Pourtant, de simples pr\u00e9cautions suffises pour que \u00e7a se passe relativement bien (bon sauf pour Microsoft qui a juste d\u00e9cid\u00e9 d’\u00eatre con<\/a>…). Passons-les en revue.<\/p>\n Avant d’entreprendre toute action, la premi\u00e8re chose \u00e0 faire est de faire l’\u00e9tat des lieux de votre archi de courrier sortant. Pour cela, il y a plusieurs services en ligne :<\/p>\n Le principe, vous envoyez un mail – comme \u00e0 votre habitude – \u00e0 une adresse bien connue et on vous dit comment vous \u00eates per\u00e7u. (Juste niveau spam hein, pour le look faut voir ailleurs).<\/p>\n Bon, je vous avoue j’ai mon petit pr\u00e9f\u00e9r\u00e9<\/a>. Leur batterie de test est plut\u00f4t compl\u00e8te et ils vont m\u00eame jusqu’\u00e0 donner l’URL des r\u00e9sultats via un bounce<\/em><\/a>. Cela permettra aussi de valider la configuration de votre serveur mail et que ceux-ci arrivent bien dans votre boite mail. Premi\u00e8re chose \u00e0 faire, donc, envoyer un mail \u00e0 l’adresse indiqu\u00e9e et attendre patiemment. En effet, la premi\u00e8re chose test\u00e9e est le respect de leur politique de greylisting<\/a> :<\/p>\n Il faut donc que votre serveur attende quelques minutes avant de retenter un nouvel envoi de mail.<\/p>\n Quelques minutes plus tard…<\/p>\n Le mail part et… se fait envoyer bouler du serveur. Tout est nominal ! C’est le comportement voulu, le message d’erreur comporte un lien avec le r\u00e9sultat de l’analyse de votre syst\u00e8me de courrier sortant. Th\u00e9oriquement vous devriez avoir un rapport de \u00ab\u00a0bounce\u00a0\u00bb dans votre boite mail.<\/p>\n Allons voir le d\u00e9tail de ce rapport…<\/p>\n Premier truc, le serveur distant va la plupart du temps faire une r\u00e9solution d’adresse inverse (IP > Nom). Vous devez avoir une r\u00e9solution inverse fonctionnelle !<\/p>\n Et non il ne manque pas un L :)<\/p>\n C’est la premi\u00e8re chose \u00e0 dire lorsqu’on se pr\u00e9sente en SMTP \u00e0 un autre serveur. Faut dire bonjour. Et quant \u00e0 faire, autant se pr\u00e9senter correctement.<\/p>\n Ici votre serveur devrait se pr\u00e9senter selon un nom de domaine r\u00e9solvable et si possible correspondant au domaine obtenu plus haut par r\u00e9solution inverse. L\u00e0 c’est la classe, vous marquez des points (non vraiment pour de vrai<\/a>).<\/p>\n Il existe tout un tas de blacklist disponible gratuitement, priv\u00e9es ou sur abonnement. Ici tout d\u00e9pend de ce que vous avez en face. Le mieux c’est de v\u00e9rifier aussi par vous-m\u00eame. N’oubliez pas de tester les domaines port\u00e9s par votre serveur mail ainsi que vos IP de sortie !\u00a0<\/a><\/p>\n La plupart du temps il n’y a pas de raison que votre domaine soit blacklist\u00e9 \u00e0 moins d’avoir :<\/p>\n Pour l’IP c’est un peu plus fourbe… Si vous \u00eates derri\u00e8re de l’ADSL, n’y pensez m\u00eame pas vous \u00eates blacklist\u00e9 et il n’y aura rien \u00e0 faire. \u00c7a ne vous emp\u00eachera pas d’envoyer des mails (si votre FAI le permet).<\/p>\n Il peut aussi arriver qu’un ou plusieurs voisins de votre plage d’IP envoient du spam et certains \u00e9diteurs de blacklist d\u00e9cident de bannir en totalit\u00e9 la plage d’IP associ\u00e9e.<\/p>\n La plupart des \u00e9diteurs poss\u00e8dent un formulaire de contact afin de demander d’\u00eatre retir\u00e9 de leur liste. De mon c\u00f4t\u00e9, j’ai toujours eu un retour positif de leur part (apr\u00e8s avoir montr\u00e9 patte blanche bien s\u00fbr).<\/p>\n Une fois votre courrier sortant bien configur\u00e9, c’est la seule partie qui rester \u00e0 surveiller de temps en temps et qui vous demandera parfois un peu de fil \u00e0 retordre. Rien de bien m\u00e9chant cependant c’est juste un peu d’administratif :)<\/p>\n \u00c7a on ne les pr\u00e9sente plus… Ils sont obligatoires <\/strong>(vraiment). <\/strong><\/em>Le SPF c’est un record \u00e0 publier dans son DNS, \u00e7a ne co\u00fbte rien \u00e0 faire et il y a des tutos partout sur le net pour le mettre en place.<\/p>\n Le DKIM c’est un poil plus compliqu\u00e9, un record DNS + conf de votre serveur mail pour signer tous les mails sortant. Encore une fois : un petit tuto et on n’en parle plus. Une fois que c’est en place \u00e7a j-u-s-t-e marche.<\/p>\n Inutile de pr\u00e9ciser que le test doit \u00eatre positif.<\/p>\n \u00c7a c’est plus vicieux. J’imagine que vous n’allez pas envoyer des liens \u00e0 vos proches pour une augmentation de taille de chibre ! Par contre, certains Header SMTP peuvent faire tiquer l’antispam qui pourrait consid\u00e9rer le mail comme du Spam (d\u00e9j\u00e0 qu’il est sur la d\u00e9fensive…).<\/p>\n De mon c\u00f4t\u00e9, j’ai mis en place une politique de nettoyage des headers des mails sortant pour \u00e9viter toutes fuites d’info non souhait\u00e9es et \u00e9viter que l’antispam distant me fasse un caca nerveux !<\/p>\n Petite contrainte avec le DKIM cependant : postfix doit nettoyer les headers avant la transmission au processus de signature DKIM. En effet, la signature DKIM se base sur tout le contenu du mail. Si vous alt\u00e9rez le contenu (suppression des headers) apr\u00e8s la signature, celle-ci ne sera plus valide.<\/p>\n Idem pour le courrier entrant, le plus simple \u00e9tant de ne pas y toucher.<\/p>\n Il faut donc appliquer notre politique de nettoyage qu’aux courriers sortant uniquement.<\/p>\n Bonne nouvelle postfix sait faire \u00e7a. Rendez-vous dans le fichier master.cf<\/em> et localiser la ligne submission<\/em> (qui correspond au service SMTP des courriers sortant) :<\/p>\n On va lui rajouter un petit service de \u00ab\u00a0cleanup\u00a0\u00bb :<\/p>\n Chez moi c’est Amavis qui s’occupe de la signature DKIM c’est donc le dernier service appeler avant l’envoi effectif du mail.<\/p>\n Tout en bas du fichier rajouter les lignes suivantes :<\/p>\n On demande donc au service d’aller faire le m\u00e9nache<\/em> dans les headers.<\/p>\n Mais PoGo que contient ce fichier headers_cleanup.pcre ?<\/p>\n Les header Received<\/em> r\u00e9v\u00e8lent tout le parcours du mail avant d’arriver \u00e0 votre serveur de mail sortant. Ils indiquent notamment IP\/Nom de domaines internes par lesquels le courrier aura transit\u00e9 avant d’\u00eatre jet\u00e9 dans les Internet. C’est justement \u00e7a qui peut titiller certains antispam \u00e0 cheval sur les r\u00e8gles (note pour plus tard, ins\u00e9rer ici un jeu de mot selon l’inspiration du moment…)<\/em>.<\/p>\n X-Originating-IP, s’il est support\u00e9 par votre client mail (ou webmail) peut r\u00e9v\u00e9ler votre IP publique utilis\u00e9e par votre client lors de l’envoi de votre mail.<\/p>\n Le nettoyage des autres headers permettent d’\u00e9viter la <\/em>divulgation d’information non pertinentes.<\/p>\n Faites en sorte d’avoir le rapport le plus clean possible car une fois tous ces points v\u00e9rifi\u00e9s, tout devrait bien se passer.<\/p>\n N’h\u00e9sitez pas \u00e0 relancer le test tous les 2\/3 mois.<\/p>\n","protected":false},"excerpt":{"rendered":" \u00c7a fait quelques temps que je vois sur les internets des gens qui jettent l’\u00e9ponge apr\u00e8s s’\u00eatre lanc\u00e9 dans l’aventure de h\u00e9bergement de leur mails. La raison : devoir sans cesse se justifier aupr\u00e8s – entres autres – des GAFAM. Car malheureusement la pr\u00e9somption d\u2019innocence n’existe pas dans ce milieu. Vous serez jug\u00e9 (ou au … Continuer la lecture de H\u00e9bergement mail et pr\u00e9somption d’innocence<\/span> \u00c9tat des lieux<\/h2>\n
\n
\nNormalement si votre serveur mail se fait envoyer bouler d\u00e9finitivement par un autre, celui-ci devrait, tout vex\u00e9 qu’il est, vous g\u00e9n\u00e9rer un rapport de non d\u00e9livrance et le fourrer dans votre Inbox<\/em>. Chose plut\u00f4t utile, car au moins vous serez au courant qu’un mail envoy\u00e9 n’a jamais atteint sa destination finale.<\/p>\nTestons<\/h3>\n
2017-02-02T14:11:57+01:00 thyburce postfix\/smtp[22445]: 9B0A6C01E7: to=<test@allaboutspam.com>, relay=mx.allaboutspam.com[96.126.107.60]:25, delay=5.9, delays=0.02\/0.01\/0.3\/5.5, dsn=4.0.0, status=deferred (host mx.allaboutspam.com[96.126.107.60] said: 452 Greylisted. Please try again after some time<\/strong>. (in reply to end of DATA command))<\/pre>\n
2017-02-02T14:18:26+01:00 thyburce postfix\/smtp[23008]: 9B0A6C01E7: to=<test@allaboutspam.com>, relay=mx.allaboutspam.com[96.126.107.60]:25, delay=395, delays=389\/0.01\/0.32\/5.6, dsn=5.0.0, status=bounced (host mx.allaboutspam.com[96.126.107.60] said: 552-Thanks for using ALLABOUTSPAM.COM Email server test. Your test results are 552 available at http:\/\/www.allaboutspam.com\/email-server-test-report\/?key=D979EE770E39318B6D5A9AC11561364E (in reply to end of DATA command))<\/pre>\n
Le Reverse DNS<\/h3>\n
Le HELO<\/b><\/h3>\n
Les Blacklist<\/h3>\n
\n
Le SPF & DKIM<\/h3>\n
URIBL (Realtime URI Blacklist)<\/b><\/h3>\n
submission inet n - n - - smtpd\r\n -o smtpd_tls_security_level=encrypt\r\n -o smtpd_sasl_auth_enable=yes\r\n -o smtpd_client_restrictions=permit_sasl_authenticated,reject\r\n -o cleanup_service_name=subcleanup\r\n -o content_filter=smtp-amavis:[127.0.0.1]:10026<\/pre>\n
subcleanup unix n - - - 0 cleanup\r\n -o header_checks=pcre:\/etc\/postfix\/headers_cleanup.pcre<\/pre>\n
![\"I'M](\"https:\/\/i.imgflip.com\/1iu790.jpg\")
<\/p>\n\/^Received:\/ IGNORE\r\n\/^X-Originating-IP:\/ IGNORE\r\n\/^X-Mailer:\/ IGNORE\r\n\/^Mime-Version:\/ IGNORE\r\n\/^Message-Id:\/ IGNORE<\/pre>\n
En conclusion<\/h2>\n