DMARC, DKIM et SPF pour éviter de tomber dans les SPAM

Bonjour,
J’ai un Dolibarr installé localement, pas ouvert sur le net et donc sans nom de domaine associé.
J’arrive à envoyer des mails, mais souvent ils sont dans les Spam.
IONOS, mon hébergeur, m’a répondu suite à l’envoie que je leur ait fait d’un fichier .eml tombé dans les spams :

Les administrateurs vous invite à prendre contact avec les équipes de votre CRM pour qu’ils vous conseillent sur l’enregistrement DMARC à intégrer dans les DNS de votre domaine.
Dès que vous serez en possession, de l’enregistrement adéquat dans votre cas, rappelez nous pour être guidée pour ajouter cet enregistrement via l’interface client ionos.

Aussi, j’aimerai bien savoir qu’est-ce que c’est que cet enregistrement DMARC, et surtout où le trouver ?

Dois-je faire des enregistrement DNS particuliers en plus ?
J’ai un enregistrement SPF actuellement : v=spf1 include:_spf-eu.ionos.com ~all
J’ai l’impression d’avoir 2 enregistrements DKIM dans mes paramétrages DNS sur mon serveur IONOS, qui apparaissent comme ça dans la page de configuration :
[CNAME] s1-ionos._domainkey / s1.dkim.ionos.com Mail
[CNAME] s2-ionos._domainkey / s2.dkim.ionos.com

Que faire de tout ça ? Quel enregistrement DMARC faire ? Mes enregistrements SPF et DKIM sont-ils bons ? Dois-je les renseigner quelque part dans Dolibarr ?
Désolé, pour le coup je m’y connais peu…

Bonjour
Les spam peuvent aussi être détectés par analyse du contenu.

Commencez par faire un envoi à Mail-Tester et regardez déjà ce que ça raconte.

Ensuite s’il n’y a pas d’enregistrement DMARC sur votre domaine, il faudra l’ajouter effectivement.

Pensez à faire une peu de recherche avant de poster une question.
J’ai juste taper « ionos dmarc » dans gogol

@+

Même problème de mon côté, je n’ai pas encore identifié quels domaines « bloquaient » en passant dans les spam, mais certains oui, certains non…
Je suis sur un serveur auto-hébergé uniquement ouvert en réseau local, sur un NAS Synology, et j’ai mis à jour en v22.0.0 récemment. Installation nouvelle, je ne peux pas trop dire si avant la v22 le problème était déjà présent.

Voici le résultat de Mail-Testeur pour l’envoie d’une facture, avec dans le corps du message du texte et deux liens hypertexte (mail + site web) : Résultat du Test de Spam
Par ailleurs, mon ip est répertoriée comme « bloquée » sur la liste de « Spamhaus ZEN », qui me dit que :

This IP is listed on the Policy Blocklist (PBL)
Don’t panic!

The inclusion of your IP address on the Policy Blocklist (PBL) is standard for the vast majority of internet users and is not the result of your actions. Here are some key PBL facts for your understanding:

If the IP address you are using is on PBL, you can still send email if you are using SMTP auth.
You do not need to request removal from PBL.
Listings on this blocklist are controlled by either your Internet Service Provider (ISP) or Spamhaus. Click on More Info for further details.
PBL contains ranges of IP addresses that shouldn’t be sending email directly to the internet.
Typically, IPs of broadband or dial-up customers will be included in this list.
This is part of Internet best practices enacted to protect all users.

Run your own mail server?
If you run your own mail server, and require removal from the PBL, please click on “More Info” to review your ISP’s policy. Once you have reviewed the policy, please tick the “I am running my own mail server” check-box at the bottom of the page to enable removal.
NOTE: Exclusions are only valid for 1 year unless the ISP sets a more restrictive policy. If your IP gets listed on another Spamhaus Blocklist, it will automatically be relisted on the PBL.

Je suppose que ça vaudrait le coup de demander la suppression de cette liste, mais je n’en suis pas sûr…
Mon hébergeur de nom de domaine, chez qui j’ai mes email (IONOS) est censé regarder, mais pas de news récemment… Si besoin, je peux transmettre un .eml (mais ça me demande un peu de modification du fichier pour éviter d’envoyer des informations sensibles)

Bein si ce serait utile !
C’est l’ip de Ionos ou la votre personnelle ?

On est d’accord vous envoyez via le smtp de ionos ? Pas en php hein ?
@+

Merci pour la mouvements de post d’un sujet à l’autre…
Et merci pour votre patience !
J’ai refait proprement un enregistrement DMARC sur mon serveur IONOS, en mettant > "v=DMARC1; p=none; rua=mailto:postmaster@MON_DOMAINE; ruf=mailto:postmaster@MON_DOMAINE".
J’ai également modifié l’enregistrement SPF pour y ajouter les adresses ipv4 publiques des deux boxes desquelles nous envoyons nos mails (2 sites, relié par un vpn site-à-site via les livebox Orange). Pas sûr que ce soit utile ceci-dit, puisque les emails sont censé s’envoyer « pour de vrai » seulement depuis les serveurs IONOS (ok avec l’enregistrement psf « include:_spf-eu.ionos.com ~all » à priori).
En testant dans la foulée avec Mail-Testeur, j’ai eu un retour comme quoi mon enregistrement DKIM était en cours de modification, et qu’il faudrait retenter dans 12h. Je me suis dit que c’était peut-être lié à une propagation des enregistrements DNS, même si je n’avais pas touché aux enregistrements DKIM, qui semblaient bien configuré par IONOS (2 enregistrements). J’ai retenté plus de 12h après, même erreur. A l’instant, pour être sûr, pareil
Pour le fait d’être blacklisté sur une liste de spam, j’ai demandé à être retiré. C’est chose faite, en tous cas Mail-Testeur ne me signale plus rien. C’était bien avec le serveur IONOS et pas le mien.

Pour plus d’infos, j’ai vérifié le code-source des mail envoyé après cette nouvelle configuration et plus de 24h d’attente (au cas où pour la propagation), et reçu comme Spam, venant de Dolibarr, et j’ai notamment ces lignes :

ARC-Authentication-Results: i=1; opmta1mti17nd1; spf=pass (opmta1mti17nd1: domain of EXEMPLE1@MON_DOMAINE designates ADRESSE_IP_DE_IONOS as permited sender) [email protected];
	arc=none;
	dkim=fail (signature verification failed) header.d=MON_DOMAINE header.i=EXEMPLE2@MON_DOMAINE header.b=XXXXXXXX;
	dmarc=pass header.from=MON_DOMAINE

Sur la source du mail que je viens de tester avec Mail-testeur, j’ai :

Authentication-Results: mail-tester.com;
	dkim=fail reason="signature verification failed" (2048-bit key; unprotected) header.d=MON_DOMAINE header.i=EXEMPLE2@MON_DOMAINE header.b=XXXXXXXX;
	dkim-atps=neutral

A noter que les adresses mail EXEMPLE1 et EXEMPLE2 sont bien différentes, même si elles sont toutes les deux sur le même domaine. Je pense que c’est parce qu’au départ j’avais configuré Dolibarr sur l’adresse 1 et puis j’ai changé pour l’adresse 2. Je ne sais pas si cela peut avoir un impact. Idéalement, il faudrait que nous puissions utiliser pour l’envoie sur Dolibarr plusieurs adresses mails, toutes sur le même domaine.

J’ai essayé de faire mes devoirs cette fois, mais je ne comprends pas tout

On est hors Dolibarr mais bon !

Spf = les serveurs de mail ionos uniquement si vous n’utilisez pas d’autres services de messagerie sur votre domaine.

Dkim = à réclamer à ionos si vous ne savez pas faire

@+

Le problème, c’est que les problèmes n’arrivent que quand j’envoie des mails depuis Dolibarr. En utilisant leur webmail ou bien même par Thunderbird, en SMTP (comme Dolibarr donc), les mails n’arrivent jamais dans les spam… J’ai contacté IONOS par ailleurs, mais si le problème n’a lieu que quand j’utilise Dolibarr, ils me répondront sans doute (à nouveau) que je dois voir côté CRM

Merci pour les précisions quand même !
J’attends la réponse de IONOS et reviens ici au plus vite

Bonjour,

Vous avez un problème de signature DKIM des mails (en gros la clé publique qui se trouve dans l’enregistrement DNS DKIM de votre nom de domaine ne permet pas de décoder ou trouve des incohérences dans la signature DKIM qui a été générée avec la clé privée)

Qu’avez-vous dans l’entête de vos mails pour la valeur de DKIM-Signature: ?

J’ai ça :

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
	d=MON-DOMAINE; s=s1-ionos; t=1759403334; x=1760008134;
	i=EXEMPLE2@MON-DOMAINE;
	bh=[suite de caractères et chiffres]=;
	h=X-UI-Sender-Class:From:To:Subject:Date:Message-ID:Mime-Version:
	 Content-Type:cc:content-transfer-encoding:content-type:date:from:
	 message-id:mime-version:reply-to:subject:to;
	b=[longue suite de caractères et chiffres]==

Donc votre message est bien signé, reste à savoir pourquoi cette signature est invalide.

Il faut vérifier que le domaine de l’adresse de i= soit identique à celui de d= ou un sous domaine de d= étant donné qu’on est en relaxed dans c=.

Si c’est correct, l’hypothèse la plus problable selon moi c’est que le mail est modifié après avoir été signé.
Une piste pour cela c’est l’histoire des fin de lignes qui a déjà été évoquée sur ce forum (faire une recherche sur MAIN_FIX_FOR_BUGGED_MTA)

C’est tout bon !
Dans Configuration > Divers, j’ai ajouté MAIN_FIX_FOR_BUGGED_MTA, avec pour valeur 0, et les emails ne semblent plus tomber dans les spam je suis très content, merci beaucoup pour cette solution !
Cette fois, la signature DKIM passe, DMARC aussi, tout est bien qui finit bien
Merci encore @knock , et @Philazerty, pour votre aide