subject:"\[FRnOG\] Re\: \[MISC\] dgfip refusé par gmail"

Re: [FRnOG] Re: [MISC] dgfip refusé par gmail

2024-03-01 Par sujet Francois Petillon


On 3/1/24 09:35, Stephane Bortzmeyer wrote:

Encore faut-il que les ips sortantes soient celles des « MX » ( au sens
enregistrement DNS ).

Il n'y a pas que "mx". Si le serveur sortant est smtp.dom.example,
mettre un "a:smtp.dom.example" est nettement préférable à lister les
adresses IP (cf. le problème de DGFIP, justement).


$ host smtp.free.fr
smtp.free.fr has address 212.27.48.4
smtp.free.fr has IPv6 address 2a01:e0c:1::25
$ host -t TXT _spf.free.fr
_spf.free.fr descriptive text "v=spf1 ip4:212.27.42.1 ip6:2a01:e0c:1:1599::10 
ip4:212.27.42.2 ip6:2a01:e0c:1:1599::11 ip4:212.27.42.3 ip6:2a01:e0c:1:1599::12 
ip4:212.27.42.4 ip6:2a01:e0c:1:1599::13 ip4:212.27.42.5 ip6:2a01:e0c:1:1599::14 
ip4:212.27.42.6 ip6:2a01:e0c:1:1599::15 ip4:212.27.42.9 ip6:2a01:e0c:1:1599::18 
ip4:212.27.42.10 ip6:2a01:e0c:1:1599::19 -all"


J'imagine que la DGFIP doit avoir une configuration encore plus alambiquée qu'un 
simple FAI.


François


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] dgfip refusé par gmail

2024-03-01 Par sujet Laurent S. via frnog

On 29.02.24 13:57, Stephane Bortzmeyer wrote:
> On Thu, Feb 29, 2024 at 11:16:59AM +0100,
>   Alain Thivillon  wrote
>   a message of 49 lines which said:
> 
>>> https://mxtoolbox.com/SuperTool.aspx?action=dkim%3adgfip.finances.gouv.fr%3aemail&run=toolpage
>>>
>>>
>> Ça montre juste qu'il n'y a pas de DKIM avec ce sélecteur "email" ?
> 
> Oui, mxtoolbox est un service médiocre, pour tester sa config
> SPF/DKIM/DMARC.


Je recommande https://email-security-scans.org pour avoir une évaluation 
de SPF/DKIM/DMARC, mais aussi pour IPv6, DANE, MTA-STS et autres joyeusetés.

Laurent


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] dgfip refusé par gmail

2024-03-01 Par sujet Stephane Bortzmeyer

On Fri, Mar 01, 2024 at 09:20:04AM +0100,
 Dominique Rousseau  wrote 
 a message of 33 lines which said:

> > Personnellement je trouve que ça évite de dupliquer des informations
> > si tous les MX de son domaine sont tous bien connus.
> 
> Encore faut-il que les ips sortantes soient celles des « MX » ( au sens
> enregistrement DNS ).

Il n'y a pas que "mx". Si le serveur sortant est smtp.dom.example,
mettre un "a:smtp.dom.example" est nettement préférable à lister les
adresses IP (cf. le problème de DGFIP, justement).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] dgfip refusé par gmail

2024-03-01 Par sujet Stephane Bortzmeyer

On Fri, Mar 01, 2024 at 08:26:36AM +0100,
 David Ponzone  wrote 
 a message of 47 lines which said:

> En fait, j’ai eu la flemme de vérifier tous les include, et je
> m’attendrais à trouver les includes ipv6 regroupés ensemble

Drôle d'idée. Il me semble plus logique de regrouper les adresses IP
(si on en met, ce qui n'est pas du tout indispensable, comme l'a
rappelé Willy Manga) par catégorie, genre par fournisseur.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] dgfip refusé par gmail

2024-02-29 Par sujet Alarig Le Lay via frnog

On Thu 29 Feb 2024 13:57:05 GMT, Stephane Bortzmeyer wrote:
> Oui, mxtoolbox est un service médiocre, pour tester sa config
> SPF/DKIM/DMARC.

Pour tester DNS en général. J’ai déjà eu des rémontées clients
« mxtoolbox dit le ns du soa est pas dans la délégation » ; c’est vrai,
mais on s’en fiche quoi.

-- 
Alarig

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] dgfip refusé par gmail

2024-02-29 Par sujet Guy Larrieu via frnog


Bonjour,

Le 2024-02-29 13:55, Stephane Bortzmeyer a écrit :

De l'IPv6 explicite ? Il y en a souvent de l'implicite comme
bortzmeyer.org.


Pour clarifier, les mécanismes "a" et "mx" basent leur vérification sur 
l'IP utilisée pour l'envoi. Si c'est une IPv6, le destinataire doit donc 
vérifier si l'IPv6 est dans les champs "" (pour "a") ou "MX" (pour 
"mx") indiqués.


Guy.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] dgfip refusé par gmail

2024-02-29 Par sujet Stephane Bortzmeyer

On Thu, Feb 29, 2024 at 12:35:28PM +0100,
 Alain Thivillon  wrote 
 a message of 32 lines which said:

> Le RFC 4408 spécifie clairement que c'est au client SPF
> de réassembler.  https://datatracker.ietf.org/doc/html/rfc4408#section-3.1.3

Depuis remplacé par le RFC 7208 (mais qui dit la même chose)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] dgfip refusé par gmail

2024-02-29 Par sujet Stephane Bortzmeyer

On Thu, Feb 29, 2024 at 12:18:09PM +0100,
 David Ponzone  wrote 
 a message of 58 lines which said:

> Alors en fait j’avais pas tout vérifié car j’avais la faiblesse de penser que 
> les gros auraient un _spf6.truc.com  dans les includes 
> :)
> Y a aucune logique ou cohérence en fait.

Qui est illogique ou incohérent ? Pas Microsoft, dans ce cas.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] dgfip refusé par gmail

2024-02-29 Par sujet Stephane Bortzmeyer

On Thu, Feb 29, 2024 at 11:16:59AM +0100,
 Alain Thivillon  wrote 
 a message of 49 lines which said:

> > https://mxtoolbox.com/SuperTool.aspx?action=dkim%3adgfip.finances.gouv.fr%3aemail&run=toolpage
> >
> >
> Ça montre juste qu'il n'y a pas de DKIM avec ce sélecteur "email" ?

Oui, mxtoolbox est un service médiocre, pour tester sa config
SPF/DKIM/DMARC.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] dgfip refusé par gmail

2024-02-29 Par sujet Stephane Bortzmeyer

On Thu, Feb 29, 2024 at 01:05:20PM +0100,
 David Ponzone  wrote 
 a message of 41 lines which said:

> Ah ouf, merci, j’ai appris un truc (et honte sur dig).

Euh, non, dig a parfaitement raison (et suit le RFC).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] dgfip refusé par gmail

2024-02-29 Par sujet Stephane Bortzmeyer

On Thu, Feb 29, 2024 at 11:49:13AM +0100,
 David Ponzone  wrote 
 a message of 62 lines which said:

> D’ailleurs, y a des domaines qui ont de l’IPv6 dans le SPF ?

De l'IPv6 explicite ? Il y en a souvent de l'implicite comme
bortzmeyer.org. Sinon, j'ai entendu parler d'une petite boite
californienne gaimemail ou un nom comme ça, dont le
_netblocks2.google.com, inclus par leur SPF, a IPv6.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [MISC] dgfip refusé par gmail

2024-02-29 Par sujet Stephane Bortzmeyer

On Thu, Feb 29, 2024 at 10:58:56AM +0100,
 Daniel via frnog  wrote 
 a message of 39 lines which said:

> relay=gmail-smtp-in.l.google.com[2a00:1450:400c:c00::1a]:25, delay=9.3,
> delays=0.32/0/0.11/8.9, dsn=5.7.26, status=bounced (host
> gmail-smtp-in.l.google.com[2a00:1450:400c:c00::1a] said: 550-5.7.26 This
> mail has been blocked because the sender is unauthenticated. 550-5.7.26
> Gmail requires all senders to authenticate with either SPF or DKIM.
> 550-5.7.26  550-5.7.26  Authentication results: 550-5.7.26  DKIM = did not
> pass 550-5.7.26  SPF [dgfip.finances.gouv.fr] with ip: [] = 550-5.7.26
> did not pass 550-5.7.26  550-5.7.26

Bizarre car :

- leur enregistrement DMARC dit p=none
.
Gmail est méchant s'il rejette.

- le message de mxtoolbox est clairement faux, le sous-domaine DKIM
_domainkey.dgfip.finances.gouv.fr existe bien.

- (bon, pour SPF, en effet, ils ont oublié de lister les adresses IPv6



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] dgfip refusé par gmail

Re: [FRnOG] Re: [MISC] dgfip refusé par gmail

[FRnOG] Re: [MISC] dgfip refusé par gmail

[FRnOG] Re: [MISC] dgfip refusé par gmail

Re: [FRnOG] Re: [MISC] dgfip refusé par gmail

Re: [FRnOG] Re: [MISC] dgfip refusé par gmail

[FRnOG] Re: [MISC] dgfip refusé par gmail

[FRnOG] Re: [MISC] dgfip refusé par gmail

[FRnOG] Re: [MISC] dgfip refusé par gmail

[FRnOG] Re: [MISC] dgfip refusé par gmail

[FRnOG] Re: [MISC] dgfip refusé par gmail

[FRnOG] Re: [MISC] dgfip refusé par gmail

12 matches

Site Navigation

Mail list logo

Footer information