Questions sur Exim4 avec un SMTP Orange

[Olivier]

Bonjour,

J'ai un système (sous Squeeze) qui émet quelques courriels.

Il utilise exim4 et un compte GMail pour ses envois et l'ensemble fonctionne sans histoire.

Depuis peu, j'ai une nouvelle exigence: je dois émettre certains mails avec une adresse d'émisssion précise (exemple: con...@exemple.fr et non plus foo...@gmail.com).

Grâce à cette liste, j'ai pu trouver le moyen pour configurer l'adresse d'émission: le pb est que mon compte GMail n'accepte pas une autre adresse d'émission que la sienne.

Pour contourner cette limitation, j'envisage d'utiliser les paramètres SMTP fournis avec le lien ADSL Orange du site d'installation de mon système.

Je rencontre des difficultés pour émettre avec ces paramètres SMTP Orange et j'apprécierai beaucoup une aide sur le sujet.

Voici comment j'ai procédé:

1. J'ai testé unitairement les paramètres SMTP en suivant la procédure décrite ici [1].

Je me suis connecté avec:

telnet smtp.orange.fr 587

Après la commande AUTH LOGIN et l'envoi du login et du mot de passe en base64, j'ai la réponse suivante du serveur:
235 2.7.0 ... authentication succeeded

J'en déduis que mes paramètres d'authentification sont corrects mais j'ai un doute sur les paramètres de connexion car je lis ici ou là des références aux ports 25 ou 465.

Quels paramètres de connexion doit-on privilégier ?

2. Je poursuis pour ensuite arriver à émettre mais il n'y a pas d'émetteur dans le mail reçu malgré la commande

MAIL FROM: <b...@foo.com>               
250 2.1.0 <b...@foo.com> sender ok

Avez-vous une suggestion pour valoriser en telnet avec le SMTP d'Orange l'adresse d'émission ?

3. Je reviens maintenant à mailx et exim4.

Je configure ceux-ci du mieux possible et je lance un envoi avec mailx et l'option -v.

J'observe alors à l'écran:
  SMTP<< 550 5.1.0 Authentification requise. Authentication Required. OFR102_402 [402]

Avant cette ligne, j'observe que mailx/exim4 n'émet aucune commande AUTH LOGIN préalable, analogue à celle que j'envoie avec telnet.

Ma question est: comment dois-je spécifier à exim4/mailx d'envoyer un AUTH LOGIN ?

J'ai ceci dans /etc/exim4/pass.client:
smtp.orange.fr:monc...@orange.fr:monmotdpasse

Dans update-exim4.conf.conf, j'ai:
dc_smarthost='smtp.orange.fr::587'

Slts

[1] http://www.linuxjournal.com/content/troubleshooting-telnet

[Guillaume]

Bonjour,

Désolé je ne peux pas t'aider à propos d'Exim4,

mais il me sembe qu'Orange utilise la même protection.

-- 
Guillaume

[Olivier]

Le 15 mai 2015 16:42, Guillaume <list-...@gwilhom.fr> a écrit :

Bonjour,

Désolé je ne peux pas t'aider à propos d'Exim4,

mais il me sembe qu'Orange utilise la même protection.

Tu veux dire qu'on ne peux qu'émettre avec l'adresse d'émission fournie par Orange ?

[Guillaume]

Oui c'est ça, a vérifier quand même.

-- 
Guillaume

[SD76]

Bonjour,

Pourquoi ne pas laisser exim4 envoyé lui même l'email?

Il faut cependant ajouter l'IP publique que vous utilisez dans le champs SPF du domaine concerné afin de ne pas passer en spam.

[Olivier]

Le 15 mai 2015 17:59, SD76 <sd76....@gmail.com> a écrit :

Bonjour,

Pourquoi ne pas laisser exim4 envoyé lui même l'email?

Je ne suis pas sûr de comprendre la remarque.

Si tu fais référence à l'utilisation de telnet, il s'agit bien sûr d'une utilisation temporaire n'ayant pour but que de valider certains paramètres.

En utilisation courante, les scripts utilisent mailx-heirloom qui s'appuie sur exim.

 

Il faut cependant ajouter l'IP publique que vous utilisez dans le champs SPF du domaine concerné afin de ne pas passer en spam.

Peux-tu préciser ?

[Guillaume]

Non,  je penses qu'il voulais dire que:
Exim4 se charge seul de livrer le mail au destinataire,
sans passer par un serveur SMTP tiers (celui d'Orange dans ton cas).

-- 
Guillaume

[Christophe]

Hello,

Le 15/05/2015 17:25, Guillaume a écrit :
> Oui c'est ça, a vérifier quand même.
>
> Le 15/05/2015 17:08, Olivier a écrit :
>>
>> Tu veux dire qu'on ne peux qu'émettre avec l'adresse d'émission
>> fournie par Orange ?
>>
>

Pour l'avoir fait chez un client il y a peu, il y a d'autres problèmes
(nombre d'envois simultanés par ex), mais il n'y a pas de restriction de
ce type. Il me semble par contre que l'authentification par compte/mot
de passe valide chez orange est obligatoire dans ce cas.

Par contre , je ne connais pas du tout exim ...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-f...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org
Archive: https://lists.debian.org/55562DCE...@stuxnet.org

[nicolas...@gmail.com]

Le 15/05/2015 17:08:43, Olivier a écrit :

> Tu veux dire qu'on ne peux qu'émettre avec l'adresse d'émission
> fournie par Orange ?

Non, tu peux utiliser d’autres adresses (encore heureux pour moi).
Il faut entrer le nom d’utilisateur d’Orange et la phrase de passe
donnés.

nicolas patrois : pts noir asocial
--
RÉALISME

M : Qu'est-ce qu'il nous faudrait pour qu'on nous considère comme des
humains ? Un cerveau plus gros ?
P : Non... Une carte bleue suffirait...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-f...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org

Archive: https://lists.debian.org/143171158...@new-host-2.home

[Christophe]

Hello,

Le 15/05/2015 17:59, SD76 a écrit :
> Bonjour,
>
> Pourquoi ne pas laisser exim4 envoyé lui même l'email?
> Il faut cependant ajouter l'IP publique que vous utilisez dans le champs
> SPF du domaine concerné afin de ne pas passer en spam.
>

A moins que ca ait changé, ce dont je doute, ce n'est pas possible chez
Orange (Offres residentielles et pro) : port 25 bloqué en sortie (et
blocage non désactivable).

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-f...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org

Archive: https://lists.debian.org/55562E...@stuxnet.org

[Pierre Meurisse]

On Fri, May 15, 2015 at 04:22:04PM +0200, Olivier wrote:
> Bonjour,
>
> J'ai un système (sous Squeeze) qui émet quelques courriels.
> Il utilise exim4 et un compte GMail pour ses envois et l'ensemble
> fonctionne sans histoire.
>
> Depuis peu, j'ai une nouvelle exigence: je dois émettre certains mails avec
> une adresse d'émisssion précise (exemple: con...@exemple.fr et non plus
> foo...@gmail.com).
>
> Grâce à cette liste, j'ai pu trouver le moyen pour configurer l'adresse
> d'émission: le pb est que mon compte GMail n'accepte pas une autre adresse
> d'émission que la sienne.
>
> Pour contourner cette limitation, j'envisage d'utiliser les paramètres SMTP
> fournis avec le lien ADSL Orange du site d'installation de mon système.
>
> Je rencontre des difficultés pour émettre avec ces paramètres SMTP Orange
> et j'apprécierai beaucoup une aide sur le sujet.
>

J'ai le même problème avec free.
Si je comprends bien, tes utilisateurs doivent voir comme expéditeur
con...@exemple.fr mais gmail doit voir foo...@gmail.com.

A la fin de REWRITE CONFIGURATION dans /etc/exim4.conf/exim4.conf.template :
*@machine.domaine foo...@gmail.com F
t...@machine.domaine con...@exemple.fr rsf

éventuellement, pour un autre utilisateur :
au...@machine.domaine autrec...@autrexemple.fr rsf

et ensuite :
$ sudo update-exim4.conf

Pour vérifier :

$ sudo exim4 -brw toi




Hope this helps.





--
Pierre Meurisse

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-f...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org

Archive: https://lists.debian.org/2015051603...@asusjessie.bureau.maison

[Alain Rpnpif]

Le 15 mai 2015, nicolas...@gmail.com a écrit :

> Le 15/05/2015 17:08:43, Olivier a écrit :
>
> > Tu veux dire qu'on ne peux qu'émettre avec l'adresse d'émission
> > fournie par Orange ?
>
> Non, tu peux utiliser d’autres adresses (encore heureux pour moi).
> Il faut entrer le nom d’utilisateur d’Orange et la phrase de passe
> donnés.

Bonjour,

Oui, il est parfaitement possible d'envoyer un message par Orange avec
un nom d'utilisateur différent de celui du compte Orange de connexion.

L'authentification chez Orange est à la fois une garantie anti
départ de spam et un flicage.

Le problème se situe à la fois chez l'expéditeur Orange et chez certains
serveurs destinataires.

Chez Orange, on peut utiliser l'authentification dure qui met le nom du
compte de connexion dans les en-têtes des messages. Cela peut
être gênant quand on accueille des invités ou que l'on utilise des
adresses courriel "poubelles" afin d'éviter le spam par exemple.
Une façon de faire qui devrait être évitée dans les PME à mon avis.
Les réglages sont relativement faciles pour Postfix avec
smtpauth.orange.fr:587 en relais. Le mot de passe du compte Orange doit
être déclaré dans un fichier à part. Sans doute c'est aussi possible
avec Exim.

On peut aussi utiliser une authentification plus "douce". Seule
l'adresse IP d'origine sera incluse dans les en-têtes des messages
avec smtp.orange.fr en relais.
Tout est expliqué dans l'assistance d'Orange.

Les problèmes de connexion peuvent aussi se confondre avec un refus du
serveur destinataire qui fait une vérification SPF
(http://fr.wikipedia.org/wiki/Sender_Policy_Framework). Ne trouvant
évidemment pas le destinataire tartemp...@free.fr par exemple chez
Orange, il refuse le message. Ce destinataire vérifie l'existence
réelle de l'expéditeur auprès du serveur expéditeur. C'est par exemple
le cas quand on utilise une adresse d'expéditeur chez laposte.net.
De plus certains de ces serveurs destinataires me semblent bogués ou
excessivement sévères. La solution se trouve au niveau de l'enveloppe
du message envoyé.

Par exemple sous claws-mail, on peut envoyer les messages au serveur
Postfix par la commande externe de Postfix
/usr/sbin/sendmail -t -i -f mon_adresse_...@orange.fr
Je n'ai pas essayé sous Exim.

En résumé, ce n'est pas si simple que ça mais faisable.

--
Alain Rpnpif

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-f...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org

Archive: https://lists.debian.org/2015051708503...@chro.home

[Philippe Gras]

Le 17 mai 2015 à 10:50, Alain Rpnpif <rpn...@free.fr> a écrit :

Le 15 mai 2015, nicolas...@gmail.com a écrit :

Le 15/05/2015 17:08:43, Olivier a écrit :

Tu veux dire qu'on ne peux qu'émettre avec l'adresse d'émission
fournie par Orange ?

Non, tu peux utiliser d’autres adresses (encore heureux pour moi).
Il faut entrer le nom d’utilisateur d’Orange et la phrase de passe
donnés.

Bonjour,

Oui, il est parfaitement possible d'envoyer un message par Orange avec
un nom d'utilisateur différent de celui du compte Orange de connexion.

Oui, mais…

L'authentification chez Orange est à la fois une garantie anti

départ de spam et un flocage.

Pas sûr :-D

Le problème se situe à la fois chez l'expéditeur Orange et chez certains
serveurs destinataires.

Chez Orange, on peut utiliser l'authentification dure qui met le nom du
compte de connexion dans les en-têtes des messages. Cela peut
être gênant quand on accueille des invités ou que l'on utilise des
adresses courriel "poubelles" afin d'éviter le spam par exemple.
Une façon de faire qui devrait être évitée dans les PME à mon avis.
Les réglages sont relativement faciles pour Postfix avec
smtpauth.orange.fr:587 en relais. Le mot de passe du compte Orange doit
être déclaré dans un fichier à part. Sans doute c'est aussi possible
avec Exim.

Je crois que c’est ce que je fais, mais avec smtp.orange.fr et je l’utilise juste

pour faire partir mon courrier, que ce soit celui de truc...@organge.fr ou

celui de mes domaines con...@pleindenomsacoucherdehorsdifferents.tld

Par contre, je n’ai jamais réussi à faire partir ces derniers courriers autrement

que par France Télécom depuis mon client mail.

Je n’ai jamais réussi à faire partir un mail d’un de ces domaines sur le serveur

mail de ce domaine.

On peut aussi utiliser une authentification plus "douce". Seule
l'adresse IP d'origine sera incluse dans les en-têtes des messages
avec smtp.orange.fr en relais.
Tout est expliqué dans l'assistance d'Orange.

Les problèmes de connexion peuvent aussi se confondre avec un refus du
serveur destinataire qui fait une vérification SPF
(http://fr.wikipedia.org/wiki/Sender_Policy_Framework). Ne trouvant
évidemment pas le destinataire tartemp...@free.fr par exemple chez
Orange, il refuse le message. Ce destinataire vérifie l'existence
réelle de l'expéditeur auprès du serveur expéditeur. C'est par exemple
le cas quand on utilise une adresse d'expéditeur chez laposte.net.
De plus certains de ces serveurs destinataires me semblent bogués ou
excessivement sévères. La solution se trouve au niveau de l'enveloppe
du message envoyé.

Je crois que SPF, ce n’est pas tout à fait ça. D’ailleurs orange n’a pas de champ

texte pour le SPF dans ses DNS.

L’authentification SPF si je m’en réfère à ma science toute neuve, c’est quand on

reçois un mail de tartemp...@free.fr, il est bien passé par chez le serveur du

propriétaire de free.fr ET/OU l’IP OU la plage IP de se(s) serveur(s) :

$ host -t TXT pole-emploi.fr

pole-emploi.fr descriptive text "v=spf1 include:spf-a.pole-emploi.fr include:spf-b.pole-emploi.fr ?all »

$ host -t TXT gmail.com

gmail.com descriptive text "v=spf1 redirect=_spf.google.com"

$ host -t TXT orange.fr

orange.fr descriptive text "google-site-verification=c4OfrczLMSJm4DyV_ROkN-H3IoVB-up0QI0FfErDj2Y"

$ host -t TXT free.fr

free.fr has no TXT record

$ host -t TXT debian.org

debian.org has no TXT record

$ host -t TXT lists.debian.org

lists.debian.org has no TXT record

Je voulais vous montrer comment c’est chez moi, j’ai l’impression d’avoir oublié 1 truc :-(

Là dans mes exemples, seuls pole-emploi.fr et gmail.com utilisent l’authentification SPF.

[Alain Rpnpif]

Le 17 mai 2015, Philippe Gras a écrit :

>
> Le 17 mai 2015 à 10:50, Alain Rpnpif <rpn...@free.fr> a écrit :
>
> > Le 15 mai 2015, nicolas...@gmail.com a écrit :
> >
> >> Le 15/05/2015 17:08:43, Olivier a écrit :
> >>
> >>> Tu veux dire qu'on ne peux qu'émettre avec l'adresse d'émission
> >>> fournie par Orange ?
> >>
> >> Non, tu peux utiliser d’autres adresses (encore heureux pour moi).
> >> Il faut entrer le nom d’utilisateur d’Orange et la phrase de passe
> >> donnés.
> >
> > Bonjour,
> >
> > Oui, il est parfaitement possible d'envoyer un message par Orange avec
> > un nom d'utilisateur différent de celui du compte Orange de connexion.
>
> Oui, mais…
> >
> > L'authentification chez Orange est à la fois une garantie anti
> > départ de spam et un flocage.
>
> Pas sûr :-D

La soi-disant garantie anti-spam est pour Orange pas pour
l'utilisateur. Pas de flocage mais du flicage. :/

> > Le problème se situe à la fois chez l'expéditeur Orange et chez certains
> > serveurs destinataires.

> Par contre, je n’ai jamais réussi à faire partir ces derniers courriers autrement
> que par France Télécom depuis mon client mail.
>

> ...

> Je crois que SPF, ce n’est pas tout à fait ça. D’ailleurs orange n’a pas de champ
> texte pour le SPF dans ses DNS.
>
> L’authentification SPF si je m’en réfère à ma science toute neuve, c’est quand on
> reçois un mail de tartemp...@free.fr, il est bien passé par chez le serveur du
> propriétaire de free.fr ET/OU l’IP OU la plage IP de se(s) serveur(s) :
>
> $ host -t TXT pole-emploi.fr
> pole-emploi.fr descriptive text "v=spf1 include:spf-a.pole-emploi.fr include:spf-b.pole-emploi.fr ?all »
> $ host -t TXT gmail.com
> gmail.com descriptive text "v=spf1 redirect=_spf.google.com"
> $ host -t TXT orange.fr
> orange.fr descriptive text "google-site-verification=c4OfrczLMSJm4DyV_ROkN-H3IoVB-up0QI0FfErDj2Y"
> $ host -t TXT free.fr
> free.fr has no TXT record
> $ host -t TXT debian.org
> debian.org has no TXT record
> $ host -t TXT lists.debian.org
> lists.debian.org has no TXT record
>
> Je voulais vous montrer comment c’est chez moi, j’ai l’impression d’avoir oublié 1 truc :-(
>
> Là dans mes exemples, seuls pole-emploi.fr et gmail.com utilisent l’authentification SPF.

Comme je disais, tous les serveurs SMTP ne sont pas concernés.

D'Olivier :

> J'observe alors à l'écran:
> SMTP<< 550 5.1.0 Authentification requise. Authentication Required.
> OFR102_402 [402]

Je confirme que le problème vient bien de SPF. La solution de changer
automatiquement ou manuellement l'adresse de l'enveloppe des messages
marche bien avec la méthode que j'ai indiquée. SPF est bien une
validation de l'expéditeur pas une demande de garantie que le message
est bien passé sur son serveur.

--
Alain Rpnpif

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-f...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org

Archive: https://lists.debian.org/2015051709473...@chro.home

[Philippe Gras]

Le 17 mai 2015 à 11:47, Alain Rpnpif <rpn...@free.fr> a écrit :

Le 17 mai 2015, Philippe Gras a écrit :

Le 17 mai 2015 à 10:50, Alain Rpnpif <rpn...@free.fr> a écrit :

Le 15 mai 2015, nicolas...@gmail.com a écrit :

Le 15/05/2015 17:08:43, Olivier a écrit :

Tu veux dire qu'on ne peux qu'émettre avec l'adresse d'émission
fournie par Orange ?

Non, tu peux utiliser d’autres adresses (encore heureux pour moi).
Il faut entrer le nom d’utilisateur d’Orange et la phrase de passe 
donnés.

Bonjour,

Oui, il est parfaitement possible d'envoyer un message par Orange avec
un nom d'utilisateur différent de celui du compte Orange de connexion.

Oui, mais…

L'authentification chez Orange est à la fois une garantie anti
départ de spam et un flocage.

Pas sûr :-D

La soi-disant garantie anti-spam est pour Orange pas pour
l'utilisateur. Pas de flocage mais du flicage. :/

Oui, ça me semble correct comme assertion :-)

Je voulais vous montrer comment c’est chez moi, j’ai l’impression d’avoir oublié 1 truc :-(

Là dans mes exemples, seuls pole-emploi.fr et gmail.com utilisent l’authentification SPF.

Comme je disais, tous les serveurs SMTP ne sont pas concernés.

Disons plutôt que tous les serveurs SMTP n’utilisent pas l’authentification SFP,

et/ou ne s’y soumettent pas quand bien même ils l'utiliseraient.

D'Olivier :

J'observe alors à l'écran:
 SMTP<< 550 5.1.0 Authentification requise. Authentication Required.
OFR102_402 [402]

Je confirme que le problème vient bien de SPF. La solution de changer
automatiquement ou manuellement l'adresse de l'enveloppe des messages
marche bien avec la méthode que j'ai indiquée. SPF est bien une
validation de l'expéditeur pas une demande de garantie que le message
est bien passé sur son serveur.

Je ne crois pas. Je pense au contraire qu’il faut envoyer ses login et mdp pour

que le serveur SMTP accepte de transporter le courrier, rien à voir avec SPF !

Ph. Gras

[Alain Rpnpif]

Le 17 mai 2015, Philippe Gras a écrit :

> > D'Olivier :
> >> J'observe alors à l'écran:
> >> SMTP<< 550 5.1.0 Authentification requise. Authentication Required.
> >> OFR102_402 [402]
> >
> > Je confirme que le problème vient bien de SPF. La solution de changer
> > automatiquement ou manuellement l'adresse de l'enveloppe des messages
> > marche bien avec la méthode que j'ai indiquée. SPF est bien une
> > validation de l'expéditeur pas une demande de garantie que le message
> > est bien passé sur son serveur.
>
> Je ne crois pas. Je pense au contraire qu’il faut envoyer ses login et mdp pour
> que le serveur SMTP accepte de transporter le courrier, rien à voir avec SPF !

Cela dépend d'où vient le message d'erreur.

En l'occurrence, je l'ai souvent reçu du serveur destinataire et pas
d'Orange ou bien Orange répercutait les messages du serveur SMTP
distant.

--
Alain Rpnpif

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-f...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org

Archive: https://lists.debian.org/2015051711132...@chro.home

[Philippe Gras]

Just for fun :

Le 17 mai 2015 à 11:21, Philippe Gras <ph....@worldonline.fr> a écrit :

L’authentification SPF si je m’en réfère à ma science toute neuve, c’est quand on

reçois un mail de tartemp...@free.fr, il est bien passé par chez le serveur du

propriétaire de free.fr ET/OU l’IP OU la plage IP de se(s) serveur(s) :

$ host -t TXT pole-emploi.fr

pole-emploi.fr descriptive text "v=spf1 include:spf-a.pole-emploi.fr include:spf-b.pole-emploi.fr ?all »

$ host -t TXT gmail.com

gmail.com descriptive text "v=spf1 redirect=_spf.google.com"

$ host -t TXT orange.fr

orange.fr descriptive text "google-site-verification=c4OfrczLMSJm4DyV_ROkN-H3IoVB-up0QI0FfErDj2Y"

$ host -t TXT free.fr

free.fr has no TXT record

$ host -t TXT debian.org

debian.org has no TXT record

$ host -t TXT lists.debian.org

lists.debian.org has no TXT record

Je voulais vous montrer comment c’est chez moi, j’ai l’impression d’avoir oublié 1 truc :-(

Là dans mes exemples, seuls pole-emploi.fr et gmail.com utilisent l’authentification SPF.

$ host -t TXT avoirun.com

avoirun.com descriptive text "v=spf1 a:avoirun.com ip4:5.135.191.38 ip4:82.120.0.0/13 -all"

[Christophe]

Le 17/05/2015 18:08, Philippe Gras a écrit :
> Just for fun :

>
> $ host -t TXT avoirun.com
> avoirun.com descriptive text "v=spf1 a:avoirun.com
> ip4:5.135.191.38 ip4:82.120.0.0/13 -all"
>

La vache, ça ratisse large un /13 ...

Je doute de la pertinence d'un tel enregistrement ;) .

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-f...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org

Archive: https://lists.debian.org/5558DA60...@stuxnet.org

[Philippe Gras]

Le 17 mai 2015 à 20:13, Christophe <te...@stuxnet.org> a écrit :

> Le 17/05/2015 18:08, Philippe Gras a écrit :
>> Just for fun :
>>
>> $ host -t TXT avoirun.com
>> avoirun.com descriptive text "v=spf1 a:avoirun.com
>> ip4:5.135.191.38 ip4:82.120.0.0/13 -all"
>>
>

> La vache, ça ratisse large un /13 …

C’est parce que je fais router une partie de mes mails par l’orange pressée.

>
> Je doute de la pertinence d'un tel enregistrement ;) .

Pourquoi ? C’est pas validé manuellement, (on s’en fout ?) quand même…

>
>
>
> --
> Lisez la FAQ de la liste avant de poser une question :
> http://wiki.debian.org/fr/FrenchLists
>
> Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
> vers debian-user-f...@lists.debian.org
> En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org
> Archive: https://lists.debian.org/5558DA60...@stuxnet.org
>

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-f...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org

Archive: https://lists.debian.org/684646A2-E5EB-46A0...@worldonline.fr

[Christophe]

Le 17/05/2015 20:39, Philippe Gras a écrit :
>
> Le 17 mai 2015 à 20:13, Christophe <te...@stuxnet.org> a écrit :
>
>> Le 17/05/2015 18:08, Philippe Gras a écrit :
>>> Just for fun :
>>>
>>> $ host -t TXT avoirun.com
>>> avoirun.com descriptive text "v=spf1 a:avoirun.com
>>> ip4:5.135.191.38 ip4:82.120.0.0/13 -all"
>>>
>>
>> La vache, ça ratisse large un /13 …
>
> C’est parce que je fais router une partie de mes mails par l’orange pressée.
>>
>> Je doute de la pertinence d'un tel enregistrement ;) .
>
> Pourquoi ? C’est pas validé manuellement, (on s’en fout ?) quand même…

Certes, mais cela me semble juste démesuré !

Dans le lot il y a très certainement de l'accès grand public, de l'accès
pro , et peut être de l'accès business.
Je t'accorde volontiers que les accès résidentiels et pro ne sont pas en
mesure d'envoyer du mail vu que le port 25 est bloqué ...

Mais quand même ! Dire que globalement 524000 adresses IP sont en mesure
d'envoyer du mail en provenance du dit domaine , ça me parait beaucoup.
Non ?

En terme de SPF, je pense qu'il est nécessaire faire de la chirurgie !

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-f...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org

Archive: https://lists.debian.org/5558E515...@stuxnet.org

[Philippe Gras]

Le 17 mai 2015 à 20:59, Christophe <te...@stuxnet.org> a écrit :

Le 17/05/2015 20:39, Philippe Gras a écrit :

Le 17 mai 2015 à 20:13, Christophe <te...@stuxnet.org> a écrit :

Le 17/05/2015 18:08, Philippe Gras a écrit :

Just for fun :

$ host -t TXT avoirun.com
avoirun.com descriptive text "v=spf1 a:avoirun.com
ip4:5.135.191.38 ip4:82.120.0.0/13 -all"

La vache, ça ratisse large un /13 …

C’est parce que je fais router une partie de mes mails par l’orange pressée.

Je doute de la pertinence d'un tel enregistrement ;) .

Pourquoi ? C’est pas validé manuellement, (on s’en fout ?) quand même…

Certes, mais cela me semble juste démesuré !

Dans le lot il y a très certainement de l'accès grand public, de l'accès pro , et peut être de l'accès business.

Je t'accorde volontiers que les accès résidentiels et pro ne sont pas en mesure d'envoyer du mail vu que le port 25 est bloqué …

Sans doute est-ce pour ça que je n’arrive pas à utiliser un autre serveur pour envoyer mes mails :-( Donc, si je mets

l’adresse IP de mon serveur sur le champ TXT et qu’il n’est pas le seul à router les mails, je suis bien obligé de faire

comme ça.

Mais quand même ! Dire que globalement 524000 adresses IP sont en mesure d'envoyer du mail en provenance du dit domaine , ça me parait beaucoup. Non ?

Ça exclut quand même un paquet d’adresses IP russes, chinoises, moldo-valaques et tutti quanti… et celles d’OVH,

chez qui je suis et par lesquelles passe un max de spam !

En terme de SPF, je pense qu'il est nécessaire faire de la chirurgie !

OK, mais j’ai pas fait médecine :-) Je fais comme je peux avec les moyens qui me sont alloués.

[Olivier]

Le 15 mai 2015 18:29, Guillaume <list-...@gwilhom.fr> a écrit :

Non,  je penses qu'il voulais dire que:
Exim4 se charge seul de livrer le mail au destinataire,
sans passer par un serveur SMTP tiers (celui d'Orange dans ton cas).

Dans ce cas, ne faut-il pas que le destinataire m'accorde des droits particuliers pour accepter les mails en provenance de mon serveur ?

Dans mon cas, je ne gère pas la machine que reçoit les courriels et son administrateur ne m'accordera très vraisemblablement aucun privilège de ce type.

En tout, si j'étais l'administrateur de la machine recevant les messages, c'est vrai qu'émettre directement sans utiliser d'opérateur intermédiaire serait une bonne solution.

[Christophe]

Hello,

Le 17/05/2015 21:16, Philippe Gras a écrit :
> Ça exclut quand même un paquet d’adresses IP russes, chinoises,
> moldo-valaques et tutti quanti… et celles d’OVH,
> chez qui je suis et par lesquelles passe un max de spam !

Certes, mais ça n'inclut à première vue pas les SMTP "out" de la dite
orange pressée !

Alors que ce sont eux qui communiquent véritablement avec les MX du
domaine destinataire ...

Si je prend quelques exemples récupérées sur cette liste :

Received: from smtp.smtpout.orange.fr (smtp01.smtpout.orange.fr
[80.12.242.123])

Received: from smtp.smtpout.orange.fr (smtp08.smtpout.orange.fr
[80.12.242.130])

Received: from smtp.smtpout.orange.fr (smtp02.smtpout.orange.fr
[80.12.242.124])

Chef! chef! J'ai beau essayer ... même au pied de biche, ça rentre pas
dans 82.120.0.0/13 ! ;)


Il ne me semble pas que la source originelle (l'adresse IP de l'accès
ADSL) soit vérifiée dans le cadre de SPF lorsque le relai du FAI est
utilisé : car il me semble surtout que c'est au moment de la connexion
au sens socket du terme entre les deux MTA (celui du FAI, et celui du MX
du domaine destinataire) que cette vérification est effectuée. Et non
par l’interprétation des entêtes : Ça, c'est le boulot de l'antispam et
ou de l'antivirus, mais pas du "policy checker" (qui est habituellement
la première étape à passer) ...

D’où mon doute sur la pertinence d'un tel enregistrement SPF : il
ratisse large, mais je pense à côté de la cible en fait ; D'autant plus
avec un -all (sans compter que ce /13 est loin de représenter la
totalité des IP de l'orange pressée).

Je ne pense pas dire de bêtises à ce sujet, et j'invite les autres
colistiers à confirmer ou infirmer mes dires (même si on est HS sur
cette liste ;) ).

@+
Christophe.

PS : désolé pour le premier envoi en privé..

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-f...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org

Archive: https://lists.debian.org/555A2234...@stuxnet.org

[Guillaume]

Bonsoir,

En faite la liste des serveurs SMTP en sortie d'orange est disponible
via la commande host :

host smtp.smtpout.orange.fr
smtp.smtpout.orange.fr has address 80.12.242.125
smtp.smtpout.orange.fr has address 80.12.242.132
smtp.smtpout.orange.fr has address 80.12.242.124
smtp.smtpout.orange.fr has address 80.12.242.127
smtp.smtpout.orange.fr has address 80.12.242.134
smtp.smtpout.orange.fr has address 80.12.242.129
smtp.smtpout.orange.fr has address 80.12.242.126
smtp.smtpout.orange.fr has address 80.12.242.131
smtp.smtpout.orange.fr has address 80.12.242.133
smtp.smtpout.orange.fr has address 80.12.242.123
smtp.smtpout.orange.fr has address 80.12.242.130
smtp.smtpout.orange.fr has address 80.12.242.128

attention tout de même cette liste peut ne plus être à jour.

Guillaume

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-f...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org

Archive: https://lists.debian.org/555A31A4...@gwilhom.fr

[Philippe Gras]

Désolé pour l’aparté, je reprends en public :
Le 18 mai 2015 à 20:41, Christophe <te...@stuxnet.org> a écrit :

> Discussion privée, du coup ...
>
> Le 18/05/2015 19:49, Philippe Gras a écrit :
>>
>> Je suis généralement sur du 82.120… et plus souvent encore sur du 82.124…, j’utilise
>> smtp.orange.fr suivant les instruction du FAI. Je ne peux pas vous dire mieux !
>
> Si t'as un lien, je suis preneur, parce que la ... Orange et l'obscurantisme sont de pairs !

Non, j’ai juste un fax fourni par France Telecom, avec tous mes identifiants…

C’est ce que j’ai renseigné dans mon client mail, et ça fonctionne comme ça.

Voilà un échantillon de ce que j’ai dans mail.log :
-------------------------------------------------------------------------------------------------------------------------
May 18 21:21:12 ksXXXXXXX pop3d: LOGIN, user=con...@avoirun.com, ip=[::ffff:82.124.236.240], port=[50174]
May 18 19:35:41 ksXXXXXXX pop3d: LOGIN, user=con...@avoirun.com, ip=[::ffff:82.124.109.129], port=[49703]
May 18 16:33:03 ksXXXXXXX pop3d: LOGIN, user=con...@avoirun.com, ip=[::ffff:82.124.111.98], port=[49201]
May 18 10:38:05 ksXXXXXXX pop3d: LOGIN, user=con...@avoirun.com, ip=[::ffff:82.124.110.10], port=[49174]
May 18 00:36:33 ksXXXXXXX pop3d: LOGIN, user=con...@avoirun.com, ip=[::ffff:82.124.237.237], port=[54602]
May 17 23:35:50 ksXXXXXXX pop3d: LOGIN, user=con...@avoirun.com, ip=[::ffff:82.124.110.71], port=[54344]
May 17 21:46:10 ksXXXXXXX pop3d: LOGIN, user=con...@avoirun.com, ip=[::ffff:82.124.110.71], port=[53036]
May 17 19:10:31 ksXXXXXXX pop3d: LOGIN, user=con...@avoirun.com, ip=[::ffff:82.124.232.165], port=[51626]
-------------------------------------------------------------------------------------------------------------------------
Ça vient bien de mon ordi chez moi, parce que j’en ai plein (qui doivent correspondre à toutes
les fois que mon client mail vient chercher le courrier sur le serveur).
>
>>
>> Je suis bien conscient de l’imperfection de mon enregistrement, mais je tenais à mettre
>> les IP. Si je n’avais mis que celle de mon serveur, je me ferais blackbouler par lui.
>
> "Euh ... Koiça" ? quel est le rapport avec SPF ?
>
> Si le dit serveur est de mèche avec le nom de domaine en question, il se doit faire partie de la whitelist du MTA ... a mon sens, ça n'a juste rien à voir avec SPF !
>
>>
>> Si tu as une meilleure idée Christophe, je suis tout œil (et non tout ouïe) pour la lire :-)
>
> J'en ai une. En fait, Il n'y a pas 36 solutions ... et c'est assez peu recommandé dans les RFC ; Mais quand c'est Orange qui fait office de transporteur, il est nécessaire de s'adapter et ... rien d'autre, parce que c'est à peut près le trou noir sans fond si tu te tentes à contacter une hotline quelconque à ce sujet.
>
> Il est donc nécessaire de se baser sur le reverse DNS smtpout.orange.fr . (le risque que des malotrus en viennent à pirater les reverse DNS d'orange, est réellement très faible, en comparaison à un /13 qui ne remplit en fait pas le boulot).

C’est ce que j’ai fait, me semble-t-il :-)
>
> Première étape :
>
> avoirun.com IN TXT "v=spf1 a:avoirun.com ip4:5.135.191.38 ptr:*.smtpout.orange.fr -all"
>
> Accessoirement (et parce que c'est l'enregistrement DNS légitime à présent contrairement au TXT qui est obsolète depuis déjà un bout de temps) :
>
> stux@wks6[~]: $ host -t SPF avoirun.com [20:22]
> avoirun.com has no SPF record

OK, j’ai aperçu ça cet après-midi et ça m’a interpellé :-) Merci pour le tuyau.
>
> donc celui-ci peut grandement aider aussi :
>
> avoirun.com IN SPF "v=spf1 a:avoirun.com ip4:5.135.191.38 ptr:*.smtpout.orange.fr -all »

Dans mon cas, ce serait plutôt :

avoirun.com IN SPF "v=spf1 a:avoirun.com ip4:5.135.191.38 ptr:smtp.orange.fr -all »

Sauf que mon serveur aussi, doit pouvoir envoyer des mails…
>
> Reste toutefois à définir si d'autres IP(v4 ou v6)/mx/ptr/include sont en mesure d'envoyer du mail depuis ce nom de domaine.
>
> @+
> Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-f...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listm...@lists.debian.org

Archive: https://lists.debian.org/2357D3C2-ADE7-4155...@worldonline.fr