Problème SPF et mail non autorisé

Bonjour,

C'est normal, il te manque dans le spf
include:mx.ovh.com
Pour pouvoir envoyer des mails depuis le webmail Ovh

https://toolbox.googleapps.com/apps/dig/#TXT/dasilvadeco.be

Bonjour Buddy,
Merci pour ta réponse.

J'ai pourtant mis : v=spf1 mx

comment ce fait t'il que "mx" tout cours ne fonctionne pas ? ne devrait'il pas prendre aussi en compte le webmail ovh ?

D'autre part, je viens de faire un test d'envois d'un email via le protocol pop sur à partir de mon compte gmail en utilisant l'adresse info@dasilvadeco.be vers une autre boite gmail.
et j'obtiens cette erreur : FAIL avec l'adresse IP 178.32.228.19
c'est la même ip à part le dernier chiffre...
J'ai pourtant lié mon spf avec include:_spf.google.com ...
J'ai donc comme l'impression que le problème vient d'autre part...
Qu'est ce que vous en pensez ?

Il existe un très bon site pour tester et qui donne les bons conseils.
https://www.1tester.comtester.com

Au pire poster le lien du test après pour que l'on puisse jeter un coup d'œil

Sur l'infrastructure Ovh les serveurs qui envoient les mails ne sont pas ceux qui reçoivent les mails (MX)
Ovh a des milliers de serveurs pour gérer tous les mails.

Donc si je comprend bien, je dois toujours inclure "include:mx.ovh.com" .
Je l'ai fais, ce qui n'arrange toujours pas mon problème (mais bon, je dois peut-être attendre 24h)
En attendant voici le lien du rapport qui ne semble par parlé de problème spf

https://www.1tester.com/web-awvlstester.com/web-awvls

Pourtant après un nouveau test j'obtiens toujours les deux même erreur cité dans mon premier post (envois via webmail et idem pour envois via gmail)

Bonjour Nicolas

La raison de l'échec SPF figure dans le message d'erreur. Le serveur à l'adresse 178.32.228.20 (dont le reverse est mo20.1out.ovh.netout.ovh.net) n'est pas listé dans votre enregistrement SPF. Vous pourriez essayer d'ajouter include:mx.ovh.com à votre enregistrement. A moins que vous n'utilisez Google Apps pour envoyez vos emails depuis votre domaine, la présence de include:_spf.google.com n'est probablement pas utile en revanche car SPF doit lister les serveur d'envoi et non de réception.

Enfin vous pourriez remplacer -spf (rejet strict des envois ne respectant pas SPF) par ~spf (transmission avec avertissement)

Si cela ne fonctionne toujours pas, d'autres réglages sont possibles mais commencez par ceux là...

Pour que mail tester fonctionne bien c'est mieux d'envoyer un mail avec un sujet et un minimum de texte (quitte à copier coller le message posté ici)

Nb:il faut attendre la propagation du spf évidemment.

mx designe le serveur mx avec lequel vous **recevez** votre courrier, ce n'est pas forcément le serveur qui **envoie** votre courrier

Bonjour,

J'ai pourtant mis : v=spf1 mx

vous avez regardé vos MX et l'ip indiqué ?

Vos MX :
[quote]
dasilvadeco.be. 3600 IN MX 100 mx3.mail.ovh.net.
dasilvadeco.be. 3600 IN MX 1 mx0.mail.ovh.net.
dasilvadeco.be. 3600 IN MX 50 mx2.mail.ovh.net.
dasilvadeco.be. 3600 IN MX 5 mx1.mail.ovh.net.
[/quote]

Reverse de l'IP :
[quote]
IP Information for 178.32.228.20
Resolve Host mo20.1out.ovh.netout.ovh.net
[/quote]

Donc sans indiquer "include:mx.ovh.com" cela ne risque pas de fonctionner et en plus c'est écrit dans la doc OVH : https://docs.ovh.com/fr/fr/web/domains/le-champ-spf/#spf-et-ovh

Cordialement, janus57

Ok je test cela et j'enlève spfgoogle, car j'utilise gmail et non la gsuite ou apps.
J'ai déjà rajouter include:mx.ovh.com il y a 1/2h pour voir si cela va mieux aller.

Ça semble bon
https://www.1tester.com/web-awvlstester.com/web-awvls

Le seul problème est que le mail est vide..

J'attends 24h et je retest pour voir si tout vas bien.
Merci pour votre aide.

mx designe le serveur mx avec lequel vous recevez votre courrier

OVH a un peu foiré sur le nom de cette entrée, car MX est bien le serveur de réception d'un domaine.
Cependant include:mx.ovh.com désigne les serveurs d'envoi de OVH.

Quand on questionne cet include on a la réponse
"v=spf1 ptr:1out.ovh.netout.ovh.net ptr:mail.ovh.net ip4:8.33.137.105/32 ?all"

ce qui veut dire que le serveur récepteur (exemple acerta.be) doit faire un query DNS pour avoir le nom du serveur OVH 178.32.228.20 dont il reçoit la connexion par exemple mo20.1out.ovh.net.out.ovh.net. Ce nom se trouve dans la liste des PTR autorisés. Le mail est accepté.

L'utilisation du mot MX amène donc juste de la confusion car il est inapproprié ici.

Si vous commencez à jouer avec des enregistrements SPF en ajoutant des clauses, sachez que si la résolutionun SPF requiert plus de 10 query DNS de la part du serveur qui va recevoir (ou pas) le mail, ceci est une erreur qui va entraîner des refus. des exemples se trouvent sur openspf.org.

Ce que je voulais dire est que **le mécanisme mx dans l'enregistrement SPF** désigne les serveurs qui reçoivent le courrier pour le domaine dasilvadeco.be. J'ai précisé cela car NicolasD3 semblait penser que la présence de mx suffisait à autoriser les serveurs d'envoi d'OVH. C'est vrai que le nom de l'include d'OVH est super confusant pour tout le monde.

Bonjour,
Tout d'abord je vous remercie car cela fonctionne et tout mes mail passent.

J'ai encore quelques questions, afin de bien comprendre le mécanisme.

Si je comrpend bien, rajouter "MX" ne sert à rien dans mon cas. Car le spf sert à certifier les mail sortant et non rentrant. Je peux donc le retiré ?
Par contre je dois laisser le "A" pour que les email envoyer via mon site wordpress soit autentifier.
Est ce que ce c'est juste ?

Ce que je ne comprend pas du coup, c'est dans quelle cas, il faut indiquer MX ?

Bonjour,

Si je comrpend bien, rajouter "MX" ne sert à rien dans mon cas. Car le spf sert à certifier les mail sortant et non rentrant. Je peux donc le retiré ?

oui et non, si quelqu’un usurpe votre adresse mail en envoie et que vous avez mis en place le SPF et que le serveur qui reçoit le faux mail contrôle le SPF il va refuser le faux mail.
Par contre sans SPF c'est open bar on peu faire des faux mail comme on veux.
P.S. explication simplifié au max.

Par contre je dois laisser le "A" pour que les email envoyer via mon site wordpress soit autentifier.
Est ce que ce c'est juste ?

non plus car les adresses des cluster mutu ne sont pas les adresse d'envoi des mails.

Ce que je ne comprend pas du coup, c'est dans quelle cas, il faut indiquer MX ?

Lorsque le(s) serveur(s) qui sont renseigné en le champ MX sont les serveur d'envoi (et donc reception aussi, ce qui n'est pas le cas chez OVH).

Cordialement, janus57

dasilvadeco

Bonjour Nicolas,

Ni "A" ni "MX" ne sont nécessaires ni même souhaitables.
Je m'explique:
dig dasilvadeco.be A -> 213.186.33.24
dig dasilvadeco.be MX -> mx0.mail.ovh.net mx1.mail.ovh.net mx2.mail.ovh.net mx3.mail.ovh.net
(selon les réponses fournies par les serveurs DNS de MyOwn/Antarex)
Or ton mail sortant de chez OVH ne sortira d'aucune de ces 5 machines, car le mail sortant et le mail entrant utilisent des routes différentes chez OVH.
Pour cette raison les entrées A et MX sont inutiles.
Les entrées inutiles sont à bannir car c'est sale, et dans le cas de SPF ça cause chez les récepteurs de tes mails des requêtes DNS qui ne servent à rien.

> non plus car les adresses des cluster mutu ne sont pas les adresse d'envoi des mails.

Je reformule : Cela veux dire que lorsque l'on utilise un formulaire de réponse sur mon site, ovh voit que c'est un mail et l'envoi via "include:mx.ovh.com" du coup le champs "A" ne sert à rien.
Il servirait si c'était pas un serveur mutualisé et que mes envois aurait la même ip que le serveur de mon site web.

> Ni "A" ni "MX" ne sont nécessaires ni même souhaitables.

Merci pour ta réponse claire... Je vais donc de ce pas, les supprimer du SPF.
Par contre, rassure moi, j'ai bien fait de rajouter toute ces entrées MX dans mon DNS de chez MYOwn ?

Par contre, rassure moi, j'ai bien fait de rajouter toute ces entrées MX dans mon DNS de chez MYOwn ?

Oui car c'est MYown qui gère tes dns.
https://toolbox.googleapps.com/apps/dig/#NS/

Question subsidiaire.

Lorsque le formulaire de contact de mon site envois un email, comment peut t'il être vérifié authentique si celui-ci n'est pas vérifier par rapport au nom de domaine ? (champ"A")

Cela voudrais dire que si un autre utilisateur a aussi un serveur mutualisé ovh et configure son site pour un envoi avec mon email, ovh ne verait pas la différence ? puisque la seul vérification est "include:mx.ovh.com" n'est pas propre à mon site mais générale au mutalisé ovh ?

Bonjour,

Lorsque le formulaire de contact de mon site envois un email, comment peut t'il être vérifié authentique si celui-ci n'est pas vérifier par rapport au nom de domaine ? (champ"A")

il est vérifié par rapport à l'include OVH que vous avez mis.

Cordialement, janus57

> il est vérifié par rapport à l'include OVH que vous avez mis.

Ok, dans ce cas si. Mais si je prend un autre exemple,
J'ai un nom de domaine chez le registrar GANDI avec une zone qui pointe vers mon serveur OVH surlequel est installé un de mes sites. Dans cette zone, il y a mon spf, les mx de mail qui sont cette fois hébergé chez gandi et non chez ovh.

Dans ce cas, mon spf sera : "v=spf1 a mx include:_mailcust.gandi.net -all"
Les mails qui partiront du formulaire de mon site (hébergé chez OVH), ne pourront pas être cette fois vérifier par le includeovh. Est ce que je dois dans ce cas rajouter "a" ou "mx" ? ou le "include:_mailcust.gandi.net" suffira ?
Je parle par exemple du domaine www.beodyn.be

Merci Janus pour ton aide.

Bonjour,

Dans ce cas, mon spf sera : "v=spf1 a mx include:_mailcust.gandi.net -all"
Les mails qui partiront du formulaire de mon site (hébergé chez OVH), ne pourront pas être cette fois vérifier par le includeovh. Est ce que je dois dans ce cas rajouter "a" ou "mx" ? ou le "include:_mailcust.gandi.net" suffira ?
Je parle par exemple du domaine www.beodyn.be

dans votre exemple non seulement vous avez déjà la A et MX en plus de l'include gandi, mais en plus le A sert à rien si le site est hébergé chez OVH, et le MX aussi si j'en crois leur wiki (car gandi semble faire comme OVH, serveur sortant et entrant qui sont différents).

Cordialement, janus57

Super merci.
Je crois que j'ai fais le tour de la question...
J'en ressort avec plus de compréhension. Bien que je trouve que les tutos et les générateur de spf, n'explique pas ce que vous m'avez expliqué avec les includes... Du coup, je ne vois pas où j'aurai pu trouver ces informations par moi même...
Donc un grand merci.

Bonjour,

Du coup, je ne vois pas où j'aurai pu trouver ces informations par moi même...

dans les docs des hébergeurs vu que gandi & OVH indique quoi mettre si vous avez les mails chez eux.

Cordialement, janus57

C'est le premier endroit où j'ai été avant de poster sur ce forum et je ne trouve pas qu'ils sont assez explicite.

Bonjour,

pourtant que ce soit côté OVH ou côté gandi la ligne SPF est fournit prêt à l'emploi (pas de question à se poser et si on souhaite pousser sa compréhension du SPF on fait les recherche).

Cordialement, janus57

je ne trouve pas qu'ils sont assez explicite

L'include d'OVH contient ceci à la date d'aujourd'hui:
mx.ovh.com.
"v=spf1 ptr:1out.ovh.netout.ovh.net ptr:mail.ovh.net ip4:8.33.137.105/32 ?all"

Ce qui signifie: toutes les adresses IP dont le hostname correspondant est *.1out.ovh.netout.ovh.net ou *.mail.ovh.net, ou encore l'adresse IP 8.33.137.105

Bonjour,

Je reprends ce fil de discussion avec le problème suivant : je cherche à ne conserver qu'un seul SPF car actuellement j'en ai deux : les mails OVH et les emails depuis MailChimp :
TXT "v=spf1 include:servers.mcsv.net ?all" (et avec TTL=0)
SPF "v=spf1 include:mx.ovh.com ~all" (avec TTL=600)

Comment fusionner ces deux entrées en une seule pour ne plus avoir mes emails considérés comme du spam ?

Merci