C’est quoi que tu ne comprends pas dans cette ligne ?
Problème de DNS sur le sous-domaine pour le mail …
Après en étant listé chez UCEProtect … pas de bol c’est rat pour faire délister si t’arrive en niv2 chez eux, mais c’est sans doute l’AS de ton provider qui est listé et là ce sera plus compliqué …
Merci @Clochette pour cette réponse.
Je comprend que mon serveur mail a une mauvaise réputation.
Je vois que j’ai une erreur de DNS Record 
sur le mx:mail.zw3b.net et pourtant - que faire de plus ?
dig MX zw3b.net @8.8.8.8 +short
10 mail.zw3b.net.
dig AAAA mail.zw3b.net @8.8.8.8 +short
2607:5300:60:9389:17:4:0:1
dig A mail.zw3b.net @8.8.8.8 +short
158.69.126.137
Oui la galère !
J’ai remarqué aussi que tout le bloc IPv6::/32 du mon FAI OVH est black-listé : ce block 2607:5300:0:0:0:0:0:0/32
CF :
Votre adresse IP est dans une plage qui a été bloquée sur tous les wikis de la Fondation Wikimédia.
Le blocage a été réalisé par Trijnstel (meta.wikimedia.org). Le motif fourni est Open proxy: abused proxy by LTAs and spambots - should you be affected by this block, please email stewards (at) wikimedia (dot) org.
Début du blocage : 1 juin 2018 à 09:49
Expiration du blocage : 1 juin 2023 à 09:49
Oui mais en y regardant bien c’est surtout les Ips d’OVH qui sont douteuses …
Mettre un champs MX sur le record utilisé pour l’envoi de mail …
ab ~ dig -t any mail.zw3b.net @8.8.8.8 +short
158.69.126.137
A 7 3 3600 20220908040421 20220809031223 17360 zw3b.net. Lw2Qsu4/r0nzjMEnmi7+Moxkko5oI9qURDJKAA7kpZ/nE78+k75WTck2 y3kUS6EU44k9339QJXuyXP9KdI2+izVPkQpGJ4z7oCZxumQTQbVHa2dN x1Ez6laV4MDi/fi33G93PLLrCZIEgwEh7txN2ZfmZaRFGzRV9uhCA0Kp iRLXbrHLOA+E5HEBTu9R9Cs0StUrH9QYmqIQyGXS5P0QMNz2Oh/L7frc Bf5HXylloc72HiplcdMIwbOzC1pKNYkHqJpUpYMkMYgitADGl5YQMtAP D1YeII70nJUydNZ/5fVw+FCKfk6BGN2OY1DEoGFWjs7q/SCGBqiVTqPP zT3e3w==
2607:5300:60:9389:17:4:0:1
AAAA 7 3 3600 20220908040507 20220809031223 17360 zw3b.net. dpcMXbS7PlO8pPV1ylMjrv4eMzjURpGMePWwnp+HGihFFt+8z1jmbahU 5Avnfv+1FyQ95SrYPlekOAzdY0KRuzZl6M0gZgX9pItUoPxKEhJ1yE/3 8dLuM+E9e+KAlm2zaI4h1Q2Cjzg+16GPgh5TKHIGK6/eVMqqGregCReK yhL+Kq3UKrsZs/yty2FyZJemv/6pUmT6DpUqxSQwdarwmwKt3mQPAd+K R0SIPxgfVLrWgkqM12XezRZcwiHsHYQwcr3Z+d4crfKBsDmmrRybns8I Dgefbz+sdwxlJ3Qf2MZGuwGqtXOrAhH4KSlUYFeP3EmjBWeU6UDdAZLi a4u/VQ==
Le champs MX ne doit pas être positionné sur ton domaine mais sur ton sous-domaine si c’est lui qui émet les mails et porte le reverse DNS en acord avec le hostname qui envoi les mails.
En gros ton MX semble (c’est même sûr) positionné sur le mauvais enregistrement DNS.
Le bloc IPV4 est listé chez UCE Protect … change de provider pour les mails.
haha
AH bon… J’ai toujours mis le champ MX sur le domaine moi
Comme cela :
@ 3600 IN MX 10 mail.zw3b.net.
Avec cela :
mail 3600 IN A 158.69.126.137
mail 3600 IN AAAA 2607:5300:0060:9389:0017:0004:0000:0001
je ne crois pas pouvoir faire çà en plus :
mail 3600 IN MX 10 158.69.126.137
mail 3600 IN MX 10 2607:5300:0060:9389:0017:0004:0000:0001
Cà m’étonne.
C’est bien cela - Nop :
/etc/bind/masters/zw3b.net.hosts:42: warning: '158.69.126.137': MX is an address
/etc/bind/masters/zw3b.net.hosts:43: warning: '2607:5300:0060:9389:0017:0004:0000:0001': MX is an address
/etc/bind/masters/zw3b.net.hosts:43: warning: 2607:5300:0060:9389:0017:0004:0000:0001.zw3b.net: bad name (check-names)
zone zw3b.net/IN: mail.zw3b.net/MX '158.69.126.137.zw3b.net' is a CNAME (illegal)
zone zw3b.net/IN: mail.zw3b.net/MX '2607:5300:0060:9389:0017:0004:0000:0001.zw3b.net' is a CNAME (illegal)
J’essaie ! Merci @Clochette
Ca ne fonctionne pas
J’ai cela :
;------------------------------
; MX
;------------------------------
@ 3600 IN MX 10 mail.zw3b.net.
w1a 3600 IN MX 50 mail.zw3b.net.
;mail 3600 IN MX 10 158.69.126.137
;mail 3600 IN MX 10 2607:5300:0060:9389:0017:0004:0000:0001
mail 3600 IN A 158.69.126.137
mail 3600 IN AAAA 2607:5300:0060:9389:0017:0004:0000:0001
imap 3600 IN CNAME mail.zw3b.net.
pop 3600 IN CNAME mail.zw3b.net.
smtp 3600 IN CNAME mail.zw3b.net.
webmail 3600 IN A 158.69.126.137
webmail 3600 IN AAAA 2607:5300:0060:9389:0015:0001:0000:0001
Sinon çà me retourne cette erreur :
Il faut que tu corriges le problème de DNS. Met aussi dans le domaine un enregistrement SPF, ça ne mange pas de pain, et Gmail, ce ne sont pas les rois du mail en termes de sécurité.
Pour retirer le blacklist, il y a une procédure normalement c’est obligatoire pour celui qui blacklist de donner clairement la procédure pour gérer.
Et comme cela a été dit, OHV en réputation pour la messagerie c’est vraiment la loose. La plupart de nos client ont tous retiré leurs serveurs de messageries de OVH.
Bon j’essaie comme cela @Clochette @Zargos :
;------------------------------
; MX
;------------------------------
;@ 3600 IN MX 10 mail.zw3b.net.
@ 3600 IN MX 10 smtp.zw3b.net.
;mail 3600 IN A 158.69.126.137
;mail 3600 IN AAAA 2607:5300:0060:9389:0017:0004:0000:0001
smtp 3600 IN A 158.69.126.137
smtp 3600 IN AAAA 2607:5300:0060:9389:0017:0004:0000:0001
mail 3600 IN MX 10 smtp.zw3b.net.
imap 3600 IN CNAME mail.zw3b.net.
pop 3600 IN CNAME mail.zw3b.net.
;smtp 3600 IN CNAME mail.zw3b.net.
;------------------------------
; SPF
;------------------------------
@ 10800 IN SPF "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
@ 10800 IN TXT "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
w1a 10800 IN SPF "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
w1a 10800 IN TXT "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
; JE VIENS D'AJOUTER CELA
smtp 10800 IN SPF "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
smtp 10800 IN TXT "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
mail 10800 IN SPF "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
mail 10800 IN TXT "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
On test :
12:08:02 root@lv1.dns:~ # named-checkzone zw3b.net /etc/bind/masters/zw3b.net.hosts
zone zw3b.net/IN: loaded serial 2022080901
OK
Je signe la zone et j’attends de voir si tout est buggué 
Coté SPF je crois qu’il y a besoin de préciser les domaines servis
Pourtant @Clochette @Zargos
12:23:15 root@lv1:~ # dig MX bandapart.net +short
10 ASPMX.L.GOOGLE.COM.
20 ALT2.ASPMX.L.GOOGLE.COM.
30 ASPMX4.GOOGLEMAIL.COM.
20 ALT1.ASPMX.L.GOOGLE.COM.
30 ASPMX5.GOOGLEMAIL.COM.
30 ASPMX3.GOOGLEMAIL.COM.
30 ASPMX2.GOOGLEMAIL.COM.
12:24:09 root@lv1:~ # dig MX ALT2.ASPMX.L.GOOGLE.COM +short
12:24:24 root@lv1:~ # dig MX ASPMX.L.GOOGLE.COM. +short
12:24:36 root@lv1:~ # dig A ASPMX.L.GOOGLE.COM. +short
172.253.115.26
12:25:14 root@lv1:~ # dig AAAA ASPMX.L.GOOGLE.COM. +short
2607:f8b0:4004:c09::1b
Rien sur leurs adresses MX (juste un champ A et un champ AAAA normal)… Bizarre tout cela.
Ou :
12:27:28 root@lv1:~ # dig MX orange.fr +short
10 smtp-in.orange.fr.
12:27:51 root@lv1:~ # dig MX smtp-in.orange.fr +short
12:27:57 root@lv1:~ # dig A smtp-in.orange.fr +short
80.12.26.32
12:28:03 root@lv1:~ # dig AAAA smtp-in.orange.fr +short
Ou :
12:29:58 root@lv1:~ # dig MX debian-fr.org +short
5 mail.zehome.com.
12:30:08 root@lv1:~ #
12:30:09 root@lv1:~ # dig MX mail.zehome.com +short
12:30:24 root@lv1:~ #
12:30:25 root@lv1:~ # dig A mail.zehome.com +short
148.251.85.151
12:30:35 root@lv1:~ # dig AAAA mail.zehome.com +shortJe me suis toujours dis qu’il y avait une erreur sur cet outil de MXToolbox : mx:mail.zw3b.net (je me trompe 
)
Pour les SPF @Zargos :
il faut que - pour le domaine principal - par exemple un utilisateur qui veut envoyer un mail avec son adresse « email@domain.com »
il faut ce champ SPF et TXT :
@ 10800 IN SPF "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
Pour le sous-domaine d’envoie par exemple newsletter.domain.com - un utilsateur qui veut envoyer un mail avec l’adresse www-data@newsletter.domain.com :
il faut un SPF pour lui (politique DMARC) - parce que c’est ce serveur qui envoie les mails lui qui est dans les DKIM-signature.
newsletter 10800 IN SPF "v=spf1 ip4:158.69.126.137/32 ip6:2607:5300:60:9389:17:4:0:1/124 ~all"
Salutations.
Romain
C’est mieux 
Merci @Clochette - extraordinaire @Clochette 
12:52:55 root@lv1.dns:~ # dig MX zw3b.net +short
10 smtp.zw3b.net.
12:52:59 root@lv1.dns:~ # dig MX smtp.zw3b.net +short
12:53:08 root@lv1.dns:~ # dig A smtp.zw3b.net +short
158.69.126.137
12:53:20 root@lv1.dns:~ # dig AAAA smtp.zw3b.net +short
2607:5300:60:9389:17:4:0:1
Pendant que j’y suis sur le champ DKIM j’ai une question :
J’ai ma signature sur le domaine principal zw3b.net :
95BB6C00-0000-0000-0000-0007DF2C65F6._domainkey IN TXT ( "v=DKIM1; k=rsa; " "p=MIIBIjANBgkqhkidsdssdsdsdsdsKCAQEAw1ic5eXSfcQk1GYlSiu7B2MFK+u78eCZJowkGcpCamB85UwTz7j6YBn+ABEiccB1GfWGS6gqmoW7tGTcJugvoWNrFlbnRdsdssdsdsdsB" )
Et celle de mon sous-domaine mailing.zw3b.net la signature par exemple :
48AF5C00-0000-0000-0000-0008DF2C65F6._domainkey.mailing IN TXT ( "v=DKIM1; k=rsa; " "p=MIIBIjANBgksddsdIBCgKqdqdqdce3FOumVVNAQncVltepH4YyZXlurvujyS/TfIHDNJecJ+q0Xko5UuRyUHXy8e7a6En/uO8u7nHKobpipPGrDV8mYnjU4hXJviMvotqpLuZd/CDvQzebYkX7IDavMqdsdssdsfdfe" )
Par contre j’ai lu que l’on peut ou doit configurer pour un sous-domaine le champ DKIM de cette façon :
"v=DKIM1; k=rsa; t=s; d=mailing.zw3b.net; "
à la place de cela :
"v=DKIM1; k=rsa; "
J’ai essayé quelques semaines, un mois ou 2 avec le t=s; d=mailing.zw3b.net; mais çà n’a rien changé me semble t’il.
Ici par exemple (je ne retrouve plus l’explication) :
Est-ce cela ? Si vous avez des informations.
Je redescend les spécifications techniques et fonctionnelles de la RFC 4871 sur DKIM BASE DomainKeys Identified Mail (DKIM) Signatures (Obsolete)
DomainKeys Identified Mail (DKIM) Signatures (RFC 6376)
J’ajoute cela de la section 3.6.1 de la RFC 6376 :
t= flag, représentés sous la forme d’une liste de noms séparés par deux-points (texte brut ; FACULTATIF, par défaut, aucun drapeau n’est défini). Les fanions non reconnus DOIVENT être ignorés. Les drapeaux définis sont les suivants :
y
Ce domaine teste DKIM. Les vérificateurs NE DOIVENT PAS traiter les messages des signataires en mode test différemment des e-mails non signés, même si la signature n’est pas vérifiée. Les vérificateurs PEUVENT souhaiter suivre les résultats du mode de test pour aider le signataire.
s
Tous les champs d’en-tête DKIM-Signature utilisant la balise « i= » DOIVENT avoir la même valeur de domaine à droite du « @ » dans la balise « i= » et la valeur de la balise « d= ». Autrement dit, le domaine « i= » NE DOIT PAS être un sous-domaine de « d= ». L’utilisation de cet indicateur est RECOMMANDÉE sauf si un sous-domaine est requis.
Tous les champs d’en-tête DKIM-Signature utilisant la balise « i= » DOIVENT avoir la même valeur de domaine à droite du « @ » dans la balise « i= » et la valeur de la balise « d= ».
Autrement dit, le domaine « i= » NE DOIT PAS être un sous-domaine de « d= ». L’utilisation de cet indicateur est RECOMMANDÉE sauf si un sous-domaine est requis.
Donc, si je configure mon champ DNS DKIM comme cela :
selector._domainkey.mailing IN TXT ( "v=DKIM1; k=rsa; t=s; d=mailing.domain.tld" "p=clef")
il faut que les mails soient signés avec - et cela dans la DKIM-Signature - avec un header.i=email@mailing.domain.tld ou simplement un header.i=@mailing.domain.tld je crois
Bon… c’est facultatif 
Je ne reçois plus de mail !!! Non je rigole 
Oui enfin UCEPROTECT liste la planète entière et je connais aucun administrateur système assez débile (quoique…) pour faire du blocage en se basant sur leur liste de niveau 3 (AS complets) ou niveau 2 (plages complètes d’IP dès que quelques IP de spammeurs sont dans la plage).
Normalement être sur ces listes là n’a aucune conséquence.
J’en sais rien mais régulièrement les blocages avec Gmail et Orange de mon côté ce sont résolu lorsque le blocage chez UCE Protect à été levé … de la à dire que c’est une coïncidence.
Comme je le signalé en commentaire 42 - Gmail me retourne un Status 5.7.1.
Et pourtant je vois dans mes rapports DMARC - 3 mails qui sont passés hier - DMARC vis à vis de Google.
Cf : https://www.zw3b.com/dmarc-reports.php#lab3w.fr (je viens de modifier le code PHPSource de la page des rapports DMARC pour envoyer les ancres HTML dans l’URL
Alors media wiki haha ils ont bloqués un total IP addresses de 79228162514264337593543950336 (le block IPv6 : 2607:5300:0:0:0:0:0:0/32 (IPv4/IPv6 subnet calculator) comme je le signalais en commentaire 44. ouA… J’ai eu cette erreur en voulant créer un page sur wikipedia 
Je l’ai signalé à OVH (ticket) qui m’a dit qu’il ne pouvait rien faire ! J’ai cru mourir ! Je surf avec un ou 2 blocks IPv6::/112 de ma machine serveur au canada depuis la france - Pas d’IPv6 chez orange non-dégroupé en haut de laaa montagneee
Salutations,
Romain
Tant que l’on a pas une preuve de la relation de cause à effet, c’est une coïncidence.
Je n’ai jamais eu de problème de ce type ni avec gmail, ni avec orange alors que les IP des serveurs que j’utilise sont en permanence listées puis dé-listées par UCEPROTECT (level 2 et 3).
Et je suis à peu près certain qu’aucun de ces deux là n’utilise UCEPROTECT.
On a suffisamment tapé sur cette bouse ces dernières années, ex : UCEPROTECT: When RBLs Go Bad, ou Email Service Providers – It’s Time to Stop Using UCEPROTECT | Programmer Bear
Je suis d’accord, mais il doivent utilisé leur propre liste et sans doute conjointement à des organisme comme SpamHaus, je ne redit pas qu’il y a cause à effet mais simplement si UCE arrive à lister un certains nombre de fois des IPs d’un AS pour du spam alors les autres sans doute aussi
Faire du mail avec des IPs de OVH ou avec de l’hébergement mutualisé, faut pas s’attendre à des résultats magnifique non plus.
Et comment faire du mail alors !?
Pas avec des Ips d’OVH en tout cas, des providers propres il y en a tout de même pas mal.
OVH c’est OVH point barre.