait plusieurs années auparavant !
    Ceci dit, assure toi de pouvoir utiliser un ddclient ou un équivalent avec le service auquel tu souscris : ce ne sera plus chez DynDNS mais chez OVH, Gandi ou autre que tu devrais mettre à jour ton IP.

    • [^] # Re: Sursis

      Posté par  . Évalué à 1. Dernière modification le 14/10/20 à 13:34.

      J'ai déjà connaissance de la possibilité de pouvoir passer par le smtp de mon FAI mais ça ne m'intéresse pas vraiment (je veux être le plus autonome possible).
      Utiliser le domaine offert par mon fournisseur de dyndns (ce qui n'est pas le cas, j'en ai déjà loué un) ne fait perdre que 0.3 à mon spam score, contrairement à l'adresse ip dynamique de mon FAI (-3.5 points).
      J'ai donc la configuration suivante:
      mon registre -> dns de mon fournisseur dyndns -> mon ip dynamique (mise à jour par ddclient)

  • # mail-tester est-il crédible ?

    Posté par  (site Web personnel) . Évalué à 2.

    Je ne suis pas certain qu'utiliser mail-tester.com soit judicieux car :
    - la note dépend beaucoup du contenu du mail lui-même, donc rien à voir avec la config du serveur.
    - ils utilisent sorbs.net (blacklist) qui n'est clairement pas un "bon" choix (pour rester poli). J'ai déjà vu beaucoup de commentaires très négatifs (voire les accuser d'être des mafieux) et je peux confirmer que c'est du n'importe quoi : l'ip de mon serveur a été blacklistée pour spam en 2011, sans posibilité de le délister, et alors que cette IP a changé de propriétaire, peut-être même plusieurs fois depuis.
    Mais un blacklistage sur sorbs ne semble pas du tout être gênant dans la pratique, vu que, pour autant que je sache, je n'ai aucun problème pour délivrer les mails au monde entier. Est-ce une preuve que quasiment plus personne n'utilise sorbs ? J'espère.

    Il n'est pas vraiment "probable" que des mails attérissent chez quelqu'un autre quand tu changes d'IP, dans l'intervalle où les dns se mettent à jour. Les adresses résidentielles avec un serveur SMTP actif doivent être très rares, et les logiciels de serveur smtp par défaut n'accepteront pas les mails donc le destinataire n'est pas dans la liste des domaines gérés par lui. Donc sauf à tomber sur une machine dont le gars souhaite volontairement récupérer ce genre de mails en transit (et avoir les connaissances suffisantes pour le faire), ça n'arrivera pas. En général on s'arrange pour ne pas recevoir plus de mails que nécessaire.

    • [^] # Re: mail-tester est-il crédible ?

      Posté par  . Évalué à 1. Dernière modification le 16/10/20 à 14:52.

      Ce n'est pas le seul service que j'ai utilisé pour évaluer mon spam score mais c'est bon à savoir.
      Concernant la possibilité pour mes mails de terminer sur un autre serveur, je pensais effectivement à une interception volontaire et plutôt malveillante. Même si j'ai exagéré en déclarant la chose "probable", cette possibilité me montre clairement qu'utiliser une IP dynamique est une mauvaise idée.

      • [^] # Re: mail-tester est-il crédible ?

        Posté par  (site Web personnel) . Évalué à 2.

        Tu as utilisé quels autres services ? Ca peut (me) servir d'en connaître quelques-uns.

        Des gars qui espèrent récupérer quelque chose d'utilisable par ce genre de biais, ça ne doit pas courir les rues : trop d'énergie dépensée pour un retour sur investissement quasi-nul. Il n'y a vraiment pas de quoi s'inquiéter.

        • [^] # Re: mail-tester est-il crédible ?

          Posté par  . Évalué à 1.

          Je me doute que ce n'est pas courant mais je suis un peu parano et je souhaite sécuriser le plus possible mon serveur mail.
          Et puis mes mails peuvent tout simplement se perdre dans l'intervalle de notification du changement d'IP, non ?
          Par exemple, mon ddclient vérifie les modifications d'IPs toutes les 5 minutes (il est possible de diminuer cette valeur mais c'est déconseillé), si le changement survient juste après la dernière vérification, mon serveur sera injoignable pendant 5 minutes.
          Et je crois qu' il y a également des problèmes liés au cache DNS des clients qui peuvent conserver mon ancienne IP.

          Pour tester mon serveur smtp j'ai utilisé mxtoolbox qui propose de nombreux outils utiles dont un qui permet de rechercher la présence de mon IP dans des blacklists.
          Il y a également la possibilité d'envoyer un mail depuis une adresse du serveur smtp à check-auth@verifier.port25.com qui renvoie automatiquement une réponse qui permet de savoir si le mail est considéré comme spam par spamassassin et qui donne également d'autres informations intéressantes.
          Pour finir, il y a gmass, qui t'indique si tes mails sont reconnus comme spam chez google (avec différents services et protections) en les envoyant aux nombreuses adresses de test spécifiées et en cherchant ton message ou ton adresse dans la barre de recherche.

          • [^] # Re: mail-tester est-il crédible ?

            Posté par  (site Web personnel) . Évalué à 2.

            Merci pour les infos.

            Et puis mes mails peuvent tout simplement se perdre dans l'intervalle de notification du changement d'IP, non ?

            Non, le serveur qui envoie (ou relaie) le mail n'arrivant pas à joindre le serveur de destination (le tien) ou ayant affaire à un autre serveur venant de récupérer l'IP, considérera le mail comme non-envoyé et il retentera plus tard. Quand ? la RFC ne le dit pas, ça peut être 5 minutes plus tard comme deux heures ou le lendemain.
            J'ai codé un serveur SMTP de A à Z, j'ai choisi de faire en fonction du nombre de tentatives : 5 minutes après la première, 30 minutes pour la deuxième, deux heures, … et au bout d'environ 3 jours, il abandonne, l'expéditeur est averti de la non-délivrance du message. Chaque serveur smtp fait à sa sauce.

            • [^] # Re: mail-tester est-il crédible ?

              Posté par  . Évalué à 1.

              Merci, je comprend maintenant mieux le fonctionnement des serveurs smtp, mais je vais dans tous les cas être contraint de passer par une IP fixe (plus simple) non blacklistée pour que mes mails ne soient pas en spam.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.