Re: [FRnOG] [TECH] Microsoft 365 / SPF / IPv6

Mon, 16 Dec 2024 05:45:24 -0800

Désolé d'avoir abordé plusieurs choses en même temps notamment la réception SMTP en IPv6. 


Est ce que ce serveur smtp relayait à Microsoft des messages via cette 
adresse IPv6 auparavant ?



Est ce qu'un check via https://www.learndmarc.com/ ou plateforme 
similaire indique quelque chose ?




On 16/12/2024 16:58, Laurent MELE via frnog wrote:

Je ne comprends pas ce que vous dites, je vais donc reprendre pensant m'être 
mal exprimé du coup.

Quand j'envoie des emails vers microsoft, depuis la semaine dernière et 
seulement depuis la semaine dernière, j'ai des erreurs de la part de microsoft 
qui dit (pour d'autres clients aussi) que l'ip 2001:1650:0:1600::68 (ou 
d'autres) n'est pas autorisée au niveau SPF pour mon domaine (ou d'autres donc) 
qui ont d'inclus : out.infoclip.fr
Cette assertion de microsoft est donc fausse, 2001:1650:0:1600::68 est bien 
dans la déclaration SPF out.infoclip.fr depuis une bonne 15aine d'années. Le 
problème avec Microsoft et Seulement Microsoft ne date que de la semaine 
dernière.
Je ne pense pas que le souci soit au niveau de ma déclaration SPF ou de mon DNS 
sur cet incident. Du moins je le pense fortement.

Je ne comprends pas trop les vérifications que vous faites avec le premier 
niveau ou les 2èmes niveaux.
Peu importe qu'il y ait ou pas des serveurs sortants en 2001:1650:0:1000::/64, 
c'est le serveur sortant 2001:1650:0:1600::68 qui me pose problème et le fait 
que microsoft ne reconnaisse pas son inclusion dans le SPF de mon (ou d'autres) 
domaine.
Et oui il y a des serveurs sortants qui ne répondent pas nécessairement en smtp 
entrant.

Vous dites que le message d'erreur reçu fait référence à un serveur qui ne 
répond pas en smtp, mais voici le message d'erreur en question :


#4.7.26 SMTP; 450 4.7.26 Service does not accept messages sent over IPv6 
[2001:1650:0:1600::68] unless they pass either SPF or DKIM validation

C'est bien les MTAs côté Microsoft qui génèrent cette erreur transitoire, elle 
n'est pas je pense générée car le serveur ne répond pas en smtp. Cette erreur 
me dit clairement que l'ip en question n'est pas référencée dans mes entrées 
SPF je pense, ce qui est donc faux.


Laurent Mele





-----Message d'origine-----
De : Willy Manga <wil...@manbene.net>
Envoyé : lundi 16 décembre 2024 13:48
À : Laurent MELE <lm...@infoclip.fr>; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Microsoft 365 / SPF / IPv6



On 16/12/2024 16:12, Laurent MELE wrote:

Vous avez oublié les include



Oui, volontairement parce que les autres sont plus longs à vérifier. Je me suis 
arrêté à ce niveau parce ce que sans aller plus loin, vous avez une adresse 
IPv6 qui ne répond pas aux requêtes SMTP (et c'est d'ailleurs l'objet du 
message d'erreur reçu); donc c'est déjà à revoir.

Ceci dit en allant sur les includes,


out.infoclip.fr ..

contient lui meme un champ TXT qui inclue "out.ip6.infoclip.fr" qui contient 
"ip6:2001:1650:0:1600::/64"  ...

C'est un réseau différent de celui utilisé au premier niveau. Ici c'est
2001:1650:0:1600::/64 alors qu'au premier niveau c'est
2001:1650:0:1000::/64 . Il faudrait vérifier s'il n y a pas d'erreur ou bien 
s'il y a bien un serveur SMTP configuré pour envoyer dans cette autre plage 
d'adresse.



spf.protection.outlook.com

Contient une longue liste de serveurs configurés exclusivement par MICROSOFT. 
Je ne connais pas la politique mais si vous devez utiliser un des serveurs IPv6 
ici listés, alors il  doit y avoir une option quelque part qui doit vous 
permettre de le configurer . D'autres personnes pourront répondre à ce sujet.


Voilà ce que je pouvais dire .. rapidement...




Envoyé à partir de Outlook pour iOS<https://aka.ms/o0ukef>
________________________________ De : Willy Manga <wil...@manbene.net>
Envoyé : Monday, December 16, 2024 12:52:04 PM À : Laurent MELE
<lm...@infoclip.fr>; frnog-t...@frnog.org <frnog-t...@frnog.org> Objet
: Re: [FRnOG] [TECH] Microsoft 365 / SPF / IPv6

Bonjour,



On 16/12/2024 14:44, Laurent MELE via frnog wrote:

Bonjour,
[...]
Depuis semaine dernière nous avons des problèmes d’envois vers les
plateformes microsoft qui semblent mal faire les vérifications SPF
(sauf si j’ai encore loupé quelque chose qui l’annonçait dans leurs 
communications).
[...]

#4.7.26 SMTP; 450 4.7.26 Service does not accept messages sent over
IPv6 [2001:1650:0:1600::68] unless they pass either SPF or DKIM
validation



Et les ips en questions (ipv6 seulement) sont bien dans les SPF :




S'IL s'agit du domaine infoclip.fr , votre enregistrement TXT [1]
indique ceci:

- '-all' pour votre domaine ne sont acceptés que les serveurs SMTP qui
figurent dans cette liste

- vous y avez inclus un 'mx' donc on pourrait se référer aussi aux
serveurs listés qui sont au nombre de deux
(smtp.antispam.infoclip.cloud et
infoclip-fr.mail.protection.outlook.com ) . Aucun des deux n'a
d'adresses IPv6

- il y  a effectivement '2001:1650:0:1000::10' dans cette liste mais
un test rapide de mon côté indique qu'il ne répond pas sur le port 25 ...
Cela peut être local à mon réseau mais j'en doute.

Donc à priori je dirais de vérifier que 2001:1650:0:1000::10 répond
effectivement aux requêtes SMTP et/ou d'activer IPv6 sur les MX du domaine.

Pour aller plus loin vous pouvez tester avec
https://www.learndmarc.com/

P.S : les serveurs autoritaires pour la zone, ne répondent pas
également en IPv6 [2]. Ce n'est pas lié à ce problème mais ça serait
bien de le corriger.



1. "v=spf1 include:out.infoclip.fr include:spf.protection.outlook.com
mx
ip4:217.25.185.70 ip4:217.25.176.10 ip6:2001:1650:0:1000::10
include:md02.com -all"



2. https://www.zonemaster.net/en/result/e80e2d0a455e9822

[...]

--
Willy Manga





--
Willy Manga




--
Willy Manga


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/






















					Répondre à