Bonjour,

pour relever aussi les « success » je vois que les serveurs Outlook ont mis à jour leur protection sécurity DMARC.

Merci aux administrateurs/développeurs.

Bonne journée.

Salutations,
Romain

Bonjour,

Pour connaître le nombre de mails qui ne rentrent dans chez les fournisseurs (hors DMARC).

J’ai ressortie tous les retours mails « Undelivered Mail Returned to Sender » sur les mails valides mais qui ne rentres pas, à chaque fois.

Je vais stocker les status de retours pour chaque envoie pour tester - Pour n’envoyer qu’un mail par mois (à la place de 4) à ce qui n’auraient pas reçus les derniers messages - J’ai l’impression de mourir en écrivant cette phrase.

L’envoie est déjà en random ^^ le SELECT SQL.

Pour Free FR :

Status : 4.0.0 → Email Bounce Error : Delayed Message (Erreur de rebond d’e-mail : message retardé)

Par exemple qui me retourne ce status :

Reporting-MTA: dns; mail.zw3b.net
Arrival-Date: Sun, 30 Apr 2023 15:46:48 +0200 (CEST) 
Action: failed 
Status: 4.0.0 
Remote-MTA: dns; mx1.free.fr 
Diagnostic-Code: smtp; 451 too many errors detected from your IP (158.69.126.137), please visit http://postmaster.free.fr/

Je vois que j’ai actuellement 2985 mails dans ma BDD pour @free.fr et que j’ai 2188 SMTP errors mails de retours avec le status 4.0.0 pour ce FAI (donc, 797 mails passés → pourrais-je dire).

Pour Yahoo Inc :

J’ai 4252 mails pour Yahoo (fr|com|it|uk|ca…), j’ai 1724 mails de retours en Status: 4.7.0 (donc 2528 mails passés → pourrais-je dire).

Status : 4.7.0 → Our system has detected an unusual rate of unsolicited mail originating from your IP address (Notre système a détecté un taux inhabituel de courriers non sollicités provenant de votre adresse IP)

Reporting-MTA: dns; mail.zw3b.net 
Arrival-Date: Sun, 30 Apr 2023 15:32:51 +0200 (CEST) 
Action: failed 
Status: 4.7.0 
Remote-MTA: dns; mx-eu.mail.am0.yahoodns.net 
Diagnostic-Code: smtp; 421 4.7.0 [TSS04] Messages from 158.69.126.137 temporarily deferred due to unexpected volume or user complaints - 4.16.55.1; see https://postmaster.yahooinc.com/error-codes

Pour Gmail et d’autres FAI mails (laposte net etc…)

J’ai des retours d’erreurs SMTP 5.7.1 - alors là çà fait mal.

Status : 5.7.1 → The user or domain that you are sending to (or from) has a policy that prohibited the mail that you sent (L’utilisateur ou le domaine vers lequel (ou depuis) ​​vous envoyez a une politique qui interdit le courrier que vous envoyez).

J’ai pour cette semaine : 965 mails rejetés avec ce status.

C’est trop 1000 mails / semaine / FAI.
C’est trop 4 mails par mois / utilisateur.
Et mes adresses IPv4/6 sont dans un data-center.

Sur-ce bonne soirée et bon fin de semaine.

Romain

ce n’est pas le nombre de courriels envoyés qui posent problème, mais le volume d’erreur générés et les plaintes associées (complains) d’après les messages.

Bonjour @Zargos

Certes, des erreurs ?! Une fois dans Gmail, ma newsletter est arrivée dans le dossier SPAMs, puis j’ai cliqué sur « retirer des SPAMs » et le mail a disparu.

Il n’était pas dans ma boîte de réception (comme l’action aurait du faire), ni dans ma corbeille. Le mail avait disparu !! Hallucinant.

Et depuis, je ne reçois plus mes mails (de différent domaine d’un même SMTP) sur gmail.

Donc, les plaintes – hum – si c’est lié à çà, bof !

Sinon, j’ai mon header List-unsubscribe et le lien de désinscription dans le contenu de la newsletter. Des personnes se sont desinscritent, mon formulaire de désinscription fonctionne Je ne leurs envoie plus de newsletter donc.

Et sinon, je ne SPAM pas, j’envoie un seul mail par personne, par semaine et toujours avec un contenu différent.

Salutations,
Romain.

J’ajoute cela – il y en a « en qui on fait confiance » – tu t’appelles ?!!

Et il y a les autres valides, comme moi Merci à @Clochette pour l’info pour les records MX sur les serveurs d’envoie et pas seulement sur le domaine simple.

mx:lab3w.fr → Network Tools: DNS,IP,Email

	Test	Result
	DMARC Record Published	DMARC Record found
	DMARC Policy Not Enabled	DMARC Quarantine/Reject policy enabled
	DNS Record Published	DNS Record found

mx:zw3b.net → Network Tools: DNS,IP,Email

	Test	Result
	DMARC Record Published	DMARC Record found
	DMARC Policy Not Enabled	DMARC Quarantine/Reject policy enabled
	DNS Record Published	DNS Record found

mx:mail.zw3b.net → Network Tools: DNS,IP,Email

	Test	Result
	DMARC Record Published	DMARC Record found
	DMARC Policy Not Enabled	DMARC Quarantine/Reject policy enabled
	DNS Record Published	DNS Record found

mx:w1a.zw3b.net → Network Tools: DNS,IP,Email

	Test	Result
	DMARC Record Published	DMARC Record found
	DMARC Policy Not Enabled	DMARC Quarantine/Reject policy enabled
	DNS Record Published	DNS Record found

mx:mail-dbaeur03lp2170.outbound.protection.outlook.com. → Network Tools: DNS,IP,Email

	Test	Result
	DNS Record Published	DNS Record not found	More Info
	DMARC Policy Not Enabled	DMARC Quarantine/Reject policy not enabled	More Info
	DMARC Record Published	DMARC Record found

mx:smtp-g01.email-control.orange-business.com. → Network Tools: DNS,IP,Email

	Test	Result
	DMARC Record Published	No DMARC Record found	More Info
	DNS Record Published	DNS Record not found	More Info
	DMARC Policy Not Enabled	DMARC Quarantine/Reject policy not enabled	More Info

mx:mail-ed1-f69.google.com. → Network Tools: DNS,IP,Email

	Test	Result
	DNS Record Published	DNS Record not found	More Info
	DMARC Record Published	DMARC Record found
	DMARC Policy Not Enabled	DMARC Quarantine/Reject policy enabled

Sans vouloir flamber tout çà juste pour être normal, valide, conforme, et surtout me faire accepter, connaître, et reconnu par la communauté des mecs d’internet et des admins, géants mails

Et aimé avec toutes ces informations pertinentes que je vous partage toutes les semaines

J’ajoute mes records si cela peut aider :

root@dc.w3a:~ $ host lab3w.fr
lab3w.fr has address 158.69.126.137
lab3w.fr has IPv6 address 2607:5300:60:9389:15:1:0:1
lab3w.fr mail is handled by 10 smtp.zw3b.net.

root@dc.w3a:~ $ host zw3b.net
zw3b.net has address 158.69.126.137
zw3b.net has IPv6 address 2607:5300:60:9389:15:1:0:1
zw3b.net mail is handled by 10 smtp.zw3b.net.

root@dc.w3a:~ $ host mail.zw3b.net
mail.zw3b.net has address 158.69.126.137
mail.zw3b.net has IPv6 address 2607:5300:60:9389:17:4:0:1
mail.zw3b.net mail is handled by 10 smtp.zw3b.net.

root@dc.w3a:~ $ host w1a.zw3b.net
w1a.zw3b.net has IPv6 address 2607:5300:60:9389:15:1:a:10
w1a.zw3b.net mail is handled by 10 smtp.zw3b.net.

root@dc.w3a:~ $ host smtp.zw3b.net
smtp.zw3b.net has address 158.69.126.137
smtp.zw3b.net has IPv6 address 2607:5300:60:9389:17:4:0:1

J’oubliais les records DMARC :

Ici, sur le nom entier (_dmarc.zw3b.net) le champ p=quarantine (pour le domaine) - au cas où - pour les nouvelles adresses mails (que les FAI ne connaisseraient pas) qui pourrait être ajouter.
Ici, sur le nom entier (_dmarc.zw3b.net) le champ sp=reject (pour ses sous domaines)

root@dc.w3a:~ $ dig TXT _dmarc.zw3b.net @dns.google +short
"v=DMARC1; p=quarantine; sp=reject; pct=20; aspf=s; adkim=s; rua=mailto:dmarc(at)zw3b.net; ruf=mailto:dmarc(at)zw3b.net"

Ici, sur le sous domaine (_dmarc.w1a.zw3b.net) le champ p=reject (pour le sous domaine)
Ici, sur le sous domaine (_dmarc.w1a.zw3b.net) le champ sp=reject (pour ses sous domaines)

root@dc.w3a:~ $ dig TXT _dmarc.w1a.zw3b.net @dns.google +short
"v=DMARC1; p=reject; sp=reject; pct=20; aspf=s; adkim=s; rua=mailto:dmarc(at)zw3b.net; ruf=mailto:dmarc(at)zw3b.net"

rua → pour l’adresse sur laquelle on recoit les rapports DMARC des FAI receveurs.
ruf → pour l’adresse sur laquelle on recoit les rapports DMARC critiques des FAI receveurs.

Après ma configuration de DMARC en 2022/02 → j’avais fait la connerie (je crois) de passer de les pourcentages (pct=) de 10 à 20, 50, 75, 100 en 2, 3 mois, rapidement. Et pourtant.

J’ai dû redescendre - çà fait plus d’1 an que, j’étais à 10%, je viens de passer à 20%, une/la demande (donc de ma part) d’analyse de mes mails, de/sur/par leurs protections Mail-DMARC security.

Donc, crédible comme moi, j’ai déjà vu pire

PS : J’entends souvent que tu me regardes, çà me fait plaisir, tu irais sur mes sites Web CooL !!

Et bien sûr les records SPF et DKIM Vous connaissez.

Ai-je bien compris ce protocole, DMARC, monsieur le professeur @Clochette ?

J’ajoute ce lien, c’est toujours utile :

Afnic.fr → Protégez vos e-mails grâce au DNS (SPF, DKIM, DMARC)
Les courriers électroniques sont particulièrement utilisés dans le cadre d’abus d’hameçonnage et d’usurpation d’identité. Pour les entreprises touchées, cela peut entraîner des coûts potentiellement importants. Le DNS s’avère être un outil indispensable pour une organisation qui souhaite se protéger. Pour cela, nous vous présentons trois protocoles d’authentification via le DNS : DKIM, DMARC et SPF.

Bonne journée.
Romain

Sinon, on dirait que je suis le seul mec sur Terre qui est conforme aux serveurs mails.

DMARC / DNS Records published et avec une politique (que j’ai mis en place) de reject ou de mise en quarantaine pour mes amis les autres FAI mails qui pourraient réceptionner mes mails.

?

Dans Gmail, ce qui est complétement con, c’est que j’ai tout mes ex-collaborateurs, PDG d’entreprises, potes etc… ceux et celles qui m’ont fait confiance en LAB3W : Laboratoire Web et réseaux - Ingénierie de l’InterNet pour m’embaucher en tant que Freelance et Consultant Internet Pas que WebDev

Chez Google France recrutement, je demande du jus-d’orange, je ne veut pas de champagne mais, peut-être au premier contrat parce que j’aurais assuré. Bise !!

À bien tiens :

C’est reparti pour les serveurs entreprise outlook :

Le 1 mail 2023 OK
Le 8 mai 2023 signature DKIM invalide.

Ci-dessous un exemple pour le même mail domaine shell (dot) com, 7 jours après.

Je ne comprend plus !

Note de Moi-même 20230528 :

C’est reparti pour les serveurs « entreprise outlook » → çà re-passe

Le 21 mail 2023 OK

J’ai 2, 3 mails qui sont partit hier, le 27 sur ce domaine (j’attends le rapport)

Par contre, au 20230527 (ceux du 20 aucun rapport), pour les serveurs Outlook (hotmail, live, msn) çà ne repasse plus → ils ne m’acceptent plus ma signature DKIM (bien) valide.

Romain

Bonjour, bonsoir.

J’ai remarqué que plusieurs serveurs mails (principal) ont bien activés leurs signatures DKIM, configurés leur politique DMARC et les adresses IPs de leurs SPF, mais très peu ont configurés leurs enregistrements DNS DMARC pour qu’ils soient valide et que leur politique DMARC soit activée.

Je viens d’écrire un papier :

Romain

Sinon pour informations sur les différents type de rapports DMARC RUA (global) vs RUF (unitaire) :

Skysnag :

Bonjour, bonsoir.

DMARC fonctionne !!

çà bouge côté « serveurs de » mails - génial !

CF : Network Tools: DNS,IP,Email

Je parle de → nos politiques configurées ← pour celles et ceux qui comprennent

Bonne journée à vous.

J’ajoute ce lien çà aide bien aussi Internet.nl - Email test: zw3b.eu

Romain

Bonjour, pouvez vous me dire ce que ca donne en terme de stress-test pour une utilisation en entreprise?

Le seul souci que nous avons eu avec zimbra est la limitation de comptes pour la version libre et le cout pour l’upgrade sinon c’est un rail

En entreprise on tourne avec du Bluemind sinon en générale les gens s’oriente de plus en plus vers 365

Maintenant Modoboa ça s’appuie sur des trucs costauds et stable, de quoi as-tu besoin ? ( ce dernier propose aussi un service de support payant au besoin).

Oui tout à fait. On en pense ce que l’on veut mais c’est un super produit surtout en addition à Azure. Dommage que le cout soit aussi exhorbitant.

Par exemple le dernier cas que j’ai eu etait l’imple d’un AD avec Azure : estimation 30k€

Non non besoin de rien juste d’etendre mes horizons

J’en suis arrivé là.

Bonjour, je m’appelle Romain, je suis français.
Je suis un développeur Web - Admin Sys et réseaux avec passion ou obligation d’offrir le meilleur service, la meilleure connectivité et la plus grande sécurité aux autres

Email test: zw3b.eu

The domain zw3b.eu has a test score of 100%.

Congratulations, your domain will be added to the Hall of Fame soon!

100%

• Passé : accessible via l’adresse Internet moderne (IPv6)
• Passé : tous les noms de domaine signés (DNSSEC)
• Passé : Authenticité marque contre le phishing par e-mail (DMARC, DKIM et SPF)
• Passé : la connexion #mail du serveur est suffisamment sécurisée (STARTTLS et DANE))
• Passé : annonce de route autorisée (RPKI)

Explanation of test report
Permalink test result (2023-11-15 14:52 UTC)

Capture d’écran → https://zw3b.eu/pub/screens/internet-nl/Screenshot%202023-11-15%20at%2015-53-05%20Email%20test%20zw3b.eu%20-%20Internet.nl.png

J’ajoute les liens (autres) #ZW3B sites vers des tests emails d’ « Internet.nl »:
Email test: zw3b.eu (100%)
Email test: zw3b.fr (100%)
Email test: zw3b.tv (100%)
Email test: zw3b.net (100%)
Email test: zw3b.com (100%)
Email test: zw3b.site (100%)
Email test: zw3b.blog (100%)

Merci à la plateforme de normes Internet néerlandaise (Internet.nl) - Qualys SSL Labs - DNSViz | A DNS visualization tool - MX Lookup Tool - Check your DNS MX Records online - MxToolbox - DNSSEC-DANE-Deployment-Statistics - Blog Stéphane Bortzmeyer - IETF | Internet Engineering Task Force - Let’s Encrypt et tous les autres passionnés, ingénieurs et/ou autodidactes qui font avancer la Vie dans le bon sens - Celui d’une Vie plus sûre.

#ZW3B #LAB3W

Qui fait aussi bien !?

Bonne journée à toutes et à tous.

Oh my god !

https://internet.nl/mail/internet.nl/1067823/

Test email : internet.nl (100%)

Test Email sur différents noms de domaine @ myISP point com (ISP etc.) → (fichier text)
https://www.zw3b.fr/pub/screens/internet-nl/internet.nl-email-test.txt

Bon y’a du boulot, niveau #sécurité et bonne conformité pour la protection contre l’usurpation d’identité, et la protection de données.

#DNSSEC #DMARC #TLS #CiPHERS

Ne me dites pas « ce n’est pas grave, t’as vu les autres »

Romain

Note de moi (si çà peut vous aider) :

Bonjour,

Bizarre, çà fait 2 mois (depuis que j’ai changé le nom de mon serveur mail) que je ne rentre plus chez " protection.outlook.com" (hotmail, msn, live) et " enterprise.protection.outlook.com" (les comptes/domain clients) - çà me fait perdre plus de 10000 mails par mois.

Erreur sur ma clef DKIM me disent-ils - pourtant ma clef DKIM est bien valide - J’arrive à rentrer chez Gmail (presque) normal.

Ci-dessous mes rapports DMARC du mois de décembre 2023 :

Romain

Ci-joint mes rapports 2023/12 - Merci beaucoup encore à tous, merci à @Clochette pour l’info qui m’a permis d’activer ma politique DMARC.

Je suis au « Temple de la renommé » sur mes domaines mails et en mode champion sur plusieurs des mes domaine 100% Website domain et 100% mail domain.

https://internet.nl/halloffame/

Salutations,
Romain

Je compte sur vous, les FR et les autres, il faut montrer l’exemple dans cet International Network et être normal-ement tous sécurisé à 97%, 100% sur au moins nos serveurs de mails - C’est important la sécurité de nos utilisateurs mails.

En plus il y a le NIST version 2 qui doit être appliqué en Europe avant Octobre 2024. Et j’ajoute pour LA France, pour et avant les JO-Paris 2024 ET donc avant JUIN s’il vous plaît !

NIS 2 : les exigences de cybersécurité en matière de PKI et de gestion des…
La directive NIS 2 | ANSSI

Courage

Je viens de découvrir :

RFC 8461 : SMTP MTA Strict Transport Security (MTA-STS) sur le Blog de Stéphane Bortzmeyer.

Fichier HTTPS Gmail de politique MTA-STS → https://mta-sts.gmail.com/.well-known/mta-sts.txt

version: STSv1
mode: enforce
mx: gmail-smtp-in.l.google.com
mx: *.gmail-smtp-in.l.google.com
max_age: 86400

Bonne journée.

Un directive tant qu’elle n’est pas transposé a difficilement valeur de loi.