Re: [FRnOG] [TECH] Microsoft 365 / SPF / IPv6

Mon, 16 Dec 2024 04:49:31 -0800 



On 16/12/2024 16:12, Laurent MELE wrote:

Vous avez oublié les include




Oui, volontairement parce que les autres sont plus longs à vérifier. Je 
me suis arrêté à ce niveau parce ce que sans aller plus loin, vous avez 
une adresse IPv6 qui ne répond pas aux requêtes SMTP (et c'est 
d'ailleurs l'objet du message d'erreur reçu); donc c'est déjà à revoir.


Ceci dit en allant sur les includes,


out.infoclip.fr ..


contient lui meme un champ TXT qui inclue "out.ip6.infoclip.fr" qui 
contient "ip6:2001:1650:0:1600::/64"  ...



C'est un réseau différent de celui utilisé au premier niveau. Ici c'est 
2001:1650:0:1600::/64 alors qu'au premier niveau c'est 
2001:1650:0:1000::/64 . Il faudrait vérifier s'il n y a pas d'erreur ou 
bien s'il y a bien un serveur SMTP configuré pour envoyer dans cette 
autre plage d'adresse.




spf.protection.outlook.com


Contient une longue liste de serveurs configurés exclusivement par 
MICROSOFT. Je ne connais pas la politique mais si vous devez utiliser un 
des serveurs IPv6 ici listés, alors il  doit y avoir une option quelque 
part qui doit vous permettre de le configurer . D'autres personnes 
pourront répondre à ce sujet.



Voilà ce que je pouvais dire .. rapidement...




Envoyé à partir de Outlook pour iOS<https://aka.ms/o0ukef>
________________________________
De : Willy Manga <wil...@manbene.net>
Envoyé : Monday, December 16, 2024 12:52:04 PM
À : Laurent MELE <lm...@infoclip.fr>; frnog-t...@frnog.org 
<frnog-t...@frnog.org>
Objet : Re: [FRnOG] [TECH] Microsoft 365 / SPF / IPv6

Bonjour,



On 16/12/2024 14:44, Laurent MELE via frnog wrote:

Bonjour,
[...]
Depuis semaine dernière nous avons des problèmes d’envois vers les
plateformes microsoft qui semblent mal faire les vérifications SPF (sauf si
j’ai encore loupé quelque chose qui l’annonçait dans leurs communications).
[...]

#4.7.26 SMTP; 450 4.7.26 Service does not accept messages sent over IPv6
[2001:1650:0:1600::68] unless they pass either SPF or DKIM validation



Et les ips en questions (ipv6 seulement) sont bien dans les SPF :




S'IL s'agit du domaine infoclip.fr , votre enregistrement TXT [1]
indique ceci:

- '-all' pour votre domaine ne sont acceptés que les serveurs SMTP qui
figurent dans cette liste

- vous y avez inclus un 'mx' donc on pourrait se référer aussi aux
serveurs listés qui sont au nombre de deux (smtp.antispam.infoclip.cloud
et infoclip-fr.mail.protection.outlook.com ) . Aucun des deux n'a
d'adresses IPv6

- il y  a effectivement '2001:1650:0:1000::10' dans cette liste mais un
test rapide de mon côté indique qu'il ne répond pas sur le port 25 ...
Cela peut être local à mon réseau mais j'en doute.

Donc à priori je dirais de vérifier que 2001:1650:0:1000::10 répond
effectivement aux requêtes SMTP et/ou d'activer IPv6 sur les MX du domaine.

Pour aller plus loin vous pouvez tester avec https://www.learndmarc.com/

P.S : les serveurs autoritaires pour la zone, ne répondent pas également
en IPv6 [2]. Ce n'est pas lié à ce problème mais ça serait bien de le
corriger.



1. "v=spf1 include:out.infoclip.fr include:spf.protection.outlook.com mx
ip4:217.25.185.70 ip4:217.25.176.10 ip6:2001:1650:0:1000::10
include:md02.com -all"



2. https://www.zonemaster.net/en/result/e80e2d0a455e9822

[...]

--
Willy Manga





--
Willy Manga


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/






















					Répondre à