Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

FS#12749 - Personnalisation/Délégation reverse IPv6

Bonjour,

L’ajout du next-hop sur le dernier Freebox OS permet maintenant d’utiliser l’IPv6 avec un routeur derrière, c’est parfait merci ! (apparemment que pour la V6, rien d’affiché sur la v5/cristal encore ...)

Pour pouvoir utiliser ces services de façon un peu plus “carrée” il manque juste la délégation des DNS inverses.
Pouvez-vous rajouter (à priori dans l’interface de gestion du compte) la possibilité d’indiquer 2 ou + serveurs DNS inverses ?
(charge à l’utilisateur de comprendre et paramétrer correctement ce service)

A priori il n’y a pas de reverse du tout en IPv6 actuellement, même pas un générique sur *.free.fr/*.proxad.net

Merci par avance !

pywy commented on 19.08.2013 15:57

+1
Oui un reverse DNS sur ipv6 me permettrait de bien faire fonctionner mon serveur de mails (sinon les mails envoyés en ipv6 sont considérés comme SPAM! )

Une fonctionnalité qui serait la bienvenue !

+1
La délégation du reverse DNS en IPv6 commence à devenir critique. Depuis peu les serveurs gmail bloquent les serveurs smtp sans enregistrement PTR en IPv6

pywy commented on 02.10.2013 20:35

allez free vous etes au top sur l’ipv6, et la cerise sur le gateau, c’est le reverse DNS ipv6 !

+1
Mainteneur de Postfix, Apache+TLS, eJabber .. depuis des années sur ma FreeBox - Et maintenant je vote pour un reverse DNS IPv6. D'après le RFC, seul un enregistrement reverse est nécessaire (le choix du nom reverse serait un plus :) ) pour envoyer légitimement des mails over IPv6

+1

Les serveur Google bloque desormais les emails envoyés depuis des serveur ipv6 sans reverse. Cela devient critique.

+1

Ça serait vraiment magique !

+1
Plus moyen d'envoyer des mails vers GMAIL en ipv6 :-(

+1
Problème pour envoyer des mails vers GMAIL.
Faire un système à la online.net pour la délégation du le reverse DNS IPv6.

ag commented on 18.07.2014 01:08

+1

Comme le propose Online sur Dedibox, il serait désormais de bon augure de proposer la délégation IPv6 sur Freebox... C'est vraiment le dernier maillon manquant à Free sur l'IPv6.

L'argument principal à présent est la lutte contre le spam qui pousse légitimement les serveurs SMTP à considérer qu'une IPv6 sans reverse est une IPv6 illégitime à servir en tant que MX sortant.

+1

Pour les mêmes raisons que mes camarades.

seblu commented on 28.09.2014 17:37

+42

C'est sûr que la délégation de DNS inverse IPv6 est quelque chose de pointu techniquement mais je pense ne pas me tromper quand je dis que ceux qui en font la demande ici savent de quoi ils parlent. J'administre moi-même mes propre serveurs de DNS il ne me manque plus que l'enregistrement NS de 0.x.x.x.x.x.x.x.x.3.e.0.1.0.a.2.ip6.arpa. pour faire le lien

S'il vous plait Free, ne nous oubliez pas, merci.

Les poulets,

Via SPF, google ne considère plus les mails envoyés comme spam, même si l'IPv6 de l’émetteur n'a pas de record PTR.

Il vous suffit donc simplement d'avoir un nom de domaine sur lequel vous pouvez ajouter des enregistrements TXT.

Configurer DKIM peut aussi aider, mais je n'en ai pas eu besoin.

@david : ta solution marche pour ceux qui ont un problème de livraison de mail avec gmail, mais pas pour d'autres situations. Cela dit, comme il a été signalé par ailleurs, la mise en place d'un reverse IPv6 n'est pas du ressort de la Freebox mais des serveurs rDNS de Free.

+1

Ça serait vraiment top la délégation de la zone,
cela donnerai la possibilité de pouvoir déclarer un serveur DNS IPv6 pour les domaines que l'on gère
et de pouvoir envoyer des mails sans risquer le blacklistage.

HLFH commented on 02.09.2015 08:16

+1 Du coup, je vais attendre avant de migrer chez Free ;)

Bonjour

Je serais moi aussi également très intéressé par la fonctionnalité, d'autant plus qu'à ce jour même, avec un spf, dkim et dmarc, google (entre autre) refuse les mails provenant d'adresse ipv6 sans PTR (https://support.google.com/mail/?p=ipv6_authentication_error)

Merci d'avance

Je viens m'ajouter à la liste des utilisateurs qui seraient ravis d'avoir un reverse DNS personnalisé en IPv6, pour un serveur mail également.

Merci d'avance.

pywy commented on 29.04.2016 09:23

up pour 2016

Il faut voter pour cette tâche, objectif 50 votes pour interpeller les devs!

Oui, ce n'est pas logique pour nous d'avoir un système de rDNS en IPv4 et de ne pas l'avoir en IPv6. Surtout car le IPv6 reste un grand argument pour le choix de Free comme FAI devant la concurrence. (D’ailleurs, les adresses IPv4 publiques sont épuisées depuis un bon moment. Ce n'est plus une menasse pour le future lointain... C'est la réalité... C'est un fait! C'est déjà arrivé!! Le ciel est déjà tombé!!!)

Je comprends bien que cela demande un effort de développement (interface utilisateur) et de mis en place de rDNS-IPv6 pour Free, mais après tout c'est Free qui peut se venter d'avoir IPv6 totalement déployée une fois que c'est mise en place. Et en plus, il ne faut pas oublier que quand Free a commencé leur lancement de ADSL (oui, il y a long temps, et j’étais déjà la), c’était avec l'argument de vente de casser les tarifes pratiqués. Ils l'ont fait, et bien fait. Mais, venait le jour quand il fallait compter la TVA sur les connexions ADSL et c’était le moment pour Free de casser leur propre barrière de 20 Euros par mois et depuis, les tarifs de Free n'ont pas arrêtait de grimper. Je voudrais bien voir un retour de mon argent transformé en fonctionnalités améliorées.

Quand j'ai des appels de vente venants des autres opérateurs, ma premier question a eux est toujours la même : "Avez-vous IPv6 ?" Normalement, ils raccrochent dans la second qui suive... ;-) Faut-il vraiment que la concurrence se mets a déployer IPv6 en grande échelle pour que Free va mettre la priorité sur cette demande ? Il fut un temps quand Free était le pionnier dans les fonctionnalités de ADSL.

Bonjour

Je ne sais pas si ce serait plus simple mais serait-il possible de mettre en place un système pour permettre de spécifier des serveurs DNS de notre choix pour chaque range de reverse ?

Cordialement.

HLFH commented on 08.06.2016 10:39

@Ksmoin0 C'est ce que fait Online.net. Et franchement, ce serait le plus logique pour l'IPv6. Néanmoins, aucune réponse de Free alors que c'est le point culminant du support total de l'IPv6 par Free. S'il n'est pas supporté, autant dire que Free est IPv4-only !! Enfin, j'exagère un peu mais c'est l'impression que cela donne.

quinq commented on 23.07.2016 11:47

Trois ans, allez :)

.. trois et demi :)

Mon serveur de mail n'était pas en ipv6 auparavant, et je vient juste d'y être confronté chez gougle..
Ça serait en effet logique qu'on puisse faire en ipv6, ce qu'on peut déjà faire en ipv4..

Gus commented on 04.02.2017 11:53

Bonjour ! +1

je viens d’être également confronté au problème !!
ça fait longtemps que j’utilise l’ipv6, mais j’ai eu des mails rejetés car pas de RDNS sur l’ipv6 de mon serveur mail..

C’est le *seul* truc qui me manque :)

(J’ai bien les enregistrements spf)

bonjour,
C'est assez dommage de se retrouver ainsi sans même une réponse.
A la limite les gars dites nous directement osef ou on a pas envie de le faire, on sera fixé ^^
Perso ce que je trouve dommage c'est que free a été le premier a balancer IPV6 et a le faire de façon élégante qui plus est en utilisant la solution 6to4rd, du coup c'est assez dommage de laisser trainer une limitation aussi bateau.

PlugN commented on 07.11.2017 17:26

Bonjour,
On est fin 2017, presque 2018 et toujours aucun Reverse DNS pour l’IPv6... Gmail refuse la connexion à mon serveur mail ça devient franchement embêtant... Serait il possible de ne pas retarder d’avantage cette fonctionnalité, visiblement attendue par une partie de la communauté (depuis 2013 !) comme la Freebox v7 ?
Merci

Plus que 4 ans. Et encore...

État : Nouveau (Comment ???)
Assignée à : Personne
Priorité : Normale
Date d'échéance : Non décidé (Mais au moins 4 ans.)

Priorité 'Normale' quand même. Que se passe-t-il avec les taches classées en 'Priorité basse' ???

Ce qui me gêne le plus reste le manque du respect de la part de Free a ne absolument rien communiquer.

A Free : Si vous vous avez décidés de ignorer cette demande, vous pourriez au moins nous montrer le respect de nous communiquer votre décision.

(Je refuse de croire que dans une société commerciale personne a pu prendre une simple décision en 4 ans. Feuils, Râteau ...)

Il y a eu des évolutions sur l'IPv6 avec la 3.5.x, est-ce que cela en fait parti par hasard ?

Bonjour,

Je vote aussi pour cette évolution. Mais je ne me fais pas trop d'illusions !

Peut-être qu'à un moment Free répondra (même négativement) aux demandes des utilisateurs.

Bonjour a tous,
C'est fou, c'est si dur que ça a mettre en place?
On va finir par se faire rejeter tous les serveurs mail notamment parce que les règles de sécurité se durcisse et que l'un d'elle est d'avoir un enregistrement PTR correcte sur l'IPV6

+1, j'aimerai bien viré la conf sendmail qui force l'envoi en IPv4, alors que IPv6 est parfaitement fonctionnel, si ce n'est l'abscence de reverse DNS ipv6.
Et si jamais ça peut servir à quelqu'un :
CLIENT_OPTIONS(`Family=inet6,Addr=::ffff:xxx.xxx.xxx.xxx')

A voté !

Il y a du nouveau ?

+1 et +1vote

yonux commented on 03.03.2019 07:42

+1

A voté.

Je suis sérieusement en train de penser à une autre solution tellement cette situation me saoul ...

+1

D'après le 3244 toutes les freebox ont migré en ipv6 et il n'y a plus d'ipv4 et donc les services de reverse DNS ipv4 ne fonctionne plus.

Sur mon abonnement freebox one fibre j'avais personnalisé mon reverse ipv4 et maintenant ça m'indique qu'il a été supprimé du coup mes courriels ne partent plus de mon serveur …

@Samael: Houla !
En plus, il n'y a pas de pare-feu (firewall) en IPv6...
A commenter et à voter en urgence https://dev.freebox.fr/bugs/task/4110

@mbizon: un commentaire sur le reverse DNS manquant en IPv6, la suppression du reverse DNS en IPv4 et le pare-feu IPv6 manquant ?

ag commented on 28.04.2019 23:18

D'après plusieurs retours de camarades plus ou moins « auto-hébergeurs » chez Free, j'ai remarqué qu'il y avait plusieurs situations (non-exhaustives) :
* KO pour rDNS IPv6 (délégation) ;
* OK pour rDNS IPv4 en FTTH P2P (IPv4/6rd), mais voué à disparaître, car migration en FTTH PON (IPv4-in-IPv6) en cours ;
* OK pour rDNS IPv4 en xDSL (IPv4/6rd), mais sûrement voué à disparaître à terme aussi, vu la pénurie d'IPv4 déjà engagée ;
* KO pour rDNS IPv4 full-stack en FTTH PON (IPv4-in-IPv6), sauf certains chanceux situés sur une ancienne plage d'adresses IPv4 autrefois en xDSL IPv4/6rd, mais maintenant libérée pour cause de migration de DSLAM vers de l'IPv4-in-IPv6 ;
* KO pour rDNS IPv4 full-stack en xDSL (IPv4-in-IPv6), sauf certains chanceux (même explication qu'au-dessus).

Il y a aussi un problème global supplémentaire. Il se peut que la console web accepte un rDNS sur une IPv4, mais que celui-ci ne soit jamais paramétré dans les DNS de Free, bien que la console web affiche que le rDNS est installé.
Il semblerait que certaines plages d'adresses IPv4 ne soient absolument pas paramétrées dans les serveurs DNS (retour NXDOMAIN) et que d'autres plages, bien que paramétrées dans les DNS, ignorent les résultats de la « moulinette » de la console web.

Je n'ai aucun retour sur les rDNS des plages d'IPv4 statiques des abonnés ADSL non dégroupés. J'imagine que cela doit encore fonctionner si rien n'est cassé... Je confirme que ça juste fonctionnait en 2005. ;P

De mon côté j'ai fini par abandonné l'idée qu'un jour le rDNS sera configurable en IPv6. J'utilise la connexion IPv6 native freebox pour le trafic par défaut et j'ai un tunnel IPv6 chez Hurricane Electric pour les services tels que le mail car eux au moins proposent de configurer le rDNS. Comme c'est un tunnel, ça rajoute des hops et donc les temps de latence sont plus longs mais pour du mail c'est pas un problème.

Sinon pour la migration IPv6 native de free je ne sais pas si je suis déjà migré. Mon adresse IPv4 n'a pas changée et mon reverse DNS IPv4 fonctionne toujours. En revanche j'ai bien remarqué que quelque chose a changé dans le réseau free : le MTU est passé de 1500 à 1431 mais j'ai été obligé de le configurer manuellement car la découverte de MTU ne fonctionne pas correctement et ça pose problème avec certains protocole comme IPSec utilisé par pas mal de solutions VPN. La diminution du MTU est peut être lié à l'encapsulation IPv4 dans IPv6.

Ayant fait le test : https://www.speedguide.net/analyzer.php

Je suis toujours avec un MTU de 1500 (MSS de 1460), d'autres personnes peuvent tester ?

« SpeedGuide.net TCP Analyzer Results »
Tested on: 2019.04.29 04:02
IP address: 83.159.xx.xx
Client OS/browser: Linux (Firefox 66.0)

TCP options string: 020405b40402080a62e289730000000001030307
MSS: 1460
MTU: 1500

Chez moi en VDSL :

MTU = 1480
MTU is optimized for Windows XP PPoE DSL broadband. If not, consider raising MTU to 1500 for optimal throughput.
MSS = 1440
MSS is optimized for Windows XP PPPoE DSL broadband. If not, consider raising your MTU value.

FTTH 82.255.xx.xx

MTU = 1500
MTU is fully optimized for broadband.

MSS = 1460
Maximum useful data in each packet = 1448, which is less than MSS because of Timestamps, or other TCP/IP options used.

Ne polluons pas ce ticket avec nos rapports de MTU. J'ai été mal compris, je ne disais pas que le MTU avait changé mais que si je ne baissait pas manuellement le MTU, les paquets avec le flag DF (don't fragment) de plus de 1431 octets ne passaient plus et sans avertissement des routeurs (qui devraient répondre dans un cas pareil avec un message ICMP type 3 code 4 "fragmentation nécessaire mais impossible à cause du flag DF"). IPSec utilise des trames UDP avec ce flag. Du coup les VPN basés sur IPSec ne fonctionnent plus chez moi si je ne baisse pas le MTU sur mon interface réseau connectée à la freebox.

Bonjour,

merci de nous déleguer les reverse des blocs qu'on puisse les gérer avec nos serveurs DNS pour tout le /60 pour le coup, pas uniquement pour le premier /61 qui est routé sur la freebox alors que Free nous envoi tout le /60

Cordialement,
nbanba

Bonjour,

Je confirme le problème de reverse DNS. Avec la Freebox V5 en ADSL et IPV4, reverse DNS ok. Passage en IPV6, le changement de mon reverse a été pris en compte mais n'est pas actif. Je viens de migrer vers la Freebox V6 et la FTTH, toujours en IPV6, la situation est toujours la même…

+1

Pour info : Attention : Pare-feu (firewall) pas complet du tout lorsqu'il est activé.
"Cochez cette case si vous souhaitez que votre Freebox filtre le traffic entrant inconnu."
Aucun paramétrage de réglages.

4 juin 2019 à 11:05 : Arrivée d'un firewall IPv6
https://dev.freebox.fr/blog/?p=5416

"Firewall IPv6. Désactivé par défaut, en fonction des retours il est possible qu’il soit activé par défaut dans le futur (seulement pour les abonnés qui n’auront pas modifié leur configuration)."

pas complet? il chauffe pas le café ?

alcor commented on 14.06.2019 13:57

+1

Je connais pas la raison précise pour laquelle free n'implémente rien dans cette optique, mais je soupçonne que ce soit, entre autres, pour éviter que les gens mettent des champs autre que PTR dans une zone .ip6.arpa.

Après, il faut pas se mentir, ça intéresse combien de personnes une délégation de zone ?
Si quelqu'un se sent de lancer un sondage façon ipv6pourtous.free.fr (site qui semble down, d'ailleurs) je parie sur un succès bien plus faible (mais pour le coup, j'aimerais me tromper).

Mais sinon, ça couterait pas grand chose de construire le reverse à la volée. Le rendu final ressemblerait aux reverses par défaut sur les ipv4 où la représentation texte de l'ipv4 fabrique le reverse:

$ dig +short -x 82.64.90.254
82-64-90-254.subs.proxad.net.

Perso, rien qu'avec ça je serais satisfait.

@crazyfred

Une raison pour laquelle on n'a pas de retour ici est que le reverse n'est pas une fonction de la Freebox en tant qu'équipement terminal situé chez l'abonné, c'est une fonction des DNS chez Free qui détient les IPv6 (et IPv4) et est le seul qui peut répondre à ces préfixes ; il n'y a rien à développer à l'intérieur des boxes.

Après, ce n'est pas la faiblesse du besoin qui empêcherait Free d'implanter la chose, ils l'ont fait pour IPv4 (et pas non plus dans la box, mais sur leur site), et le besoin de reverse en Iv4 n'est pas plus grand qu'en IPv6.

Ça pourrait donc se faire comme le reverse IPv4 : sur le site, on définirait la délégation vers une (ou des) IPv6 du préfixe alloué.

Et s'ils craignent qu'on mette n'importe quoi, ils peuvent à la place d'une vraie délégation fournir une table "IPv6, reverse" (mais bon, je parie que leur philo, s'ils le font, sera "your reverse, your mess.")

@aaribaud

Pour le coup, ça pourrait complètement être une fonction de la freebox.

Je ne suis plus en mode routeur, donc je peux pas vérifier, mais la freebox a déjà un service DNS qui, pour autant que je me souviennes, fait aussi le reverse des machines qui ont un bail DHCP (ou font du mDNS ou je sais pas trop quoi d'autre).
Ce serait pas fondamentalement compliqué d'ajouter des entrées statiques pour la zone en ip6.arpa

Donc, on ajoute une délégation automatique pour chaque abonné dans les DNS de free qui pointe vers les freebox et le compte est bon.

Après, tout se complique si on veut gérer à peu près correctement les cas:
- ipv4 partagée
- mode routeur / bridge
- DNS sur une machine perso (ipv4 et/ou ipv6)

Au final, ce serait bien plus simple d'avoir comme pour ipv4 quelque chose dans l'interface client qui permet:
- soit des entrées PTR statiques
- soit une entrée NS

@crazyfred

Oui, on pourrait imaginer que Free implante chez eux un délégation inverse vers la freebox associée au préfixe à résoudre, et que la freebox assure (ou délègue) cette résolution localement ; mais ce n'est pas la seule approche, et ÀMHA ce n'est pas une approche favorisée par Free pour ces raisons au moins :

- Elle fait dépendre la résolution inverse de deux éléments : leur propres serveur DNS et ceux de la box, alors qu'en assurant la résolution inverse chez eux, ils ne dépendent pas du firmware de la box, ni même du modèle de la box, ni même de l'existence de la box (il y a des barbus puissance 2 qui ont un accès Free et pas de box).

- Si la box est injoignable, ça empêche la résolution inverse alors qu'il n'y a aucune raison que l'un dépende de l'autre fonctionnellement.

À quoi personnellement j'ajouterais que mettre un résolveur inverse dans le préfixe qu'on veut résoudre, c'est pas très propre, mais bon, là c'est un avis perso. :)

En résumé, Free a le choix entre plusieurs solutions qui l'obligent toutes à gérer la résolution inverse jusqu'au préfixe, et l'une, celle que tu suggères, l'oblige *en plus* à gérer un résolveur inverse public dans la freebox ; pourquoi choisiraient-ils celle qui demande le plus de travail (de dev, puis de maintenance) sans ajouter de fonctions et sur laquelle ils ont moins la main ?

Par ailleurs, concernant le DNS existant dans la box : il a son rôle, justement, pour le réseau local, et n'est pas visible du tout de l'extérieur, et c'est tant mieux. :)
Le rendre visible sur l'extérieur, même en théorie seulement pour la résolution inverse, c'est ajouter une surface d'attaque potentielle.

Du coup, ta proposition (des PTR ou un NS) serait sans impact de sécurité réseau pour l'abonné et répondrait, je pense, à la grande majorité des demandes – y compris quand on veut une résolution inverse mais par un NS qui n'est pas chez Free, redondance oblige.

Mais, du coup, c'est pas une proposition à faire ici :)

Je suggère, si tu es courageux :) , d'aller porter la proposition sur proxad.free.services (ça me paraît le groupe le moins inapproprié). Sait-on jamais, un Corp pourrait y répondre.

@aaribaud

j'ai toujours voulu être barbu niveau 2, mais c'est interdit par free.

sur ma freebox V5, je perds la TV si je fait ça (et Rani a prévenu, n'essayez même pas d'avoir le flux TV autrement que par la voie officielle)
sur ma freebox mini 4k en ZMD (sur fibre SFR), je n'ai vu personne réussir à brancher le module SFP et en tirer quelque chose (et c'est con, parce que le mini player se fout d'être derrière un NAT, au contraire de la freebox HD qui demande de ponter le VLAN 100)

si la freebox devait assurer la résolution:
- il serait plus malin que free attende l'uniformisation des freebox (ie la disparition des freebox v4 et v5)
- si la box est injoignable, ça me parait pas dramatique de pas arriver à résoudre le nom d'une machine elle aussi injoignable

sinon, je viens de faire un tour sur proxad.free.services, et ça ne me rassure pas.

étant depuis très longtemps en ADSL avec un reverse personnalisé, je découvre tout juste le souci qu'ont certains sur les reverses que l'espace abonné autorise de changer et qui en pratique ne changent pas.

du coup, je pense que c'est peine perdue d'espérer la moindre action sur les DNS, que ce soit pour les reverse ipv4 comme pour ipv6.

en tant qu'éternel optimiste, j'ai toutefois un léger espoir qu'en ipv6 ce soit possible un jour, vu que c'est le "futur" (bon, je sais, ça fait 20 ans que c'est le futur), alors que ipv4 c'est le "passé" (la tendance est à fournir l'ipv4 over ipv6, c'est un signe...)

je vais tenter un sujet quand même car, effectivement, on sait jamais.

Bonjour

Comme déjà écrit plus haut, je souhaite juste que free nous délègue le bloc /60 qui est routé vers la connexion.
Pas besoin de rajouter des éléments dans FreeboxOS, juste une option sur le site du type "délégation du bloc ipv6 à un serveur externe " avec 1 champ de saisie pour les serveurs DNS cible suffit.
( même formule que le champ ipv4 qui permet de spécifier 1 nom de domaine, sauf qu on spécifirait les ip des serveur cible )

Ça devient d autant plus urgent que le reverse ipv4 ne fonctionne plus sur les connexions ftth pon avec ce que free appel une ip full stack . Idem pour ce point, free devrait déléguer à nos serveurs DNS le "bloc" v4 /32 que constitue l ipv4 "full stack " fournie (Ca ferait un peu plus bosser leur serveurs DNS qu aujourd'hui, mais ça résoudrait les problèmes qui semblent plus politique que technique )

Dans le cas de v6 ou chaque client dispose de milliards d ip publiques, en proposant cette délégation à nos serveurs DNS, cela éviterai à free de maintenir des quantités d enregistrements venant polluer ses serveurs DNS ( Je dis ça dans le cas où free proposerait en v6 le même système qu aujourd'hui en v4. Mais comme rien n est en place, free n a rien à maintenir pour le moment...)

C est quand même idiot aujourd'hui de fournir un /60 À chaque client dont on ne peut exploiter avec la box que le premier /61 (Le 2e est bien routé vers la box, mais on ne peut configurer que 8 NH pour les /64 De 0 à 7 ! 8 à f a été oublié ??) et de ne pas pouvoir configurer correctement sa connexion à cause du manque de delegation des reverse . J avoue ne pas comprendre la stratégie de free sur ce point, alors aurais free se veut précurseur sur le marché a tous les niveaux ( box, débit, techno... )

Cordialement
Nbanba

Bonjour,

depuis un certain temps free s'en tape des "barbu" la réponse a tout ça c'est simple, ça marche pour le commun des utilisateur alors c'est bon ...

je doute qu'on ai un jour prochain la délégation v6 full ou les reverse

j'ai pas eu le temps de tester mais je suis pas sur qu'on puisse encore avoir un routeur en direct, depuis que l'ipv4 est encapsuler dans l'ipv6 et que c'est la Freebox qui doit probablement gérer ça ...

P.S le bridge déconne a fond les ballon depuis que cette migration ...

Je me suis retrouvé en copie de ce ticket parce que j'aurai aimé avoir un reverse DNS IPv6 (plutôt que de forcer l'envoi de mail en IPv4). J'ai abandonné l'espoir que ça arrive un jour.

Il y a quelques jours, suite à un changement d'IP (non annoncé, évidemment...), je suis passé par une 'fausse' IP (range de ports) puis après un peu de debug, une vraie IP "Full Stack". Même pas de changement de techno, toujours sur un bon vieux ADSL, la fibre, c'est pas encore pour tout de suite.

Seulement, maintenant, c'est le reverse IPv4 qui ne se met pas à jour. Le support ne comprend pas la question, même formulée de manière simple et didactique, et s'acharne à demander à rebooter la box, ce qui laisse hésitant entre hurler de rire ou de désespoir...

Vous connaissez des FAIs barbu-compliant, avec IP fixe, pas de filtrage de port et reverse DNS IPv4 à minima, IPv6 en bonus ? Free ne remplit malheureusement plus mon cahier des charges, après des années de bons et loyaux services.

yonux commented on 02.12.2019 14:55

La seule solution pour ceux qui, comme nous, on des besoins spécifiques (et les connaissances suffisantes), c'est passer par des FAI Associatif, style FDN et toutes les associations membres de la Fédération FDN (FFDN).
Fait chez moi et j'en suis content.
Pour le moment je fais passer le mail à travers un VPN mais j'espère bien pouvoir avoir un accès fibré complet d'ici à pas longtemps (et virer Free ou autres FAI qui t'obligent à avoir une "box" inutile et chauffante).

Pareil ici après plusieurs tentatives impossible de revenir sur mon reverse DNS personnalisé en IPv4...

On débarque sur un domaine 82-x-x-x.subs.proxad.net

Pour répondre aux derniers commentaires. Moi aussi je suis passé en IPv4 full stack ADSL après m'être fait migré mon IP sans préavis en 1/4 de stack. Et là plus moyen de retrouver mon rDNS IPv4 qui fonctionnait bien depuis 10 ans.
Pour ne rien arranger, voici une réponse qui ne va pas vous plaire même si elle entretien une petite lueur d'espoir : https://dev.freebox.fr/bugs/task/26823

Si l'espoir est dans la phrase "le Reverse DNS n'est pas fonctionnel en Fibre Optique pour le moment" je prendrai ça pour un simple constat et en rien pour "peut être un jour" :)

tk28 commented on 30.12.2019 13:08

+1 Pour le reverse fonctionnel en IPV6 & IPV4

Bonjour,
- Je m'ajoute à la longue liste des auto-hébergeurs demandant respectueusement le retour d'un reverse DNS fonctionnel. (FTTH, IPv4 statique full stack).
- Ce thread me permet aussi de comprendre pourquoi, du jour au lendemain, mon routeur en aval de la boxe (OpenWRT) s'est mis à sévèrement déconner. D'après ce que je comprends c'est au moment où Free a migré vers IPv6 chez moi, et du coup comme j'étais pas au courant j'ai pas su comment configurer le bazard).
- Aujourd'hui je suis incapable de me sortir de la blacklist SORBS car mon range IPv4 y est (depuis 2003...) et le rDNS ne correspond pas à ce qu'ils attendent.

Arrêtez TOUS avec vos demandes de reverse DNS en IPv6...

Cette demande n'est en réalité pas très pertinente et semble montrer en faite une grande incompréhension du protocole IPv6.

En IPv4 Free vous attribue une adresse IP, donc oui c'est concevable d'offrir une reverse DNS, c'est assez simple à mettre en oeuvre
MAIS en IPv6 Free ne vous attribue pas UNE IP mais UN BLOC d'adresse IP ou prefix de longueur 61 bits subdivisé en 8 preefix de longueur 64 bit

A partir de là expliquez moi sur quel adresse IPv6 devrait s'appliquer la Reverse DNS ? On tire au pif ?
Déjà la première adresse du bloc est réservée à la Freebox.... mais par définition vos serveurs auront des adresses IPV6 DISTINCTES de la Freebox

L'IPv6 FONCTIONNE DE FACON ASSEZ DIFFERENTE DE L'IPv4

Vous êtes tous hébergeurs et vous n'avez toujours rien compris.
En IPv4 votre serveur est masqué du réseau internet via un réseau local c'est ce que l'on appelle le NAT

EN IPv6 IL N'Y A PAS DE NAT ! Est-ce que vous arrivez à comprendre ????

Donc vous pouvez loger une multitude de serveurs physiques qui auront TOUS des adresses IPv6 différentes ET C'EST LE GRAND INTERET DE L'IPV6 !!!!
Même sur un même serveur physique vous pouvez très bien configurer une multitude de serveurs avec chaque fois des IPv6 différentes.... pour cela à vous d'apprendre à maitriser votre OS, il y a suffisamment de forum pour cela, ce forum n'est pas le lieu pour vous former à Linux ou autre

Etre en mesure d'assigner une IP distincte à votre serveur email, à votre serveur Kodi.... pouvoir héberger plusieurs serveurs HTTP sans avoir à bidouiller avec le port forwarding pour différencier les serveurs par leur port, voilà l'intérêt de l'IPv6, c'est COMPLETEMENT CRETIN de vouloir loger tous ses serveurs derrière une même adresse IPv6 alors que votre opérateur vous offre UN BLOC D'ADRESSE

Partant de là mettre en place un système de paramétrage de reverse DNS IPv6 c'est encore plus s'approcher d'une prestation d'hébergeur
Etant donné que ce type de demande ne concerne qu'une minorité d'utilisateurs, que la prestation Free N'EST PAS UNE PRESTATION D'HEBERGEMENT, il y a très peu de chance que ce soit mis en place

Un nom de domaine ça coûte S E U L E M E N T, 11 euros par an chez OVH
Pour ce tarif vous avez une adresse mail, un hébergement web et en effet la possibilité de paramétrer le serveur DNS racine du domaine acheté, et là vous pouvez assigner autant de reverse DNS que vous souhaitez en IPv4, IPv6

MAIS cela requiert un niveau de connaissance un peu plus avancé soit connaitre les bases de fonctionnement d'un serveur DNS racine
Inutile de dire que ce forum et la cellule d'assistance téléphonique SERA INONDE de demandes de support d'utilisateurs qui n'auront pas compris que ce type de demande.... ce sont avant les forum Linux, le WIkipedia qui le fournira.

JE VOUS INVITE TOUS A POTASSER WIKIPEDIA ET A SERIEUSEMENT VOUS FORMER SUR L'IPV6

La meilleure solution reste de loin l'acquisition d'un nom de domaine auprès d'OVH, arrêtez de pleurer pour 11 EUR par an

Je ne comprends toujours pas pourquoi ce fil n'a pas été fermé alors que l'on sait qu'il y a très peu de chances pour que cette demande soit traitée car s'adressant à peut-être 1% de la base de clientèle Free.... à partir de là est-ce réellement rentable pour Free d'aller se lancer dans un développement qui s'avèrera assez complexe ?

En plus cette demande ne relève de toutes les façons pas directement du développement de la Freebox.
Cela relève d'équipes de développement niveau INFRASTRUCTURES Free

La seule chose que peut faire l'équipe de DEV de la Freebox c'est transmettre la demande aux services infrastructures MAIS VOUS DEVEZ COMPRENDRE QUE CE N'EST PAS EUX QUI DEVELOPPERONT CELA, donc ça n'a rien à faire dans ce bug tracker, C'EST HORS SUJET

yonux commented on 05.02.2020 14:39

Bin moi j'aime bien les gens qui posent des pavés et qui font des erreurs :)

La demande est simple : on veut pouvoir gérer notre sous réseau IPv6 avec notre serveur DNS.

Car pour le moment, on a beau avoir un nom de domaine chez OVH ou n'importe qui, ça ne résout absolument pas le problème.
L'adresse IP (v4 ou v6) provient d'un sous réseau appartenant à Free, donc quand la requête reverse est envoyée c'est les serveurs Free qui répondent.
Pour ça il faut que Free nous délègue la zone. C'est tout ce qu'on demande.
Pourquoi on fait ça ici ? Bin ... si quelqu'un connait un autre endroit plus approprié qu'il n'hésite pas à nous l'indiquer !

(comme quoi on peut faire une réponse simple, claire et rapide, sans majuscules partout ...)

Merci pour ta réponse yonux, le commentaire précédent était excessivement pénible à lire et très déplacé.

À défaut de mettre en place la nouvelle fonctionnalité qu'est la délégation du reverse IPv6, réparer la fonctionnalité de reverse IPv4, qui était et est toujours annoncée/vendue par Free, ça serait déjà pas mal.

https://free.fr/assistance/54.html

Ce n'est _pas_ une demande de nouvelle fonctionnalité, mais bien une demande de correction d'une _régression_ excessivement gênante (et qui risque de couter des clients à Free).
A titre personnel, dès qu'IsèreFibre (càd SFR) aura fini de bâcler son boulot, je m'en vais chez un autre fournisseur et ça ne sera pas Free ni aucun des autres gros FAI qui ne respectent pas leurs clients. Longue vie à la FFDN :-)

Ignorons le post du troll @Wozzeck. Jusqu'alors tous les autres contributeurs de ce ticket savent de quoi ils parlent.
On parle bien ici d'une demande d'évolution du service IPv6 pour déléguer la résolution DNS inverse d'une plage IPv6 (celle du client final). Hurricane Electric le propose pour les plages IPv6 qu'il fourni à travers son service tunnel broker. Donc rien d'infaisable ni d'innovant, ça existe déjà mais ça demande du développement et des ressources pour ajouter ça à l'interface de configuration. Espérons que free a bien une place pour ça dans sa roadmap.
Le fait que la personnalisation de l'adresse IPv4 ne fonctionne plus depuis le changement de stratégie d'attributions des IP par free est un autre problème discuté sur un autre ticket où les clients demandent le rétablissement de ce service au moins pour ceux qui ont fait la demande d'une IPv4 full stack. Ce problème est différent car l'interface de configuration existe déjà mais elle ne fonctionne plus dans les fais.

Bonjour,

@Wozeeck : Merci de revoir tes classiques !

1) Déjà, Wikipedia, ce n'est pas la vérité... on y trouve pas mal de choses intéressantes mais ce n'est pas une garantie de véracité.
Reprends plutôt les docs de la taskforce au moins tu aura des infos a jour et vérifié par ceux qui les créés (ietf.org)

2) Depuis quand l'IPv6 ne fonctionne pas comme l'IPv4 ?
Ce n'est pas parce que la norme minimal d'adressage c'est un /64 que ça ne fonctionne pas comme en IPv4 ...
Je t'invite a revoir tes classiques et notamment les fondement de l'IPv6 et les différence de classes entre ULA (Uniq LOCAL Address ) et UGA (Uniq GLOBAL Address) . La seule différence majeur c'est le link-local et les annonces RA (Router Advertisement) et la possibilité de faire du SLAAC -(StateLess Address AutoConfiguration) . Si t'as fais un peu de routage, tu peux comparer les RA sur le link-local a des échanges entre un noeud et sa gateway sur un link CONNECTED ou le routeur publierai ses infos sur le segment réseau.

3) Comme évoqué au point 2, la classe fc00/7 (les ULA) est une classe d'adresse local propre à un réseau local . Le NAT existe donc bien en IPv6 comme en IPv4 entre les pools d'UGA du routeur/firewall qui porte le peering Internet et les ULA qui sont sur les segments locaux derrière le routeur/firewall.
Après le fait d'avoir beaucoup d'IPv6 UGA permet de faire comme les grosses entreprise le font avec IPv4, c'est a dire des NAT-POOL de sorties ou au lieu d'utiliser 1 ip de sortie, on utilise aléatoirement ou par affinité définie entre pool d'UGA et pool d'ULA, 1 seul IPv6 du nat-pool UGA pour sortir sur internet pour 1 ULA donnée

4) On ne demande pas la lune ... On demande juste que Free délègue les blocs /60 qui sont attribués à chacune des connexions Free à nos serveurs DNS. Ne t'inquiète pas pour nous, devrais savoir configurer nos root DNS sans l'aide de wikipedia .
Au niveau dev, il n'y a pas grand chose a faire par rapport à ce qui est déjà en place pour l'IPv4 et qui ne fonctionne plus. Dans le champ de saisie du reverse sur le site de Free, au lieu de mettre ton nom de domaine, tu mettrai l'adresse de la tête de ta dorsale DNS. Côté Free, au lieu d'ajouter un enregistrement PTR dans la zone reverse du bloc IP, il faudrait juste modifier dans la conf DNS l'IP du serveur DNS qui sera master sur le bloc /60 :

Par exemple dans BIND si ton bloc IPv6 Free est : 2a01:0e0a:0f32:d6c0::/60

–> On calcule le reverse du bloc
19:38:32 root@14RV-FBXSRV-02:~# ipv6calc -I ipv6addr -O revnibbles.arpa 2a01:0e0a:0f32:d6c0::/60
c.6.d.2.3.f.0.a.0.e.0.1.0.a.2.ip6.arpa.

–> On génère la conf pour BIND :

zone "c.6.d.2.3.f.0.a.0.e.0.1.0.a.2.ip6.arpa." {

      type slave;
      masterfile-format text;
      file "zone-file-path/db.c.6.d.2.3.f.0.a.0.e.0.1.0.a.2.ip6.arpa";
      masters { ADDRESSE-DE-TON-SERVEUR-DNS; ADDRESSE-DE-TON-SERVEUR-DNS-SECONDAIRE; };
      allow-transfer {
         dns-de-free1;
          ...
         dns-de-freeN;
      };

};

Voilà, le seul travail a faire côté FREE (par rapport a ce qui existe déjà en v4 et qui ne fonctionne plus) est :
Au lieu de créer un enregistrement PTR dans la zone reverse du bloc ipv4 (1 ligne), il faut remplacer la ligne commençant par "master" dans la définition de la zone reverse du bloc IPv6 par :

 
      masters { ADDRESSE-DE-TON-SERVEUR-DNS; EVENTUELLEMENT-ADDRESSE-DE-TON-SERVEUR-DNS-SECONDAIRE; };

Le travail ne semble pas très important a faire... !

Donc WOZZEC, à mes yeux, on ne demande pas la lune !
Et t'inquiète pas pour nous, L'audience de ce poste semble bien avoir appris sa leçon sur "comment fonctionne l'IPv6", par contre, il semblerait que ce jour là, tu ai fais l'école buissonnière .

Et si je peux me permettre un conseil, avant de lire wikipedia, RTFM !

Cordialement,
nbanba

PS:
Pour les non barbus, RTFM = Read The Fuckin Manual

+12

Je me rajoute à cette liste, je viens de découvrir ce problème en rappatriant mon serveur, c'est bien joli les interfaces de configuration qui ne pointent vers rien, mais c'est très relou de s'en rendre compte en fouillant internet.

Je vais partir sinon.... :/

test sur fibre :

« SpeedGuide.net TCP Analyzer Results »
Tested on: 2020.03.05 12:57
IP address: 82.64.xx.xx
Client OS/browser: Mac OS (Firefox 71.0)

TCP options string: 020405b4010303050101080a39d85a400000000004020000
MSS: 1460
MTU: 1500
TCP Window: 131744 (not multiple of MSS)
RWIN Scaling: 5 bits (2^5=32)
Unscaled RWIN : 4117
Recommended RWINs: 64240, 128480, 256960, 513920, 1027840
BDP limit (200ms): 5270kbps (659KBytes/s)
BDP limit (500ms): 2108kbps (263KBytes/s)
MTU Discovery: ON
TTL: 48
Timestamps: ON
SACKs: ON
IP ToS: 00000000 (0)

7 ans plus tard, j'ajoute un vote à cette demande.

jU2k commented on 26.06.2020 20:55

J'ajoute également un vote.

+1

À mon tour, +1. Même sans interface joli, juste pouvoir mettre le bon PTR, ça serait bien.

En status nouveau depuis 04/07/2013

C'est assez simple en faite :
je veut une correction de la regression sur l'ipV4 ET pouvoir le faire sur l'ipV6 ....

J'ai vue sur d'autre post, on attend que la migration v4 vers v6 soit terminer est utopique !
Ca va ce faire beaucoup trop lentement, et c'est un besoin que vous vendez (au moins pour l'ipv4) mais sur lequels ya aucune réponse !!!!

J'ai un peu l'impression d'avoir fait un pret a ma banque, d'en payer les interets, mais d'avoir jamais eu l'argent ......

Ca devient pitoyable cette affaire.

Tant que vous y êtes, pensez également à l'activer sur online/scaleway ; là aussi c'est magique l'ipv6 ready... mais sans reverse personnalisable !

Gus commented on 11.11.2020 14:30

Bref, je pense que la seule solution pour les faire bouger,
serait de trouver un FAI concurrent qui propose ce service... et de se casser de Free.

Ça fait trop longtemps que ça dure.

Pour ma part, je penche pour OVH : https://www.ovhtelecom.fr/offre-internet/connect/

Avez-vous d'autres pistes ?

Bon, il ne faut pas exagérer non plus.

Le reverse DNS c'est surtout utile pour ceux qui veulent héberger leur propre serveur de mail et pour ceux qui veulent un joli nom quand on ping leur IP (en simplifiant un peu le trait). Et c'est vrai que dans le cas du serveur de mail c'est carrément indispensable.

Cela dit, Free fournit un accès Internet grand public et ils n'ont JAMAIS fait valoir le reverse DNS comme argument commercial ou contractuel (ça ce concerne que des connaisseurs avertis). De même que l'IP fixe d'ailleurs. C'est un bonus plus que bienvenu certes mais en aucun cas une obligation. Et chez la concurrence, pour les offres grand pubic (j'exclue volontairement OVH qui est clairement orienté professionnel ou presque), ne comptez surtout pas dessus, ce ne sera jamais proposé, tout simplement parce qu'ils feront tout pour vous empêcher d'utiliser votre accès de façon un peu trop poussée (hébergement de services...) pour vous obliger à prendre des offres professionnelles, ce que ne fait pas (encore) Free.

En fait on a la chance que Free propose certaines fonctionnalités orientées "geek" que j'apprécie grandement (même si on sent que c'est un esprit qui s'est un peu perdu ces derniers temps, hormis la Delta et Freebox OS en général), et j'aurais aussi besoin de cette fonctionnalité de reverse DNS qui m'oblige à passer par un hébergement externe pour certains usages. Mais je peux comprendre que même si c'est "simple" à implémenter, que ça ne fasse pas partie de leur priorités.

Pour IPv6 en revanche, pour faire les choses bien, c'est déjà plus compliqué car un simple PTR ne suffit pas, il faut faire une vraie délégation. C'est déjà plus difficile à mettre en place.

Je ne comprends pas la remarque par rapport à Online/Scaleway, effectivement le reverse n'est pas personnalisable avec l'IPv6 attribuée automatiquement en stateless si on l'a activée, mais chez eux c'est géré avec un préfixe qui vous est attribué et que vous pouvez router à votre convenance par délégation de préfixe via DHCPv6, et dont la délégation DNS se fait de façon tout à fait correcte. C'est beaucoup plus flexible et complet.

Enfin bref, j'aimerais bien avoir la possibilité de reverse IPv4 et de délégation pour le reverse IPv6, mais il faut attendre qu'ils prennent le temps de se pencher dessus et il ne faut pas faire comme si c'était un dû...

@bgaillard https://free.fr/assistance/54.html Pour le rDNS IPv4, c'est documenté, c'est accessible dans l'interface de configuration, c'était fonctionnel, ça ne l'est plus, ça s'appelle une régression.
Et le fait de ne pas avoir de réponse de Free après plusieurs _années_, ça s'appelle se foutre de ses clients et à ce point, le seul correctif possible est de changer de FAI.
On peut aussi noter qu'attribuer les adresses IPv4 full stack dans un range déclaré comme dynamique n'arrange rien pour les serveurs de mail.
Pour la délégation IPv6, effectivement, c'est une nouvelle fonctionnalité qui ne deviendra critique que lorsque IPv4 aura fini de tomber en lambeau mais on s'en rapproche...

@bgaillard

Sans exagérer.
Le ticket est ouvert depuis 04/07/2013 , a ce tarif la on ne parle plus de "non prioritaire", mais de "on en a rien a caré de vos besoin".

Le "on as de la chance que ...." non je suis pas d'accord avec toi, je pense que tout les fournisseur devrait proposer ces fonctionalitée. ca me semble etre la structure même d'internet.

Moi je veut un abonnement à internet, pas un accès à (écrire ici le service d'un gafam de ton choix)

Et quand j'ai prit mon abbonnement chez free, c'etait pour ce package (ip fixe, reverse dns, enfin tout ce qui fait que tu a la main sur ton lien à internet !)

Bonjour

Je comprends l’agacement général sur ce sujet et c'est vrai que niveau Geek, on n'a plus la réactivité des débuts de Free.

Et @brinbois j'ai souscrit chez Free pour les mêmes raisons que vous ! et malheureusement je suis entrain de voir pour une fibre chez Celeste ou chez Covage car au moins on peut tout configurer correctement chez eux.

Maintenant, je ne crois pas que des remarques comme "Ça devient pitoyable cette affaire" fassent avancer les choses, même si on le pense avec conviction.

J'avoue être déçu de Free sur la partie IPv6, j’espérais qu'avec la migration du réseau en IPv6 natif, Free fournirait un package beaucoup plus complet permettant d'exploiter convenablement ce qu'ils fournissent.

Ce n'est malheureusement pas le cas aujourd'hui, mais je ne désespère pas qu'à l'avenir, Free nous donnera la possibilité d'exploiter ce qu'ils nous fournissent, à savoir en IPv6 :
- personnalisation reverses DNS - gestion des annonces "ra" sur le réseau / SLAAC / StateFull DHCPv6
- gestion des IPv6 en entrée et en sortie (ouverture de port, NAT, pool d'IPv6 en sortie, etc...)
- gestion des IPv6 local sur le réseau (fd00::/8)

Vous me direz certainement d'utiliser mon propre routeur, mais en activant les next-hop sur tous les subnets, on ne peut pas désactiver les annonces sur le segment local derrière la freebox, même si le routeur gère les annonces sur ce segment :

# radvd configuration generated by radvdump 2.17
# based on Router Advertisement from fe80::3627:92ff:fe63:3990
# received by interface sfp-nba0
#

interface sfp-nba0
{

AdvSendAdvert on;
# Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump
AdvManagedFlag off;
AdvOtherConfigFlag off;
AdvReachableTime 0;
AdvRetransTimer 0;
AdvCurHopLimit 64;
AdvDefaultLifetime 1800;
AdvHomeAgentFlag off;
AdvDefaultPreference medium;
AdvLinkMTU 1500;
AdvSourceLLAddress on;

}; # End of interface definition

et surtout on ne peut pas régler la box en cliente du routeur, par exemple pour que le dhcp de la box distribue des IPv6 sur un prefixe local donnée lorsqu'une machine se connecte au wifi (sans forcer l'overlapping des subnet sur les interfaces du routeur ce qui est très moche !) .

Alors vous me direz de passer en bridge, mais pour le coup, il faut se priver de pas mal des fonctionnalités de la box, notamment du wifi, probablement de l'accès distant, et pour les propriétaires de Delta, je ne suis pas sure que le pack sécurité (et la caméra wifi) fonctionne, ni que l'appli Freebox pourra piloter l'alarme depuis l'extérieur du réseau. Idem pour les chipsets Somfy. De plus, visiblement, en mode bridge on perd tout support de Free (je ne vois d'ailleurs pas pourquoi !!), assez délicat quand on utilise le pack sécurité.

Bref, je trouve dommage de devoir faire le choix de perdre presque toutes les fonctionnalités que Free met en avant juste pour pouvoir gérer correctement l'IPv6 (au manque près de la délégation du /60 à nos serveurs DNS) qui pourtant arrive en natif sur notre connexion.

Ce qui à permis à Free son développement des premier temps, c'est qu'à l'époque, les geek ont dit : Free c est bien, c est le meilleur sur le marché et ce n'est pas cher!
Et malgré le pas cher, les gens avaient peur de franchir le pas face à l'opérateur historique.
Mais comme les geek ont dit: si c est bien, et même mieux pour moins cher, Free a connu le développement fastueux de Libertysurf à 2010+

J'avoue que la stratégie actuelle visant à négliger les Geek au profit du grand public est probablement responsable de succès mitigés comme la Delta, et fort dommage, car on finira tous par partir et ils pourront fermer ce forum !

Malheureusement très décu
Cordialement
nbanba

@bgaillard

Sans exagérer.
Le ticket est ouvert depuis 04/07/2013 , a ce tarif la on ne parle plus de "non prioritaire", mais de "on en a rien a caré de vos besoin".

Le "on as de la chance que ...." non je suis pas d'accord avec toi, je pense que tout les fournisseur devrait proposer ces fonctionalitée. ca me semble etre la structure même d'internet.

Moi je veut un abonnement à internet, pas un accès à (écrire ici le service d'un gafam de ton choix)

Et quand j'ai prit mon abbonnement chez free, c'etait pour ce package (ip fixe, reverse dns, enfin tout ce qui fait que tu a la main sur ton lien à internet !)

@nicolas : J'exprime, en liberté, mon opinion du moment que ça n'attaque personne de façon ciblée et que ça ne fait pas dans la diffamation.
Quant au fait que ça fasse avancer ou pas les choses, je prends ça pour de la douce ironie adressée "à Free" plutôt qu'à moi-même.

Pour le reste, j'aime (ironie) quand des personnes étrangères à l'éditeur / au fournisseur interviennent pour nous expliquer que telle ou telle demande ne sert à rien et/ou qu'on peut très bien faire autrement.
Ce à quoi je réponds que pour d'autres ça serait utile et que, pour ce qui relève de méthode, je suis très heureux (sans ironie) pour elles si elles ont trouvé une solution à leur pied... Il faut seulement admettre que ça ne change rien à la légitimité de ce ticket bonifiant avec l'âge.

Pour ma part, ET pour un particulier, je considère que gérer le reverse au niveau de l'ISP me semble préférable et que faire mumuse avec de la délégation juste pour contourner un pb de reverse.

la dernière phrase est approximative en syntaxe mais le sens est là.

pav commented on 07.01.2021 20:56

Bonjour, même problème, pas de possibilité de configuration du reverse-dns en ipv6, ce qui est problématique pour la bonne configuration d'un serveur mail (et oui, c'est légitime de faire de l'ipv6).

De plus, pour ma part, la configuration du reverse-dns en ipv4 ne fonctionne pas non-plus alors qu'il est sensé être actif d'après l'interface de configuration free, et le TTL largement écoulé.

# ip volontairement changée pour l'exemple
dig -t PTR 44.22.64.82.in-addr.arpa.

;; ANSWER SECTION:
44.22.64.82.in-addr.arpa. 83882 IN PTR 44-22-29-88.subs.proxad.net.

Au lieu de "44-22-29-88.subs.proxad.net.", je devrais avoir le nom de domaine que j'ai renseigné dans le champ "Reverse DNS personnalisé" du menu "Personnaliser mon reverse DNS" de mon interface de configuration free.

À dans 7 ans pour voir si le ticket cours toujours :-)

Pour le reverse ip4, je n'ai pas rencontré de souci.
J'ai dû mettre à jour le nom associé à mon ip il y a environ 2 semaines et tout s'est passé sans accroc : suppression du reverse perso existant, attente, configuration du nouveau reverse, attente.

Si nous pouvions rester dans le sujet...

@Lat31320 : Cela a fonctionné sur un abonnement avec IPv6 par défaut et son IPv4 full-stack virtuelle ?
Combien de temps cela a pris ?

@Neustradamus : je ne sais pas ce que tu entends par abo ip6 "par défaut" (il ne le sont pas tous ?) ; j'ai une ip4 full stack et une fbx delta-devia

Disons dans les 2 journées environ pour les étapes "attente".

jcyn commented on 08.01.2021 12:49

Bonjour, j'ai le même problème que Patrice. Le reverse ipv4 ne fonctionne pas pour une partie des abonnés Free. Cf ticket 26823 (https://dev.freebox.fr/bugs/task/26823).
Résultat : pas de reverse, ni en ipv4, ni en ipv6.
Il faut vraiment que Free fasse quelque chose.

Je rejoins le club des reverses ipv4 kaput.

Ayant constaté un passage en IP partagée, j'ai supprimé le reverse toujours présent dans mon espace abonné.
J'ai demandé dans la foulée un retour en full-stack, constaté les changements IPv4&6, corrigé mes records A et AAAA, attendu que ça propage pour enfin recréer un reverse personnalisé.

Plusieurs jours plus tard, sans effet : *.subs.proxad.net.

Je pense que cela provient en partie de ceci :
Whois ancienne IP :
inetnum: 83.152.0.0 - 83.155.255.255
netname: TIF-200401
descr: Broadband Pool

Whois nouvelle IP :
inetnum: 82.65.82.0 - 82.65.255.255
netname: FR-PROXAD-ADSL
descr: Proxad / Free SAS
descr: Dynamic pool (IP/ADSL FT)

J'ai un gros doute sur le fait qu'ils aient laissé la possibilité d'activer un reverse perso pour une IP dont la plage et décrite comme dynamique.

D'un côté on attire les geeks, on leur propose des options inédites chez les concurrents du créneau (reverse, vm, gestion next-hop, ...) et de l'autre on pète tout et on laisse entendre (et on laisse dire) qu'on a affaire à un FAI grand public.

Bonjour

Honnêtement, je ne vois pas le rapport entre le whois et le fait que le serveur DNS de free pour tel ou tel bloc soit configurable.

Au niveau du RIPE NCC, ça se passe comme décrit dans cet article :

https://www.ripe.net/manage-ips-and-asns/db/support/configuring-reverse-dns

Clairement une fois la délégation créé sur un bloc /16 ou /24, après c est le serveur DNS de Free qui gère le reverse sur le bloc donc le fait que le bloc soit déclaré comme dynamic n'entre visiblement pas dans l'équation.

Par contre, je veux bien croire que dans sa refonte réseaux (IPv4 / IPv6 + ADSL –> FTTH P2P / FTTH PON) , Free n'est pas uniformisé sa solution DNS et n'ai pas maintenu l'existant.

C est dommage, certes, et très décevant (comme quand on nous avait dit lors du coupage des IP en 4 que l'on pourrait avoir plus d'une IPv4 par personne, sur demande ...)

Cordialement
nbanba

Salut,

A partir du moment où je documente un pool comme étant à affectation dynamique, j'aurais tendance à ne pas laisser le choix du reverse aux clients qui en font partie.

L'ancienne IP faisait partie d'un bloc documenté différemment... Alors soit on documente un peu comme on veut (et ça serait dommage), soit ça a une indication réelle quant à la destination et quant au fonctionnement.

C'était le sens de mon message.

Salut,

Je rejoins la demande, plus de reverse DNS IPv4 depuis désormais des années (depuis que je suis passé en FTTH précisément ...) et aucune possibilité en IPv6 non plus.
Bref, même si nos usages d'hébergement de services sur notre ligne Free comme un serveur SMTP ne représentent certes qu'une infime partie des abonnés Free, la fonctionnalité se fait attendre surtout quand on voit que la demande est ouverte depuis 8 ans ...

lolo

Bonjour,

J'ai sollicité les vendeurs d'une boutique Free à propos de l'offre Freebox Pro, en demandant si, sur l'offre pro, cette fonctionnalité marchait comme prévu.

Le vendeur a bafouillé son ignorance du sujet (c'est pas grave, hein, je lui demande pas de savoir par coeur ce genre de trucs qui sont très loins des préocupations moyennes des clients), mais il m'a glissé "ah ça doit être quelque-chose que vous retrouvez dans votre interface Jaguar Webnet". Après un googling rapide, je vois que Jaguar Networks est un achat récent d'Illiad. Mais ça m'aide pas vraiment à avoir une info fiable. Si certain.e.s d'entre vous en savent plus sur Jaguar Networks, ça peut donner confiance dans le fait que l'offre pro aurait la capacité de configurer le reverse DNS correctement.

Autre information, dans cette optique d'utiliser l'offre Pro, c'est qu'il faut un numéro SIRET pour s'inscrire. i.e. être auto-entrepreneur, avoir une Asso, etc...

Aqua

@Olivier : c'est intéressant.

Cela dit, le reverse est "vendu" (aux amoureux de la polémique, vous noterez les guillemets) avec l'offre Internet Free pour les particuliers et pour ceux, parmi ces derniers, qui exploitent/exploitaient cette fonctionnalité il serait plus qu'utile qu'elle fonctionne à nouveau à son état nominal (ipv4) et soit remise au goût du jour en permettant un support ipv6.

Indépendamment de ce que propose Free sur l'offre pro ;)

Bonjour

J ai été client de Jaguar à l époque où Jaguar n était pas illiad et à l époque (2016-2018) le réseau et les équipes étaient TOP !
En tout cas, jamais eu de soucis non réglés dans les SLA et les fonctionnalités étaient fonctionnelles. De + l équipe technique était également top et au service de ses clients.

Maintenant, je ne sais pas depuis le rachat par FREE, mais mon expérience me donnerait confiance en Jaguar Networks.
Côté FREE, vu ce ticket, ce n est malheureusement plus forcément le cas.

Je n ai pas testé l offre PRO, elle me laisse un peu dubitatif et semble réservée aux TPE ou aux indépendants, pas aux entreprises de plus de 10 ou 20 personnes.
Pas certain qu il y ait les fonctionnalités attendues par le monde professionnel.

En espérant voir ce point résolu rapidement,
Cordialement
nbanba

Salut,

Je rejoins la demande, plus de reverse DNS IPv4 depuis désormais des années (depuis que je suis passé en FTTH précisément ...) et aucune possibilité en IPv6 non plus.
Bref, même si nos usages d'hébergement de services sur notre ligne Free comme un serveur SMTP ne représentent certes qu'une infime partie des abonnés Free, la fonctionnalité se fait attendre surtout quand on voit que la demande est ouverte depuis 8 ans ...

lolo

oops désolé j'ai refresh la page et du coup mon commentaire a été reposté une seconde fois ...

DCL commented on 07.05.2021 22:25

Bonjour,

perso j'ai pu constater que le reverse ipv4 était à nouveau disponible après de longues années d'indispo et de migrations adsl puis dns fibre temporaire puis enfin dns fibre définitive.

Par contre toujours pas de reverse ipv6

Bonjour

Vous avez de la chance, toujours pas actif chez moi en ipv4…. ni en ipv6 d ailleurs… et ça manque beaucoup !

Cordialement
nbanba

ag commented on 08.05.2021 17:22

Bonjour,

@DCL:

À titre d'information, pouvez-vous nous communiquer ici la plage IPv4 sur laquelle vous êtes ?

Gus commented on 09.05.2021 12:22

J'ai eu droit à une déconnexion/reconnexion intempestive il y a environ 2 semaines, avec changement d'adresses IP à la clef !! (donc on rajoute le mensonge sur l'adresse IP fixe…)
J'ai mis 48h à me rendre compte qu'en plus, ce n'était même pas une IPv4 full stack… Après avoir exigé une full stack depuis mon interface client, j'ai eu effectivement le plaisir de constater que mon reverse IPv4 a fonctionné sans souci.

Par contre, bien évidemment, rien concernant le reverse IPv6 (dont le préfixe a également changé à deux reprises dans cette histoire..)

Pour le moment changer de FAI ne fait pas partie de mes priorités, mais c'est prévu…

Avoir un petit reverse, même le générique en .subs.proxad.net serait suffisant à mettre en place pour permettre à ceux qui souhaitent héberger leur propre serveur de mail d'être tranquille en IPv6.

+1. Free est plutot bon élève en matière d'IPv6 mais il manque pas mal de fonctionnalités standard qui sont déjà offertes en IPv4…

On va bientôt fêter les 10 ans de la tâche, youhou !

Pour être plus serieux, Free est un des seuls ISP qui laissent l'accès total au matériel, et même le seul qui propose de l'IPv6 qui fonctionne bien. Dommage qu'il ne propose pas de Reverse DNS (même non personnalisables sur leur rDNS), qui peut bloquer encore l'accès à certains protocoles qui utilisent l'IPv6… :(

Pour l'IPv6 qui fonctionne chez Orange/Sosh, à condition d'utiliser un modem VDSL si paire cuivrée/ONT si fibré, tu peux disposer intégralement de ton /56. Par contre pas de reverse ^^

Merci pour le coup de vieux.

Bon après autant de votes et de messages je pense que sa serait sympathique d’avoir un retour d’un des devs?…

+1

+1

un peu lié a une serveur DNS personnalisable sur la freebox pour le LAN.

Ca sert pas a grand chose, mais je m'ennuie :-)

+1 pour une delegation du reverse DNS IPv6

Vu le nombre d'adresse ipv6 possible de chaque abonné je comprend qu'il n'y ait pas de reverse chez Free.
Cependant, le reverse ipv6 sur mon propre serveur n'est pas pris en compte, ce qui est dommage.
Un transfert vers ma propre adresse serait la bienvenue.

Bonjour
@epsilon :
C'est pour ça que dans ce ticket on ne demande pas "le reverse dns sur les ipv6" mais "la délégation dns sur le bloc reverse ipv6".
En gros côté free pas besoin de créer 1 interface web avec 16 fois 10 puissance 19 champs vides par utilisateur pour pouvoir mettre 1 reverse en face de chaque ipv6 du /60 alloué à chaque abonnement…

Il y a juste besoin d 1 interface avec 1 ou 2 champs vides ou l utilisateur peut specifier 1 ou 2 serveurs dns qui porteront la zone dns reverse pour le bloc ipv6 /60 assigné à chaque user (ou le user n a l usage que du premier bloc /61 du /60 fournit).
Après c'est a chaque user de configurer le serveur dns qu il aura spécifié dans l interface en y configurant les correspondances entre ipv6 et nom de domaine pour ses propres besoins.

Côté free, au niveau dns, à comparer avec les reverse ipv4, il n'y a pas tellement de différence entre :
- declater 1 entrée PTR dans 1 zone reverse ipv4 et refresh la zone
- declarer 1 ou 2 entrées NS dans la zone reverse du bloc ipv6 global (2a00::) et autoriser l AXFR vers cette/ces adresses

C'est pour ca que quelques soit les arguments de Free concernant ses migrations, on trouve que ca devrait être mis en place depuis longtemps car pas plus complexe qu en ipv4 (un peu différent certes, mais surtout différent pour l utilisateur final)

Cordialement
nbanba

Bientôt 10 ans sans réponse de Free ?

+1

Bonjour,

nous ne pouvons pas héberger de serveur mail dual stack derrière la freebox delta car il est impossible de définir le PTR d'une IPv6.
Exemple de mail envoyé via IPv6 à une adresse Gmail:

Error Type: SMTP
   Remote server (2a00:1450:400c:c09::1a) issued an error.
   Remote server replied: 550-5.7.1 [masqué] Our system has detected that this message
550-5.7.1 does not meet IPv6 sending guidelines regarding PTR records and
550-5.7.1 authentication. Please review
550-5.7.1  https://support.google.com/mail/?p=IPv6AuthError for more information

Afin d'aider à déployer plus rapidement IPv6 il faudrait voir pour mettre en place cette fonction dans l'espace client.

+1

Lucky commented on 25.05.2023 14:24

+1

Réponse à Nextly

J'ai une IP fullstack
Sur l'IPv4 un serveur principal postfix XXXX.com
Sur la box delta une VM avec postfix réglée pour l'IPv6 : inet6 2a01:e0a:76:xxxxx
Je peux envoyer des messages depuis le serveur IPv6 avec pour particularité de me servir du serveur principal comme relay_domains = $mydestination XXXX.com

Google n'est pas toujours mon ami

Bonjour

@epsilon :
Avez vous un reverse DNS actif (PTR) sur l'IPv4 ?
Aujourd'hui le reverse DNS ipv4 n'est plus fonctionnel pour beaucoup d'abonnés.
L'est il encore pour vous ?
Les mails ne partent pas (bounce direct surtout chez gmail) ou alors arrivent dans les spams ou dans les quarantaines même avec une policy SPF/DKIM/DMARC extrêmement strict (Force DKIM & DMARC à 100% reject)

Avant ça fonctionnait correctement en IPv4.
Ça n'a jamais fonctionné en IPv6 (pas de délégation reverse sur le /60 routé vers chaque FREEBOX)

Aujourd'hui depuis une connexion FREEBOX c'est impossible d'avoir un serveur de mail qui envoi des mails, je veux dire qui envoi des mails qui sont correctement relayés puis desservis dans le dossier INBOX du destinataire (pas dans JUNK ou QTNE, et qui ne sont ni REJECT, ni BOUNCE)

Ça m'arrangerait bien de pouvoir ré-héberger des serveurs de mails derrière ma Freebox (= économie mensuel supérieur à 1 abonnement Freebox Delta…)

Cordialement
nbanba

@Nextly

https://network-tools.webwiz.net/reverse-dns.htm Oui:
IP address: 82.64.20.XXX
Reverse DNS: 82-64-20-XXx.subs.proxad.net [IP: 82.64.20.XXX]
Reverse DNS Domain: XXX.20.64.82.in-addr.arpa
Reverse DNS Authenticity: Verified
Bien à vous

Bonjour

@epsilon Merci de votre retour… Cependant :

Vous n'envoyez pas des mails depuis le domaine subs.proxad.net donc le reverse n'est pas actif pour le domaine du smtp racine qui envoi des mails et qui est publié dans les champs MX des DNS de votre domaine

ex:
Domaine = mydom.com

Dans la zone DNS du domaine mydom.com on définit :

smtp     IN     A     82.64.20.XXX

ET le champ MX :

mydom.com.     IN    MX    10    smtp.

Une requête DNS sur smtp.mydom.com répond 82.64.20.XXX

Pour que le serveur de mail fonctionne correctement dans cet exemple, il faut (entre autre) que le reverse DNS de l'IP 82.64.20.XXX pointe sur smtp.mydom.com

Donc dans la zone reverse du bloc 20.64.82.in-addr.arpa on doit avoir une entrée

XXX      IN       PTR     smtp.mydom.com.

Tous cela est valable en IPv6 exactement comme en IPv4.
C'est d'ailleurs tout l'objet de ce ticket.

Aujourd'hui, votre reverse DNS pour votre IP 82.64.20.XXX n'est pas configuré sur

smtp.mydom.com 

mais sur :

82-64-20-XXX.subs.proxad.net

En conséquence, j'imagine que votre serveur de mail fonctionne très mal
Le taux de delivery des mails en provenance de votre/vos domaines et de votre relais smtp doit être très faible, et le taux de rejet (bounce + reject + block + deffered) ou de mise en SPAM ou Quarantaine doit être extrêmement important.

La demande de ce ticket pour IPv6 et la demande de remise en service du reverse DNS en IPv4 est justement parce qu'on ne peut pas envoyer des mails "sérieusement" quand les reverses DNS ne sont pas configurés pour le smtp du domaine envoyeur.

Et malheureusement, tant que Free n'aura pas fait le nécessaire, il sera impossible d'avoir un SMTP fonctionnant correctement depuis une connexion Freebox, et par exemple d'héberger une boite mail PRO dont 100% des mails doivent arriver dans le dossier INBOX des destinataires

Et pour moi un serveur de mail qui se fait bounce par gmail , o365 ou autre yahoo, etc… est un serveur de mail inutilisable.

PS:
Je vous recommande d'utiliser les "supertools" du site mxtoolbox.com pour déceler les non-conformités de votre serveur de mail (c'est gratuit).
Les explications techniques sont assez bonnes et peuvent vous aider à améliorer considérablement le taux de delivery des mails au départ de vos serveurs SMTP.

Bien cordialement
nbanba

@nbanba J’ai sans doute omis de vous préciser que j’avais un serveur DNS (bind9).
Dans la zone site :
mondomain.com. IN MX 0 mail.mondomain.com.
mondomain.com. IN MX 10 mail.domainsecondaire.

mx.mondomain.com. IN A 82.64.20.XXX
mx.mondomain.com. IN AAAA 2a01:e0a:76 :XXXX

mail.mondomain.com. IN A 82.64.20.XXX
mail.mondomain.com. IN AAAA 2a01:e0a:76:XXXX

smtp.mondomain.com. IN A 82.64.20.XXX
smtp.mondomain.com. IN AAAA 2a01:e0a:76:XXXX

et comme slave :
213.36.252.137; ns-slave.free.org
2a01:e0d:1:2:58bf:f989:0:1;
ns-slave.free.org (mais ce dernier, bien qu’indiqué par bookmyname -filiale free gestion des domaines, ne répond pas sur le reverse)

mxtoolbox donne le résultat suivant :
SMTP Banner Check Reverse DNS does not match SMTP Banner (1)
SMTP Reverse DNS Mismatch OK - 82.64.20.XXXresolves to 82-64-20-XXX.subs.proxad.net
SMTP Valid Hostname OK - Reverse DNS is a valid Hostname
SMTP TLS OK - Supports TLS.
SMTP Connection Time 1.352 seconds - Good on Connection time
SMTP Open Relay OK - Not an open relay.
SMTP Transaction Time 2.071 seconds - Good on Transaction Time

(1) Ce qui ne m’empèche pas l’envoi des mails.
Une erreur de sécurité (Je n’en suis pas fier) a permis à des hackers d’envoyer plus de 3000 mails bloqués en grande partie par free.
Exemple :
Feb 18 08:44:21 mondomain postfix/smtp[3030]: A0ACC96068D: host smtp.free.fr[2a01:e0c:1::25] refused to talk to me: 421 4.7.0 smtp2-g21.free.fr Error: too many connections from 2a01:e0a:76:XXXX

Dernier test:
Received: by mail-tester.com (Postfix, from userid 500)
Received: from mail.mondomain.com (unknown [82.64.20.XXX]) (sans doute le banner)

by smtp3-g21.free.fr (Postfix) with ESMTP id 87E5913F88D

Received: from [IPV6:2a01:e0a:76:XXXX] (mondomain.com [IPv6:2a01:e0a:76:XXXX])

(Authenticated sender: smtp-admin)
by mail.mondomain.com (Postfix) with ESMTPSA id 764819602A7

Là, s’arrête mes connaissances.

Bien à vous
epsilon

Bonjour

Merci beaucoup pour votre retour.

Je reste cependant dubitatif sur le reverse IPv4 et ce retour de mxtoolbox :

SMTP Reverse DNS Mismatch OK - 82.64.20.XXXresolves to 82-64-20-XXX.subs.proxad.net

D'après votre conf DNS, ce reverse (champ DNS PTR) devrait pointer sur : mail.mondomain.com.

Et en IPv6, le reverse de 2a01:e0a:76:XXXX devrait également pointer sur :
mail.mondomain.com.
Avec une entrée du type

x.x.x.x.x.x.x.x.x.x.x.x.x.x.x.x.x.x.x.x.6.7.0.0.a.0.e.0.1.0.a.2.ip6.arpa.     IN     PTR    mail.mondomain.com 

C'est le problème de reverse qui est précisé sur la "banner" et que vous remontez au point (1) de votre message
Dans un certain nombre de cas, effectivement cela n'empêche pas l'envoi des mails mais cela contribue à leur "spam score" en le faisant augmenté (souvent beaucoup):
Voici un extrait de l'entête d'un mail passé dans "spamassassin/orangeassassin" ou l'on voit clairement que le "spam score" est augmenté par les configurations reverse DNS :

X-Spam-Status: Yes, score=7.803 tagged_above=2 required=6.31
    tests=[BAYES_00=-1.9, FREEMAIL_FROM=0.001, FROM_LOCAL_NOVOWEL=0.5,
    FSL_BULK_SIG=1, HTML_FONT_LOW_CONTRAST=0.001, HTML_MESSAGE=0.001,
    NORDNS_LOW_CONTRAST=1, PDS_OTHER_BAD_TLD=1, PYZOR_CHECK=1.392,
    RDNS_NONE=0.793, SPF_HELO_PASS=-0.001, SPF_SOFTFAIL=0.665,
    SPOOFED_FREEMAIL=1, SPOOFED_FREEMAIL_NO_RDNS=1,
    URIBL_ABUSE_SURBL=1.25, URIBL_BLOCKED=0.001, URIBL_SBL_A=0.1]

Dans d'autres cas, le mail se fait "bounce" directement, sauf si vous forwardez tout le trafic à un relais, comme un relais fourni par l'opérateur (smtp3-g21.free.fr ?)

D'ailleurs, à titre informatif, serait il possible que vous postiez votre conf postfix (main.cf + master.cf) ?

Concernant ce ticket, pouvoir configurer correctement les reverse DNS IPv4 et IPv6 permettraient de pouvoir configurer correctement leurs serveurs SMTP (notamment le check reverse à la connexion) et de ne pas avoir de blocages liés à l'opérateur (donc impossible à résoudre sois-même).

En vous remerciant d'avance

Bien cordialement
nbanba

PS : Il y a un quarantaine de cas ou "SpamAssassin" qui est communément couplé à Postfix fait augmenter le "spam score" à cause du reverse ou d'un problème autour du hostname / reverse DNS :

16:02:41 nba@lap-nba:~$ curl -s https://gist.github.com/ychaouche/a2faff159c2a1fea16019156972c7f8b -o - | egrep RDNS | cut -d\  -f17- | sed -e 's/&#39;d//g' -e 's|</td>||g' -e 's|&#39;s||g' -e 's|&quot;|"|g'
 204	       DYN_RDNS_AND_INLINE_IMAGE  Contains image, and was sent by dynamic rDNS
 205	        DYN_RDNS_SHORT_HELO_HTML  Sent by dynamic rDNS, short HELO, and HTML
 206	       DYN_RDNS_SHORT_HELO_IMAGE  Short HELO string, dynamic rDNS, inline image
 359	               GOOG_REDIR_NORDNS  Google redirect to obscure spamvertised website + no rDNS
 378	       HDR_ORDER_FTSDMCXX_NORDNS  Header order similar to spam (FTSDMCXX/boundary variant) + no rDNS
 425	           HTML_FONT_TINY_NORDNS  Font too small to read, no rDNS
 483	                KHOP_HELO_FCRDNS  Relay HELO differs from its IP reverse DNS
 502	                  MALWARE_NORDNS  Malware bragging + no rDNS
 581	             NO_RDNS_DOTCOM_HELO  Host HELO as a big ISP, but had no rDNS
 582	             NORDNS_LOW_CONTRAST  No rDNS + hidden text
 657	                 RATWARE_NO_RDNS  Suspicious MsgID and MIME boundary + no rDNS
 701	               RCVD_IN_IADB_RDNS  IADB: Sender has reverse DNS record
 747	         __RDNS_DYNAMIC_ADELPHIA  Relay HELO using suspicious hostname (Adelphia)
 748	            __RDNS_DYNAMIC_ATTBI  Relay HELO using suspicious hostname (ATTBI.com)
 749	        __RDNS_DYNAMIC_CHELLO_NL  Relay HELO using suspicious hostname (Chello.nl)
 750	        __RDNS_DYNAMIC_CHELLO_NO  Relay HELO using suspicious hostname (Chello.no)
 751	          __RDNS_DYNAMIC_COMCAST  Relay HELO using suspicious hostname (Comcast)
 752	                    RDNS_DYNAMIC  Delivered to internal network by host with dynamic-looking rDNS
 753	             __RDNS_DYNAMIC_DHCP  Relay HELO using suspicious hostname (DHCP)
 754	           __RDNS_DYNAMIC_DIALIN  Relay HELO using suspicious hostname (T-Dialin)
 755	              __RDNS_DYNAMIC_HCC  Relay HELO using suspicious hostname (HCC)
 756	            __RDNS_DYNAMIC_HEXIP  Relay HELO using suspicious hostname (Hex IP)
 757	           __RDNS_DYNAMIC_IPADDR  Relay HELO using suspicious hostname (IP addr 1)
 758	              __RDNS_DYNAMIC_NTL  Relay HELO using suspicious hostname (NTL)
 759	              __RDNS_DYNAMIC_OOL  Relay HELO using suspicious hostname (OptOnline)
 760	           __RDNS_DYNAMIC_ROGERS  Relay HELO using suspicious hostname (Rogers)
 761	              __RDNS_DYNAMIC_RR2  Relay HELO using suspicious hostname (RR 2)
 762	         __RDNS_DYNAMIC_SPLIT_IP  Relay HELO using suspicious hostname (Split IP)
 763	            __RDNS_DYNAMIC_TELIA  Relay HELO using suspicious hostname (Telia)
 764	            __RDNS_DYNAMIC_VELOX  Relay HELO using suspicious hostname (Veloxzone)
 765	              __RDNS_DYNAMIC_VTR  Relay HELO using suspicious hostname (VTR)
 766	          __RDNS_DYNAMIC_YAHOOBB  Relay HELO using suspicious hostname (YahooBB)
 767	                  RDNS_LOCALHOST  Sender public rDNS is "localhost"
 768	                       RDNS_NONE  Delivered to internal network by a host with no rDNS
 769	             RDNS_NUM_TLD_ATCHNX  Relay rDNS has numeric TLD + suspicious attachment
 770	                 RDNS_NUM_TLD_XM  Relay rDNS has numeric TLD + suspicious headers
 824	        SPOOFED_FREEMAIL_NO_RDNS  From SPOOFED_FREEMAIL and no rDNS
 830	                STATIC_XPRIO_OLE  Static RDNS + X-Priority + MIMEOLE
 892	            TO_NAME_SUBJ_NO_RDNS  Recipient username in subject + no rDNS
 898	         TO_NO_BRKTS_NORDNS_HTML  To: lacks brackets and no rDNS and HTML only
1032	                 VFY_ACCT_NORDNS  Verify your account to a poorly-configured MTA - probable phishing
16:02:51 nba@lap-nba:~$ 



@nbanba

Bonjour,

" le mail se fait "bounce" directement, sauf si vous forwardez tout le trafic à un relais, comme un relais fourni par l'opérateur (smtp3-g21.free.fr ?) " EXACT

" SMTP Banner Check Reverse DNS does not match SMTP Banner (1)"
Le problème est que free (pas pro) partage maintenant les IPv4 entre 4 abonnés. L'adresse personnelle est considérée comme dynamique et lors de l'envoi du mail indique " Received: from mail.mondomain.com (unknown [82.64.20.XXX])"
VOIR https://lucasvidelaine.wordpress.com/2019/01/22/1268/

Mais l'IPv6 étant unique postfix utilise cette adresse "2a01:e0a:76:XXXX] (mondomain.com "
Toutefois l'absence de reverse (pas pris en compte sur les slave-free) et pas de délagation font que le service n'est pas parfait mais ça fonctionne.
mon main.cf

mydestination = $myhostname, localhost, $mydomain domain2.eu
smtpd_banner = mail.domain.com ESMTP $mail_name
biff = no

### VOIR https://mirabellug.org/docs/documentations/postfixfetchmail/x110.html

relay_domains = $mydestination
relayhost = [smtp.free.fr]

mynetworks_style = subnet

inet_protocols = ipv4, ipv6

empty_address_recipient = admin@domain.com
myorigin = domain.com
mynetworks = 127.0.0.0/8 192.168.1.0/24 [::1]/128 [fe80::]/10 [2a01:e0a:76:acb0::]/64

transport_maps = hash:/etc/postfix/transport

local_transport = lmtp:unix:/var/run/cyrus/socket/lmtp
virtual_transport = lmtp:unix:/var/run/cyrus/socket/lmtp
mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp

smtputf8_enable = yes

smtpd_sasl_path = smtpd
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,

                             reject_unauth_destination,
                             check_policy_service unix:private/policyd-spf,
                             permit_mynetworks,
                             # pour interdire certains sites
                             check_client_access hash:/etc/postfix/my_blacklist,
                             permit

# https://www.wistee.fr/installer-ssl/activer-ssl-postfix.html # https://wiki.debian.org/Postfix

# Charge le certificat SSL de votre serveur SMTP smtpd_tls_cert_file = /etc/letsencrypt/live/domain.com-0001/cert.pem
smtpd_tls_key_file = /etc/letsencrypt/live/domain.com-0001/privkey.pem
smtpd_tls_CAfile = /etc/letsencrypt/live/domain.com-0001/chain.pem

smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

smtpd_client_restrictions = permit_sasl_authenticated permit_mynetworks

                          reject_unknown_client_hostname
                          check_client_access hash:/etc/postfix/my_blacklist
                          

smtpd_relay_restrictions = permit_sasl_authenticated permit_mynetworks check_client_access hash:/etc/postfix/client_access reject_unauth_destination permit_inet_interfaces

# Définies les méthodes de cryptographie à utiliser (HIGH)
tls_high_cipherlist = HIGH:!aNULL:!MD5:!ADH:!RC4:!DH
unknown_client_reject_code = 550
unknown_address_reject_code = 550
unknown_hostname_reject_code = 550
unverified_sender_reject_code = 550
unverified_recipient_reject_code = 550

virtual_alias_maps = ldap:/etc/postfix/ldap-aliases.cf
alias_maps = hash:/etc/postfix/ldap-aliases.cf

# SPF
policyd-spf_time_limit = 3600

# DKIM
# Milter configuration
milter_default_action = accept
milter_protocol = 6
## voir https://www.it-swarm-fr.com/fr/debian/postfix-smtpd-avertissement-connectez-vous-au-service-milter-sous-unix-varrunopendkimopendkim.sock-aucun-fichier-ou-repertoire-de-ce-type/956737313/ ##
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

####### https://easydmarc.com/blog/how-to-configure-dkim-opendkim-with-postfix/ append_dot_mydomain = yes
meta_directory = /etc/postfix
setgid_group = postdrop
command_directory = /usr/sbin
sample_directory = /etc/postfix
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
readme_directory = /usr/share/doc/postfix
sendmail_path = /usr/sbin/sendmail
daemon_directory = /usr/lib/postfix/sbin
manpage_directory = /usr/share/man
html_directory = /usr/share/doc/postfix/html
data_directory = /var/lib/postfix
shlib_directory = /usr/lib/postfix
compatibility_level = 2

# https://www.postfix.org/TUNING_README.html ### SECURITE après piratage ###
# Nombre maximum de requêtes de connexion
max_use = 50
# Nombre maximum de destinaitaires autorisés par RCPT TO d'un message
smtpd_recipient_limit = 10
# nombre maximum de messages autorisé dans la file d'attente gestionnaire des files d'attente
qmgr_message_recipient_limit = 100
# pause avant d'accepter un nouveau message
in_flow_delay = 5s
# Nombre maximal d'adresses en mémoire du filtre des adresses dupliquées
duplicate_filter_limit = 100
# Le nombre maximum de connexions qu'un client SMTP peut établir dans l'intervalle de temps spécifié avec anvil_rate_time_unit (par défaut : 60s).
smtpd_client_connection_rate_limit = 50
# # Le nombre maximum de demandes de livraison de message qu'un client SMTP peut faire dans l'intervalle de temps spécifié avec anvil_rate_time_unit (par défaut : 60s).
smtpd_client_message_rate_limit = 50
anvil_rate_time_unit = 1h
# Laisser vide, pas d'exception
smtpd_client_event_limit_exceptions =append_at_myorigin = no
# bloquer spam
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/sender_access
# https://postfix.traduc.org/index.php/postconf.5.html#smtpd_daclient_checks_accessta_restrictions # https://mondedie.fr/d/6304-limiter-le-nombre-de-mail-heure-sous-postfix/2 # https://postfix.traduc.org/index.php/postconf.5.html

Pour le master.cf
Seules modifications:
# https://wiki.debian.org/Postfix # pour le port 587
submission inet n - - - - smtpd

  1. o smtpd_enforce_tls=yes
  2. o smtpd_sasl_auth_enable=yes
  3. o smtpd_client_restrictions=permit_sasl_authenticated,reject

# pour ipv6
smtp-ipv6-only unix - - n - - smtp

  1. o inet_protocols=ipv6

# pour le port 465
smtp inet n - y - - smtpd

cyrus unix - n n - - pipe flags=R user=cyrus argv=/usr/sbin/cyrdeliver -e -q -r $sender -m $extension $user
retry unix - - y - - error

policyd-spf unix - n n - 0 spawn user=policyd-spf argv=/usr/bin/policyd-spf

Cordialement

Bonjour

@epsilon

Merci beaucoup ! Toujours intéressant … Effectivement, je me doute que si vous envoyez les mails sans passer par un relais SMTP, le taux de delivery doit être "catastrophique"

Si ça vous intérresse, voici une conf que j'ai en prod et qui envoi des mails sur internet en directe (sans relais).
Avant ~ 2020 cette conf était derrière une Freebox mais plus depuis que les reverse IPv4 ne fonctionnent plus, j'ai du prendre des serveurs + des IP chez des hébergeurs permettant de faire les bons réglages car il était devenu impossible d'héberger une boite mail pro derrière une Freebox (et ça me coûte 3 fois plus cher que mon forfait freebox Delta, c'est pourquoi je cherche des solutions …)

Le fait que 82.64.0.0/14 soit flag comme dynamic range au RIPE NCC ne changeait en réalité rien et m'as permis d'avoir 100% de MX reputation sur mxtoolbox pour l'IP de ma Freebox pendant plusieurs années de suite et un serveur de mail qui fonctionnait très bien et dont les mails arrivaient dans le dossier INBOX de + de 99% des destinataires. J'ai toujours eu une IPv4 full stack chez Free, enfin depuis que Free fait du CGNAT (Toujours eu besoin de tous les ports, inférieurs à 1024 d'une part pour SSH, HTTPS, DNS, SMTP … et supérieur à 50000 pour les FTP passiv, les flux outbound, …)

main.cf

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
# On desactive la notification de new mail au login d'un utilisateur UNIX :
biff = no
#
append_dot_mydomain = no



myhostname = mail.mydom.com
mydomain = mydom.com
############################################
#ONLY WANT SMPT TO LISTEN & SEND MAIL WITH mail.mydom.com IP
#Listen only on loopback (compatibility because postfix is the system MTA) & mail.mydom.com adresse
#inet_interfaces = mail.mydom.com 
inet_interfaces = 203.0.113.16, 127.0.0.1 
#inet_interfaces = all

inet_protocols = ipv4
#smtp bind address for postfix to use only mail.mydom.com for sending email and not all server IP address
#/!\ smtp_bind_address = ONLY IP ADDRESS no dns name
smtp_bind_address = 203.0.113.16 
############################################

myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain, localhost, 62.210.178.136.$mydomain 
mynetworks = 127.0.0.0/8 203.0.113.14 203.0.113.16 203.0.113.17 203.0.113.18 203.0.113.128/25 
#relayhost = 

recipient_delimiter = +
home_mailbox = .maildir/
local_destination_concurrency_limit = 2
default_destination_concurrency_limit = 10


#0) 20230523 :  disable mail from www-data
authorized_submit_users = !www-data, !wordpress, static:all




#SASL
# 1) smtp client
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = $smtpd_sasl_security_options
smtp_sasl_mechanism_filter = static:all 
smtp_sasl_password_maps = $virtual_mailbox_maps
#Limite pour dkim afin que postfix ne coupe pas la clé !
smtp_line_length_limit=1000000 
#smtp_sasl_mechanism_filter = plain,login
#smtp_sasl_mechanism_filter = PLAIN, LOGIN

# 2) smtpd server
# sasl_password_maps is set by the sql request of /etc/postfix/sasl/smtp.conf
# sasl_mechanism_filter is set by the sql request of /etc/postfix/sasl/smtp.conf 
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain =
#NBA ADDED: SASL PB SOLVED BY ADDING MECHANISMS="rimap" COMMAND IN /etc/default/saslauthd 
# and in adding  authmodulelist="authmysql" in /etc/courier/authdaemonrc
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
#smtp_sasl_password_maps = proxy:mysql:/etc/postfix/mysql_smtp_sasl_passwd_maps.cf
# /!\ added $smtp_sasl_password_maps to proxy_read_maps  /!\
###

#
######### smtpd_*_restrictions :  ########
#
# Attention : les commandes smtpd_*_restrictions doivent être dans 
# l'ordre suivant pour respecter le protocole SMTP
#   #smtpd_client_restrictions = ...
#   #smtpd_helo_restrictions = ...
#   #smtpd_sender_restrictions = ...
#   #smtpd_recipient_restrictions = ...
#   #smtpd_data_restrictions = ...
#   #smtpd_end_of_data_restrictions = ...


#smtpd_client_restrictions = # Pas de gestion de blacklist d'IP à ce niveau chez mydom

#A décommenter pour test le 20151214
smtpd_helo_required = yes
#NBA comment the 3 following lines : too strict
#smtpd_helo_restrictions =               
#   reject_unknown_helo_hostname, 
#   reject_invalid_helo_hostname

# 20200902 Uncommented to block authenticated users to send email for other domains than their domains !! 
#smtpd_sender_restrictions = # 2014 policy :  pas de list d'email accepté comme sender par compte email réel 
#smtpd_sender_restrictions = # 2020 policy :
smtpd_sender_login_maps = $virtual_mailbox_maps
smtpd_sender_restrictions = 
   reject_unknown_sender_domain,
   reject_sender_login_mismatch,
   reject_authenticated_sender_login_mismatch,
   reject_unauthenticated_sender_login_mismatch,
   reject_unlisted_sender
#smtpd_reject_unlisted_sender = yes   



smtpd_recipient_restrictions =
   permit_sasl_authenticated,
   permit_mynetworks,
   reject_unauth_destination,
#ADDING STRONG RESTRICTIONS (OPTIONNAL)
# mail struct restriction
   reject_invalid_hostname,
#3 next lines uncommented on 20150501
   reject_non_fqdn_hostname,
   reject_non_fqdn_sender,
   reject_non_fqdn_recipient,

#PROBABLY TO REACTIVE 
#2 next lines commented on 20150501
#2 next lines unommented on 20190605  
   reject_unknown_sender_domain,
   reject_unknown_recipient_domain,

# rbl dsbl spam restriction
  #reject_rbl_client sbl-xbl.spamhaus.org, # Change to zen.spamhaus.org
# inserting filter present in http://www.postfix.org/SMTPD_ACCESS_README.html
# section : Getting selective with SMTP access restriction lists   
   reject_rbl_client zen.spamhaus.org,
   reject_rhsbl_reverse_client dbl.spamhaus.org,
   reject_rhsbl_helo dbl.spamhaus.org,
   reject_rhsbl_sender dbl.spamhaus.org
#Others rbl: (could be enable if more strict filtering is needed or if necessary)
#   reject_rbl_client cbl.abuseat.org,
#   reject_rbl_client dul.dnsbl.sorbs.net,
#END STRONG RESTRICTIONS
#
#GREYLISTING : activation de postgrey
#   check_policy_service unix:private/postgrey
#==> Desactivation le 20171024 car galere 


#SPF check 
   check_policy_service unix:private/policyd-spf
   permit


smtpd_data_restrictions =
   reject_unauth_pipelining,
   permit

#smtpd_end_of_data_restrictions = 

#
######### FIN des smtpd_*_restrictions ##########
#



transport_maps = hash:/etc/postfix/transport
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
#(Les 3 lignes suivantes permettent l'encryption lors de l'envoi.)
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
#test encrypt
#smtpd_tls_security_level = encrypt
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_tls_session_cache

smtpd_use_tls = yes
smtpd_tls_auth_only = yes
# NBA 20220327 : Stop using our own PKI, using letsencrypt in replacement
#smtpd_tls_key_file = /etc/postfix/tls/mydom-key.pem
#smtpd_tls_cert_file = /etc/postfix/tls/mydom-cert.pem
#smtpd_tls_key_file = /etc/postfix/tls/mydommydom-key.pem
#smtpd_tls_cert_file = /etc/postfix/tls/mydommydom-cert.pem
# NBA 20220327 : Stop using our own PKI, using letsencrypt in replacement
smtpd_tls_key_file = /etc/postfix/tls/mydom-le-key.pem
smtpd_tls_cert_file = /etc/postfix/tls/mydom-le-cert.pem
# NBA 20220327 : NO certificate auth from a local pki so comment netx line 
#smtpd_tls_CAfile = /etc/postfix/tls/mydomcacert.pem
smtpd_tls_loglevel = 2
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_tls_session_cache
tls_random_source = dev:/dev/urandom

# Support Mysql
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf,proxy:mysql:/etc/postfix/mysql_virtual_alias_domain_maps.cf,proxy:mysql:/etc/postfix/mysql_virtual_alias_domain_catchall_maps.cf

virtual_uid_maps = static:6000
virtual_gid_maps = static:6000
virtual_mailbox_base = /var/mail/vmail
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf
# NBA 20220403 - mail size is nowdays bigger than in 2014 ... setting to 10G
# NBA 20220403 - message max size is now 512M
# NBA 202204 adding : mailbox_size_limit = 0 (no limit) to avoid error : 
# "error: mailbox_size_limit is smaller than message_size_limit"
mailbox_size_limit = 0
virtual_mailbox_limit = 10240000000
message_size_limit = 512000000
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf,proxy:mysql:/etc/postfix/mysql_virtual_alias_domain_mailbox_maps.cf
virtual_minimum_uid = 6000
# Transport using virtual: Normal transport but do not allow amavis to deliver spam in .Junk 
# directory for each user account
#virtual_transport = virtual
# Transport using maildrop : allow amavis to deliver spam in .Junk directory 
# in each user account. It also need to uncomment the maildrop part in master.cf to work
# it also permit to do full conditionnal delivery see : 
# /etc/postfix/maildropfilter/mydom_maildrop_rules
#
virtual_transport = maildrop
maildrop_destination_concurrency_limit = 2
maildrop_destination_recipient_limit = 1
#
#
# We do not use transport_map
#transport_maps = proxy:mysql:/etc/postfix/mysql_virtual_transports.cf
#
# QUOTA support with postfix VDA patch (mydom historic from 2008 to 2022) 
# 20220330 - NO VDA PATCH for postfix >3.1, we're runinng postfix 3.5 
# 20220330 - MAILDROP WILL HANDLE QUOTAS : 
# (just modify 'quota' field to  'MYSQL_QUOTA_FIELD concat(quota,'S')' 
# in /etc/courier/authmysqlrc and set quotas normaly with postfixadmin
#
# 20220330 - DISABLE VDA quotas from here : 
#virtual_create_maildirsize = yes   #Not supported in 2.9.6
#virtual_maildir_extended = yes
#virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_limit_maps.cf
#virtual_mailbox_limit_override = yes
#virtual_mailbox_limit_inbox = yes
#virtual_maildir_limit_message = User over quota, please clean mailbox .
#virtual_overquota_bounce = yes
#virtual_trash_count = yes
#virtual_trash_name = ".Trash"
#
# Suport du relay
relay_domains = proxy:mysql:/etc/postfix/mysql_relay_domains_maps.cf
relay_recipient_maps = proxy:mysql:/etc/postfix/mysql_relay_recipients_maps.cf

#Avant de passer par amavisd et spamassassin, on demande à postfix de filtrer :
# -Headers malformés
# -Body contenant des infos interdites 
# -Headers Mimes (pièces jointes) 
#
#  body_checks.cf had been modified on 20150806 to ensure recieving electronic train tickets 
#  from sncf (see /etc/postfix/postfix-email-check/README_sncf)
#  Other modification made on 20151206 for FNAC concerts electronic tickets
#
# 
header_checks = regexp:/etc/postfix/postfix-email-check/header_checks.cf
body_checks = regexp:/etc/postfix/postfix-email-check/body_checks.cf
mime_header_checks = regexp:/etc/postfix/postfix-email-check/mime_headers_checks.cf

# Disable postfix-VDA quotas => remove 
# $virtual_mailbox_limit_maps  ans  $has_our_domain_as_sender from proxy_read_maps = 
#
#proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_recipient_restrictions $smtpd_sender_login_maps $virtual_mailbox_limit_maps $has_our_domain_as_sender $smtp_sasl_password_maps
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_recipient_restrictions $smtpd_sender_login_maps  $smtp_sasl_password_maps

#Filtrage Amavis
#content_filter=amavisfeed:[127.0.0.1]:10024
content_filter=amavisfeed:[203.0.113.16]:10024

#DKIM CHECK
milter_default_action = accept
milter_protocol = 6
#smtpd_milters = unix:/var/spool/postfix/var/run/opendkim/opendkim.sock
#non_smtpd_milters = unix:/var/spool/postfix/var/run/opendkim/opendkim.sock
#DKIM + DMARC CHECK 
#(adding opendmarc socket to *smtpd_milters) 
smtpd_milters = unix:/var/run/opendkim/opendkim.sock,unix:/var/run/opendmarc/opendmarc.sock
non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock,unix:/var/run/opendmarc/opendmarc.sock

#POSTFIX INTERNAL 
readme_directory = /usr/share/doc/postfix
sample_directory = /etc/postfix
sendmail_path = /usr/sbin/sendmail
html_directory = /usr/share/doc/postfix/html
setgid_group = postdrop
command_directory = /usr/sbin
manpage_directory = /usr/share/man
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
queue_directory = /var/spool/postfix
mail_owner = postfix
data_directory = /var/lib/postfix
## BUG DEBIAN POSTFIX 3 : fatal: instance /etc/postfix, shlib_directory=/usr/lib/postfix conflicts with instance /etc/postfix, daemon_directory=/usr/lib/postfix
# => stop postfix ; cp -a /usr/lib/postfix /usr/libexec
# => daemon_directory = /usr/libexec/postfix ; start postfix
#daemon_directory = /usr/lib/postfix
#daemon_directory = /usr/libexec/postfix
daemon_directory = /usr/lib/postfix/sbin


master.cf

#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
##########MODIF NBA TO LISTEN ONLY ON 203.0.113.16###################
#smtp      inet  n       -       n       -       -       smtpd
203.0.113.16:smtp      inet  n       -       n       -       -       smtpd
##########ADDED NBA###################################################
#587      inet    n    -    n    -    -    smtpd 
203.0.113.16:587      inet  n       -       n       -       -       smtpd
    -o syslog_name=postfix/submission
    -o smtpd_tls_security_level=encrypt
    -o smtpd_sasl_auth_enable=yes
    -o smtpd_etrn_restrictions=reject
    -o smtpd_client_restrictions=permit_sasl_authenticated,reject
    -o milter_macro_daemon_name=ORIGINATING
    -o smtpd_milters=unix:/var/run/opendkim/opendkim.sock
#    -o smtpd_milters=unix:/var/spool/postfix/var/run/opendkim/opendkim.sock,unix:/var/spool/postfix/var/run/opendmarc/opendmarc.sock
#Remarque: 
# Contrary to Opendkim, which is needed here to sign emails (not only controle them)
# Opendmarc socket not seems to be needed in -o smtpd_milters (20151510)
#
######################################################################
#submission inet n       -       n       -       -       smtpd
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#smtps     inet  n       -       n       -       -       smtpd
203.0.113.16:smtps     inet  n       -       n       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_etrn_restrictions=reject
  -o smtpd_client_restrictions=permit_sasl_authenticated
  -o milter_macro_daemon_name=ORIGINATING
  -o smtpd_milters=unix:/var/run/opendkim/opendkim.sock
#  -o smtpd_milters=unix:/var/spool/postfix/var/run/opendkim/opendkim.sock,unix:/var/spool/postfix/var/run/opendmarc/opendmarc.sock
#Remarque: 
# Contrary to Opendkim, which is needed here to sign emails (not only controle them)
# Opendmarc socket not seems to be needed in -o smtpd_milters (20151510)
#
#RBL ARE SET IN MAIN.CF
# -o reject_rbl_client zen.spamhaus.org,reject_rbl_client list.dsbl.org,reject_rbl_client dnsbl.njabl.org,reject
#/RBL   - NBA 20140818
#628      inet  n       -       n       -       -       qmqpd
######################################################################
pickup    fifo  n       -       n       60      1       pickup
        -o receive_override_options=no_header_body_checks
        -o content_filter=
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       n       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       n       -       -       smtp
#	-o smtp_fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
retry     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache    unix  -       -       n       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# WARNING : do not insert comment between the first service line and
#           its -o options, otherwise amavis do not work !! 
#
#amavisfeed unix    -       -       n       -       2     smtp
amavisfeed unix    -       -       n       -       5     smtp
     -o smtp_data_done_timeout=1200
     -o smtp_send_xforward_command=yes
     -o smtp_tls_note_starttls_offer=no
#     -o smtp_bind_address=203.0.113.16	
# ====================================================================
#127.0.0.1:10025 inet n    -       n       -       -     smtpd
203.0.113.16:10025 inet n    -       n       -       -     smtpd
     -o content_filter=
     -o smtpd_delay_reject=no
     -o smtpd_client_restrictions=permit_mynetworks,reject
     -o smtpd_helo_restrictions=
     -o smtpd_sender_restrictions=
     -o smtpd_recipient_restrictions=permit_mynetworks,reject
     -o smtpd_data_restrictions=reject_unauth_pipelining
     -o smtpd_end_of_data_restrictions=
     -o smtpd_restriction_classes=
     -o mynetworks=203.0.113.16
     -o smtpd_error_sleep_time=0
     -o smtpd_soft_error_limit=1001
     -o smtpd_hard_error_limit=1000
     -o smtpd_client_connection_count_limit=0
     -o smtpd_client_connection_rate_limit=0
     -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters,no_address_mappings
     -o local_header_rewrite_clients=
     -o smtpd_milters=
     -o local_recipient_maps=
     -o relay_recipient_maps=
#     
# NBA ADDED 20140814
# Vacation with vacation.pl
# ====================================================================
vacation    unix  -       n       n       -       -       pipe
  flags=Rq user=vacation argv=/var/spool/vacation/vacation.pl -f ${sender} -- ${recipient}
# ====================================================================
#
# NBA ADDED 20151126
# SPF check with postfix-policyd-spf-python
# ====================================================================
policyd-spf    unix    -    n     n    -    0    spawn
    user=nobody argv=/usr/bin/python /usr/bin/policyd-spf /etc/postfix/postfix-policyd-spf/policyd-spf.conf
# ====================================================================
#
############################## MAILDROP ##############################
# NBA ADDED 20151202
# Using maildrop to deliver spam in user'sJunk directory
# ====================================================================
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
#maildrop  unix  -       n       n       -       -       pipe
#  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
# NBA 20220403 - MAILDROP HANDLE QUOTAS NOW IN REPLACEMENT 
# NBA 20220403 - OF POSTFIX VDA PATCH => ADDING FOLLOWING MAILDROP WRAPPER
# NBA 20220403 - TO "bounce" in place of "defer" when quota is 80%
maildrop  unix  -       n       n       -       -       pipe
  flags=ODRhu user=vmail:vmail argv=/usr/bin/maildrop -w 80 -d ${user}@${nexthop} ${extension} ${recipient} ${user} ${nexthop}
# NBA 20220403 - next line is for quota_wrapper... not OK at the moment 
# NBA 20220403 - (need to read /usr/share/doc/postfix/html/pipe.8.html & MAILDROP_README.html)
#
#  flags=ODRhu user=vmail:vmail argv=/usr/bin/maildrop_quota_wrapper -w 80 -d ${user}@${nexthop} ${extension} ${recipient} ${user} ${nexthop}
#  flags=ODRhu user=vmail:vmail argv=/etc/postfix/maildropfilter/maildrop_quota_wrapper -w 80 -d ${recipient}
#
#
############################# /MAILDROP/ #############################
#
#
# ====================================================================
#
# ====================================================================
#
# The Cyrus deliver program has changed incompatibly, multiple times.
#
#old-cyrus unix  -       n       n       -       -       pipe
#  flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus     unix  -       n       n       -       -       pipe
#  user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# ====================================================================
#
# Other external delivery methods.
#
#ifmail    unix  -       n       n       -       -       pipe
#  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
#
#bsmtp     unix  -       n       n       -       -       pipe
#  flags=Fq. user=bsmtp argv=/usr/sbin/bsmtp -f $sender $nexthop $recipient
#
#scalemail-backend unix -       n       n       -       2       pipe
#  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
#  ${nexthop} ${user} ${extension}
#
#mailman   unix  -       n       n       -       -       pipe
#  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
#  ${nexthop} ${user}


En plus du main.cf et du master.cf, dites moi si vous voulez :

- la conf SQL SASL
- les requêtes SQL qui balayent la base de donnée user
- la conf maildrop (+ quotas)
- les règles de delivery conditionnelle maildrop
- les REGEX filter header
- les REGEX filter body
- les REGEX filter mime
- la conf opendmarc + opendmarc report
- la conf couriertls (courier-imap, courier-imap-ssl, courier-pop …)
- la conf du hook LetsEncrypt
- la conf amavisd
- la conf spamassassin
- la conf clamav
- la conf p0f
- la conf dcc
- la conf razor2 / pyzor

ou toute autre partie de la conf que j'aurais oublié et qui serait visible dans le main.cf

PS:
L'IPv6 est géré par le firewall en front des serveurs de mails avec un NAT64.
Pas très propre mais la conf est pour quand Free nous donnera la délégation sur le /60 associé à chacune des connexions Freebox

Cordialement
nbanba

@nbanba

Bonjour,

Je vois que vous n'utilisez pas les IPv6.
C'est à mon avis se priver de nouvelles possibilités

D'autre part vous utilisez mysql, domaine de mon incompéténce.

J'ai mis en place cyrus-imapd pour la gestion des boites que je gère avec webmin mais surtout gyrus.

Pour mon annuaire openldap (version 2.4 et surtout pas la 3 qui est cryptée donc ingérable avec webmin ou phpldapadmin)

Si cela vous interesse je peux vous envoyer les conf de ces deux programmes.

Je note que votre main.cf laisse la possibilité aux utilisateurs des envois en nombre:

smtpd_client_connection_rate_limit (default: no limit) etc..

J'ai trouvé un site officiel interessant pour les reverse.

https://www.ripe.net/manage-ips-and-asns/db/support/configuring-reverse-dns
A noter:

  Gardez à l'esprit que, pour un /16 (v4) et /32 (v6), vous pouvez utiliser ns.ripe.net comme serveur secondaire. Dans les deux cas, vous devez autoriser les transferts de zone depuis le serveur de noms répertorié dans le champ MNAME de l'enregistrement de ressource SOA vers les serveurs de distribution RIPE NCC. Les adresses IP des deux serveurs sont :
  193.0.19.190 / 2001:67c:2e8:11::c100:13be
  93.175.159.250 / 2001:67c:2d7c:66::53

Mais mon problème c'est que mon DNS est sécurisé par opendnssec donc des clés RRSIG.

Cependant, cela ne coute rien d'essayer les dns secondaires de ripe.net

Cordialemnt
epsilon

Bonjour

@epsilon Merci pour votre retour

Oui, pour IPv6 c'est assez volontaire et peu mature comme reflexion, je vous l'accorde (par esprit "pas content" vis à vis du manque de delegation reverse de mon opérateur principal) !

Je vais regarder côté RIPE, effectivement c'est intéressant.

Pour le mail rate, effectivement j'utilise un système "maison" qui check l'envoi réel par utilisateur
Pour moi, l'intégration à été facile car je n'utilise que des outils très basiques en ligne de commande (pas d'appli web, pas de phpmyadmin, juste 'mysql$', postfix, bash … pas de webmin, pas de tous les trucs qui seraient pour moi compliqués à maintenir du à mes faibles compétences en la matière)

Le script s'execute en CRON toutes les 5 minutes (par contre les logs doivent être sur des disques SSD sinon le toutes les 5 minutes met à plat le serveur à cause des IOwait provoqués par des disques mécaniques)

Au final, le script m'envoi des SMS si le taux est dépassé (désolé, c'est assez "one line", c'est plus facilement lisible en indentant le code)

#!/bin/bash
red='\033[01;31m'
blue='\033[01;34m'
lightblue='\033[34m'
green='\033[01;32m'
lightgreen='\033[32m'
yellow='\033[01;33m'
norm='\033[00m'

LOG=/var/log/mail-rate.log

if [[ ! -f $LOG ]]
	then
	touch $LOG
fi

if [[ $# -eq 0 ]]
        then 
	echo "$0 </var/log/mail.info>";
	exit $?
fi

echo -e "\n--------------------------------------------------" >>$LOG
date >>$LOG
echo -e "---------------------------------------------------" >>$LOG


#script qui check combien de mail chaque utilisateur à envoyé ces 168 dernières heures (1 week) :
#log=/var/log/mail.info
logfile=$1
list=$(zgrep -E "`mysql -s -umxpostfix -pXXXXXXXXXX -Dmailpostfix -e"select concat(': from=<',username,'>, size=') from mailbox where active = '1';" |grep '@' |tr "\n" "|" |sed "s/.$//"`|: from=<unix-user1@linux-mail-server-domain>, size=" $logfile |grep '@'|cut -d: -f5 |cut -d, -f1 |sort |uniq -c |sed "s/from=<//g" |sed "s/>//g")
echo -e "$lightgreen$list$norm" >>$LOG

# limit = 100mail/jour => 2 process smtp (smtp + amavisd) => nombre de mail doit être inférieur à 1400 (7joursx100mailsx2process-smtp) pour un logfile rotate weekly

# '|: from=<unix-user1@linux-mail-server-domain>, size='  permet d'ajouter au retour de mysql les mails envoyés par les utilisateurs systèmes de la machine
# On peut ajouter au grep -E autant de : '|: from=<unix-userN@linux-mail-server-domain>, size='   que l'on veut

zgrep -E "`mysql -s -umxpostfix -pXXXXXXXXXX -Dmailpostfix -e"select concat(': from=<',username,'>, size=') from mailbox where active = '1';" |grep '@' |tr "\n" "|" |sed "s/.$//"`|: from=<unix-user1@linux-mail-server-domain>, size=" $logfile |grep '@'|cut -d: -f5 |cut -d, -f1 |sort |uniq -c |sed "s/from=<//g" |sed "s/>//g" |while read nbr mailbox ; do if [[ $nbr -gt 1400 ]] ; then echo -e "$red HIGH ACTIVITY RATE ON $mailbox => SMS SENT! $norm"; echo -e "/!\ MAILBOX SPAM ALERT /!\ \n\n$mailbox had sent $nbr mails since starting of week #`date +%W`\n\n /!\ ?? IS $mailbox SPAMMINIG ?? /!\ \n" |/etc/sms/sms.sh ;else echo -e "$lightblue Normal activity rate on $mailbox => No SMS $norm"; fi ; done >>$LOG


Par contre, le script sms.sh appelé (/etc/sms/sms.sh) utilise l'API de Free Mobile pour envoyer des SMS sur mon portable. c'est remplaçable par n'importe quel service de SMS fournissant une API requêtéble avec curl
(je peux fournir le script)

Merci pour vos propositions, mais je ne saurais pas utiliser la conf des appli web.
Par contre, je n'utilise pas Cyrrus (j'utilise courier-* et maildrop (pour la delivery conditionnelle) et j'ai mis un roundcube pour le calendrier mais ce n'est pas terrible) et pour le coup, la conf de Cyrus m'intéresse (avec SASL, etc…)

En vous remerciant encore
Bien cordialement
nbanba


@nbanba

Bonjour,

Webmin est très simple et sa configuration est quasi automatique. Je vous invite à l'essayer.

Gyrus (gui de cyrus) est un bon gestionnaire de cyrus.
Voir écran sur:
https://community.linuxmint.com/software/view/gyrus https://download.gnome.org/sources/gyrus/

config : https://www.cyrusimap.org/quickstart.html

et surtout pour mysql :
https://irp.nain-t.net/doku.php/200messagerie:030postfix3:030_cyrus https://doc.ubuntu-fr.org/postfix_mysql_tls_sasl

imapd.conf
# Debian Cyrus imapd.conf
# See imapd.conf(5) for more information and more options

servername: mail.domain.com
defaultdomain: domain.com

# Configuration directory
configdirectory: /var/lib/cyrus
proc_path: /run/cyrus/proc
mboxname_lockpath: /run/cyrus/lock

# Enfin, il faut déclarer au moins un administrateur
admins: cyrus
lmtp_admins: postman
imap_admins: cyrus
umask: 077
#sieve_admins: cyrus

# renommer les BAL
allowusermoves: 1
allowrename: 1

# Mail setup
defaultpartition: default
partition-default: /var/spool/cyrus/mail

# News setup
partition-news: /var/spool/cyrus/news
newsspool: /var/spool/cyrus/news
altnamespace: no

# rappelez-vous, lors de la configuration de web-cyradm…

# http://irp.nain-t.net/doku.php/200messagerie:030postfix3:030_cyrus

#Le paramètre unixhierarchysep: yes indique à Cyrus qu'il doit utiliser le séparateur / plutôt que le . qui est sa configuration par dafaut, et qui a l'inconvénient que le . n'est plus utilisable dans les noms d'utilisateurs. Dans la configuration choisie, il est indispensable de pouvoir mettre des points dans les noms d'utilisateurs.
unixhierarchysep: no
#virtdomains: no
#virtdomains: userid

# Vous avez bien un domaine dans lequel se trouve le serveur ?
lmtp_downcase_rcpt: yes
allowanonymouslogin: no
# Minimum time between POP mail fetches in minutes
#popminpoll: 1
autocreate_quota: 1
autocreate_inbox_folders: Sent | Drafts | Trash | Spam | Templates
autocreate_post: yes
createonlogin: yes
syslog_prefix: cyrus
autocreate_subscribe_folders: Sent | Drafts | Spam | Trash | Templates

#sieveusehomedir: 0
#sievedir: /var/spool/sieve
# directories: ~user/.sieve.

hashimapspool: true
# Allow plaintext logins by default (SASL PLAIN)
allowplaintext: yes
sasl_mech_list: PLAIN LOGIN

# Comment exploiter SASL (et son socket unix)
sasl_pwcheck_method: saslauthd
sasl_saslauthd_path: /var/run/saslauthd/mux
sasl_auto_transition: no

# Nous verrons comment faire du TLS proprement plus tard
## https://www.freebsd.org/cgi/man.cgi?apropos=0&sektion=5&query=imapd.conf&manpath=FreeBSD+5.0-current&format=html

tls_session_timeout: 1440
tls_sessions_db: skiplist

# https://cipherli.st # https://ssl-config.mozilla.org/#server=apache&server-version=2.4.39&config=intermediate # https://wiki.openssl.org/index.php/TLS1.3#Current_status_of_the_TLSv1.3_standard # https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility

#tls_ciphers: TLSv1+HIGH:!aNULL:@STRENGTH

# before this line was commend
sasl_minimum_layer: 1
tls_server_cert: /etc/letsencrypt/live/domain.com-0001/fullchain.pem
tls_server_key: /etc/letsencrypt/live/domain.com-0001/privkey.pem
tls_server_ca_file: /etc/letsencrypt/live/domain.com-0001/cert.pem
#tls_client_ca_dir:/etc/letsencrypt/live/domain.com-0001/
tls_require_cert: false
tls_imap_require_cert: false
tls_pop3_require_cert: false
tls_lmtp_require_cert: false

# Et n'oublions pas l'emplacement des sockets
lmtpsocket: /var/run/cyrus/socket/lmtp
idlemethod: poll
idlesocket: /var/run/cyrus/socket/idle
notifysocket: /var/run/cyrus/socket/notify

#reject8bit: yes

#munge8bit: no

# supression de DELETED
#https://www.cyrusimap.org/2.5/imap/admin/sop/deleting.html

# default prefix
# deletedprefix: DELETED
delete_mode: delayed

popminpoll: 1
srvtab: /var/lib/cyrus/srvtab

username_tolower: 1
ldap_uri: ldap://127.0.0.1:389

INDISPENSABLE:
au boot :

lien-sasl-cyrus-dkim.sh

#! /bin/sh
# Start the lien entre sasl et postfix.
#
### BEGIN INIT INFO
# Provides: lien
# Required-Start:
# Required-Stop:
# Should-Start:
# Should-Stop:
# Default-Start: 2 3 4 5
# Default-Stop:
# X-Start-Before: cyrus-imapd
# X-Stop-After:
# Short-Description: lien du run saslauth avec cyrus
# Description: lien du run saslauth avec cyrus
### END INIT INFO#

ln -s /var/spool/postfix/var/run/saslauthd/ /var/run/
chown -R root:sasl /var/spool/postfix/var/run/saslauthd
rm -R /var/run/opendkim/
ln -s /var/spool/postfix/var/run/opendkim/ /var/run/
chown -R opendkim:opendkim /var/spool/postfix/var/run/opendkim

cyrus.conf

# Debian defaults for Cyrus IMAP server/cluster implementation
# see cyrus.conf(5) for more information
#
# All the tcp services are tcpd-wrapped. see hosts_access(5)
# $Id: cyrus.conf 567 2006-08-14 18:19:32Z sven $

START {

# do not delete this entry!
recover		cmd="/usr/lib/cyrus/bin/ctl_cyrusdb -r"

# this is only necessary if idlemethod is set to "idled" in imapd.conf
idled		cmd="idled"
# this is useful on backend nodes of a Murder cluster
# it causes the backend to syncronize its mailbox list with
# the mupdate master upon startup
#mupdatepush   cmd="/usr/sbin/ctl_mboxlist -m"
# this is recommended if using duplicate delivery suppression
delprune	cmd="/usr/lib/cyrus/bin/cyr_expire -E 3"
# this is recommended if caching TLS sessions
tlsprune	cmd="/usr/lib/cyrus/bin/tls_prune"

}

# UNIX sockets start with a slash and are absolute paths
# you can use a maxchild=# to limit the maximum number of forks of a service
# you can use babysit=true and maxforkrate=# to keep tight tabs on the service
# most services also accept -U (limit number of reuses) and -T (timeout)
SERVICES {

# --- Normal cyrus spool, or Murder backends ---
# add or remove based on preferences
imap		cmd="imapd -U 30" listen="imap" prefork=0 maxchild=100
imaps		cmd="imapd -s -U 30" listen="imaps" prefork=0 maxchild=100
#pop3		cmd="pop3d -U 30" listen="pop3" prefork=0 maxchild=50
#pop3s		cmd="pop3d -s -U 30" listen="pop3s" prefork=0 maxchild=50
#nntp		cmd="nntpd -U 30" listen="nntp" prefork=0 maxchild=100
#nntps		cmd="nntpd -s -U 30" listen="nntps" prefork=0 maxchild=100
# At least one form of LMTP is required for delivery
# (you must keep the Unix socket name in sync with imap.conf)
#lmtp		cmd="lmtpd" listen="localhost:lmtp" prefork=0 maxchild=20
lmtpunix	cmd="lmtpd" listen="/run/cyrus/socket/lmtp" prefork=0 maxchild=20
# ----------------------------------------------
# useful if you need to give users remote access to sieve
# by default, we limit this to localhost in Debian
	#sieve		cmd="timsieved" listen="localhost:sieve" prefork=0 maxchild=100
# this one is needed for the notification services
notify		cmd="notifyd" listen="/var/run/cyrus/socket/notify" proto="udp" prefork=1
# --- Murder frontends -------------------------
# enable these and disable the matching services above, 
# except for sieve (which deals automatically with Murder)
# mupdate database service - must prefork at least 1
# (mupdate slaves)
#mupdate       cmd="mupdate" listen=3905 prefork=1
# (mupdate master, only one in the entire cluster)
#mupdate       cmd="mupdate -m" listen=3905 prefork=1
# proxies that will connect to the backends
#imap		cmd="proxyd" listen="imap" prefork=0 maxchild=100
#imaps		cmd="proxyd -s" listen="imaps" prefork=0 maxchild=100
#pop3		cmd="pop3proxyd" listen="pop3" prefork=0 maxchild=50
#pop3s		cmd="pop3proxyd -s" listen="pop3s" prefork=0 maxchild=50
#lmtp		cmd="lmtpproxyd" listen="lmtp" prefork=1 maxchild=20
# ----------------------------------------------

}

EVENTS {

# VOIR http://www.linuxcertif.com/man/8/cyr_expire/
	
# this is required
checkpoint	cmd="/usr/lib/cyrus/bin/ctl_cyrusdb -c" period=30
# this is only necessary if using duplicate delivery suppression
# Ci dessous original de la distrib
delprune	cmd="/usr/lib/cyrus/bin/cyr_expire -E 3" at=1200
# nettoyage des bal imap a 13h00
expungeprune	cmd="/usr/lib/cyrus/bin/cyr_expire -X 0" at=1300

# this is only necessary if caching TLS sessions
tlsprune	cmd="/usr/lib/cyrus/bin/tls_prune" at=1200

# reindex changed mailboxes (fulltext) approximately every three hours
     
  # reindex all mailboxes (fulltext) daily touts le heures
  squattera       cmd="/usr/bin/nice -n 19 /usr/lib/cyrus/bin/squatter -S 3600"

}

saslauthd.conf

ldap_servers: ldap://127.0.0.1:389/

ldap_version: 3
ldap_search_base: dc=domain,dc=com
ldap_scope: sub
ldap_filter: uid=%u
ldap_password_attr: userPassword
ldap_auth_method: bind
ldap_use_sasl: no
ldap_timeout: 10

/etc/postfix/sasl/smtpd.conf

pwcheck_method: saslauthd
mech_list: plain login

A adpater bien sur pour mysql

Cordialemnt
epsilon

@nbanba

Pour les abonnés FREE
Plus simple pour l'avenir

https://transfert.free.fr/upload

On peut créer un lien valable de 24h à .. 30 jours

A plus
epsilon

@epsilon

Merci pour votre retour et les infos + la conf cyrus

Effectivement, vous avez raison nous avons beaucoup dérivés du sujet initial de ce ticket et ce bugtracker n est pas un blog de libre échange pour postmaster…

Après avec les freebox on peut créer des shared_link expirables ou non permettant le transfer securisé de fichiers.
Depuis un terminal linux (bash) on peut facilement crée des shared_link donnant accès à du contenu stocké sur la freebox en les créant avec l API.
J ai d ailleurs participé au développement des fonctions de la library qui permettent de piloter les freebox par l API directement depuis votre ligne de commande bash, et notamment les fonctions relatives aux shared_links (juste à sourcer la lib, les fonctions sont utilisables directement comme des commandes dans votre terminal)

Si ca vous intéresse, la lib + la doc de la lib + le programme de gestion des VM (pour les freebox delta) est ici :

LIB:
https://github.com/nbanb/fbx-delta-nba_bash_api.sh

README LIB (markdown github, plus facile à lire en ligne sur github.com):
https://github.com/nbanb/fbx-delta-nba_bash_api.sh/blob/nbanb-freebox-api/README.md

VM:
https://github.com/nbanb/fbxvm-ctrl

README VM (markdown github):
https://github.com/nbanb/fbxvm-ctrl/blob/main/README.md

Après si vous voulez des fichiers provenant de mes confs, je vous recommande les fichiers de check de conformité des mails comme :

header_checks = regexp:/etc/postfix/postfix-email-check/header_checks.cf
body_checks = regexp:/etc/postfix/postfix-email-check/body_checks.cf
mime_header_checks = regexp:/etc/postfix/postfix-email-check/mime_headers_checks.cf

Ces scripts construits avec le temps contiennent plus de 1000 regex permettant de check la conformité des mails avant qu ils n entrent dans le pipe smtp.

Il y a aussi la conf maildrop (que vous n utilisez pas) pour la delivery conditionnelles et le déclenchement d actions suite à la réception de certains mails.

Cordialement
nbanba

A tout le monde : Le problème date depuis très très longtemps !

Aujourd'hui 2023-07-26, c'est toujours d'actualité, soit depuis le 2010-04-29 : 13 ans et 3 mois à quelques jours près :
- https://dev.freebox.fr/bugs/task/3478 (1 vote)

A noter qu'avant, les problèmes étaient signalés sur les newsgroups.

Autres :
- https://dev.freebox.fr/bugs/index.php?string=reverse&project=0&do=index&search_name=&type%5B%5D=&sev%5B%5D=&pri%5B%5D=&due%5B%5D=&reported%5B%5D=&cat%5B%5D=&status%5B%5D=&percent%5B%5D=&opened=&dev=&closed=&duedatefrom=&duedateto=&changedfrom=&changedto=&openedfrom=&openedto=&closedfrom=&closedto=

Tickets ouverts :
- https://dev.freebox.fr/bugs/task/3478 (1 vote)
- https://dev.freebox.fr/bugs/task/12749 (123 votes)
- https://dev.freebox.fr/bugs/task/17388 (6 votes)
- https://dev.freebox.fr/bugs/task/21162 (0 vote)
- https://dev.freebox.fr/bugs/task/21678 (0 vote)
- https://dev.freebox.fr/bugs/task/26772 (37 votes)
- https://dev.freebox.fr/bugs/task/30621 (1 vote)

Il faudrait, je pense voter sur l'ensemble des tickets ci-dessus, c'est un par jour.

Je me demande si nous avons les bons interlocuteurs ici.

C'est un bugtracker freebox, et les réponses de Thibaut Freebox mentionnent que le développement doit s'effectuer côté infrastructure. C'est à dire que même si par sympathie un employé FREE avait l'envie de régler notre problématique en ninja, et bien il ne pourrait pas car c'est une autre équipe qui bloque.

Cela fait 13 ans, ce ticket est le premier en nombre de vote depuis un bon moment. Faire d'avantage de bruit ici ne changera rien à leur priorités parce que nous ne sommes qu'une infime partie des utilisateurs.

Je crois que nous devrions discuter d'alternatives, comme par exemple passer sur d'autre FAIs ou mettre en place des tunnels depuis des serveurs qui ont un range IPv6 conséquent et/ou une IPv4 le tout avec rDNS.

Bonjour

@david.keller : vous avez raions, ici c'est un bugtracker pour tracker les bugs du dev des freebox.

Ce ticket parle effectivement de 3% de dev FreeboxOS et de 97% de dev infrastructure (entre système et réseau sur ce point)

Et pour gérer moi même des IP / ASN avec le RIPE NCC, je ne vois pas trop la limitation … si ce n'est le gros poil dans la main ou une volonté politique.

Après, début juin j'étais chez un client qui à une connexion de secours à moins de 50 balles par mois chez Orange PRO.

Je me connecte sur la livebox et la je vois que :

- on peut monter des interco site-to-site
- on peut modifier la table de routage v4 / v6 (+ support d OSPF, BGP, etc…)
- on peut gérer le firewall IPv4 et IPv6 (sommaire, mais au moins on peut ouvrir des ports en IPv6 sur des IP données)
- + gestion des reverses DNS … - … le tout sur un routeur sagemcom de m…

Alors, je pense que Free devrait réfléchir, vraiment réfléchir… car des personnes comme moi abonnées depuis la première heure et ambassadeurs à grande échelle des solutions Free vont s'en aller souscrire des offres chez Orange et conseiller Orange à leurs clients, car les offres Oranges basiques possèdent visiblement tout ce que Free ne fourni pas et qu'on demande depuis plus de 10 ans.

à bon entendeur …

Cordialement
nbanba

HLFH commented on 28.07.2023 10:23

@nbanba J'ai 5 lignes fibre FTTH à ouvrir en décembre prochain. Puisque Free & Free Pro ne gèrent pas le rDNS IPv6, et que tu me dis qu'Orange Pro gère le rDNS IPv6, je vais éventuellement ouvrir avec eux.

Bonjour

@HLFH :
depuis LibertySurf je ne pensais jamais qu un jour je recommanderai Orange face à Free

Mais Free étant devenu un opérateur commun entrée de gamme et Free ne faisant pas le nécessaire techniquement, malheureusement j en suis là…

Concernant Free PRO, c est le service le moins PRO du marché :
C est éventuellement bien pour le wifi du café d en face ou le salon de coiffure fu bout de la rue, mais ça n a rien de pro !
(Une connexion PRO que je ne peux pas monter en OSI L2 sur les firewalls derrière la connexion est tout sauf une connexion PRO ! Idem, je dois pouvoir monter 1 subnet sur les firewalls, pas 1 unique ipv4 même pas rfc3021 !)

En fait l offre PRO est surtout là pour vendre Free mobile dans les Toutes Petites Entreprises n aillant aucun besoin pro d internet (ex le coiffeur du coin de la rue).

Donc oui si vous cherchez de vrais offres pro, voyez ailleurs que chez Free …

Je vais essayer de récupérer le contrat orange de mon client pour vous donner les infos.

Cordialement
nbanba

@DELTA94 m'indique que j'ai oublié celui-ci :
- https://dev.freebox.fr/bugs/task/30098 (4 votes)

@sberthelot: Auteur de ce ticket, est-ce possible de mettre à jour le ticket ?
- "Catégorie" → "WAN"
- "Système d'exploitation" → "Tous"
- "Basée sur la version" → "la version du Firmware actuel"
- "Sévérité" → "Critique"
- "Concerne le projet" → "Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)"

Ce qui fait en tickets ouverts :
- https://dev.freebox.fr/bugs/task/3478 (5 votes)
- https://dev.freebox.fr/bugs/task/12749 (124 votes)
- https://dev.freebox.fr/bugs/task/17388 (5 votes)
- https://dev.freebox.fr/bugs/task/21162 (4 votes)
- https://dev.freebox.fr/bugs/task/21678 (3 votes)
- https://dev.freebox.fr/bugs/task/26772 (38 votes)
- https://dev.freebox.fr/bugs/task/30098 (4 votes)
- https://dev.freebox.fr/bugs/task/30621 (4 votes)

@ all : Il semblerait que le problème soit enfin résolu, pourriez-vous, svp, confirmer ?

Bonjour

Le reverse DNS en IPv4 est de nouveau fonctionnel chez moi en fibre 10g-epon en région parisienne.

Par contre, je suis peut-être passé à côté de quelques chose mais je n'ai pas trouvé de menu de configuration permettant de mettre mes serveurs DNS pour gérer les reverses du bloc IPv6 /60 attribué à ma connexion freebox, et il me semble que c'est l objets du présent ticket.

Cordialement
nbanba

ag commented on 27.09.2023 16:20

Idem.
Reverse IPv4 fonctionnel sur 82.64.125.* et 82.65.239.* tels qu'ils étaient configurés dans la console web.

En revanche, je n'ai rien vu en rapport avec IPv6 de mon côté.
@Neustradamus_ : Avez-vous vu quel chose du vôtre ?

@nbanba, @ag: Oui, seulement pour l'IPv4, je ne vois rien dans l'interface abonné pour l'IPv6…

ag commented on 27.09.2023 23:08

Allez Free !
Ce n'est pas compliqué, c'est le même mécanisme que pour un champ PTR pour une seule IPv4.

  • Un ou deux champs NS personnalisés pour chaque /60 IPv6 sur les zones *.0.e.0.1.0.a.2.ip6.arpa..
  • N'importe quel serveur DNS ubiquitaire, tel que BIND ou KNOT, supporte cela et vous pourrez même lui faire générer automatiquement des reverses en proxad ou en poneytelecom pour tout le monde au lieu de ne rien répondre comme actuellement.
  • Vous avez déjà le formulaire IPv4 sur la console web qui peut resservir en ajoutant un formulaire.
  • Vous avez déjà des serveurs DNS ns{2,3}-rev.proxad.net prêts à gérer ces zones en plus des zones *.in-addr.arpa..

Tout est dans les détails et ça ferait réellement la différence avec la concurrence…

Je viens de faire mon reverse IPv4 sur une ligne FTTH, ca fonctionne en 5mn.
Seulement toujours rien en IPv6 ? Y a-t-il un possible conflit avec des futurs services pour ne pas le faire ?

Prévoyant un "petit" temps de réaction de la part de Free, je vote dès aujourd'hui pour le reverse DNS en IPv7.

mr commented on 19.10.2023 20:17

Toujours rien en IPv4, ça serait énorme que l'IPv6 soit servi avant que l'IPv4 soit remis en place globalement.

@mr: En IPv4, ça devrait fonctionner…

Vous êtes fibré ou xDSL ?
IPv4 full-stack ou pas ?

mr commented on 19.10.2023 21:05

(oui, IPv4 avec tous les ports, en fibre)

+1 d'autant plus que le port 41 IP est maintenant filtré donc plus de tunnel hurricane !

J’apporte un précision. Ce n’est pas le port 41 qui est filtré mais le protocole 41(6to4) au même niveau que TCP (protocole 6) et UDP (protocole 17). Depuis le 13/10/2023 le protocole 41 n’est plus transmis aux Freebox et cela nous empêche d’utiliser un tunnel broker IPv6 comme celui de Hurricane Electric. Cela permet d’obtenir une plage IPv6 avec délégation rDNS. Bref, ce contournement du problème n’est plus possible. J’ai ouvert le ticket #38735 sur ce sujet.

my bad, merci pour la précision

Oh jy ai cru.. !

J'ai supprimé mon vieux record reverse DNS dans l'espace Abonné, puis je l'ai remis.. J'ai une offre Freebox Optique (Revolution)

Mais.. :

$ nslookup 78.192.8.28
28.8.192.78.in-addr.arpa name = pes75-1-78-192-8-28.fbxo.proxad.net.

Authoritative answers can be found from:

Est ce que changer de freebox (une freebox pop par exemple) pourrait permettre d'activer le rdns? Je vois certain qui ont une ip fullstack. Comment faire pour souscrire à une fullstack si jamais cela permet d'être sur les plages actives pour le rdns?
Merci !

(j'ai encore espoir…)

@assayag: Il n'y a aucune différence entre les modèles de Freebox.

Avez-vous mis à jour la zone DNS de votre nom de domaine avec votre IPv4 full-stack actuelle ?

@Neustradamus_ : oui j'ai bien configuré dans mon espace perso FREE le reverse DNS pour que mon ip pointe vers mon domaine. Et si j'essaie de resoudre l'adresse de mon domaine, elle pointe bien vers mon ip.
Le probleme est donc, la propagation du rDns perso de mon ip qui n'est pas updaté, et qui converse le host fbxo.proxad.net.
Je ne sais pas si je possède une ip fullstack. Comment le verifier, ou comment y souscrire?
Merci

Bonjour,
Je m'interroge sur l'absence de reverse IPV6.
En IPV4 pas de problème mais impossible d'envoyer un mail avec postfix si le configure pas le main.cf avec relayhost = [smtp.free.fr]
Aprés recherche, j'ai trouvé ceci:

https://check.spamhaus.org/listed/?searchterm=82.64.XX.XX est listé.

Il s'agit d'IP public et non dédiée.

sapmhaus écrit:

Exécutez votre propre serveur de courrier ?

Si vous faites fonctionner votre propre serveur de courrier et si vous devez être retiré du PBL.
veuillez cliquer sur « Afficher les détails » pour revoir la politique de votre FAI.
Le fait d'être sur cette liste ne signifie pas que vous ne pourrez pas envoyer d'e-mails.
Vous n'avez pas besoin de demander le retrait de PBL.
Cette liste est contrôlée par votre fournisseur de services Internet (FAI), et non par Spamhaus.
Votre FAI indique des plages d'adresses IP qui ne devraient pas envoyer d'e-mails directement sur Internet.

En règle générale, des adresses IP de clients à large bande ou à tir comporteurs seront incluses dans cette liste.
Cela fait partie des meilleures pratiques adoptées par Internet pour protéger tous les utilisateurs.

Lorsqu'il est possible de demander l'éloignement, nous vous aiderons tout au long du processus. Toutefois, si votre adresse IP figure sur la liste de blocs de Spamhaus (SBL), la suppression ne peut être demandée que par votre fournisseur d'accès Internet (FAI).

  

Dans le cas de reverse IPV6 il serait difficile pour le FAI d'adopter la même restriction.

Quant à demander et surtout obtenir le Retrait (82.64.XX.XX) du PBL bon courage.

Je me trompe?

Mon adresse en 82.65.XX.XX était blacklistée par spamhaus, mais en suivant le lien indiqué sur un formulaire de retrait, elle a été débloquée immédiatement. Toutefois même blacklistée, je pouvais envoyer des mails. Ca bloquait pour des destinataires @orange.fr, mais j'avoue ne pas encore bien testé.

ag commented on 22.12.2023 18:34

@epsilon : Le bloc 82.64.0.0/14 est déclaré au RIPE comme dynamique.
Il servait autrefois aux abonnés Freebox non dégroupés en IP dynamique (offre « IP/ADSL France Telecom »).
Désormais, Free l'utilise pour les IP dites « full-stack » avec tous les ports disponibles en entrée de routage.

Il faudrait que Free mette à jour ses champs dans la base de données du RIPE ; affaire réglée en un quart d'heure en prenant son temps…

Spamhaus se base sur les informations du RIPE pour connaître l'usage des plages d'IP.
Il n'y a aucun problème pour retirer une adresse individuelle de la PBL.
En revanche, c'est pour la SBL qu'il faut que ça soit le propriétaire (FAI) qui le demande.

Au RIPE, les deux déclarations de ce bloc sont :

route: 82.64.0.0/14
descr: ProXad network / Free SA
descr: Paris, France
origin: AS12322
mnt-by: PROXAD-MNT
created: 2003-04-03T09:35:03Z
last-modified: 2003-04-03T09:35:03Z
source: RIPE # Filtered

et

inetnum: 82.64.0.0 - 82.67.255.255
netname: FR-PROXAD-20030403
country: FR
org: ORG-PISP1-RIPE
admin-c: ACP23-RIPE
tech-c: TCP8-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-by: PROXAD-MNT
mnt-routes: PROXAD-MNT
created: 2003-04-03T09:27:48Z
last-modified: 2018-02-14T01:51:58Z
source: RIPE # Filtered

Il n'y a rien qui semble dire que c'est dynamique.

ag commented on 22.01.2024 18:08

@vbernat : Oui, tout à fait pour le /14. Je suis allé un peu vite. Cependant, certaines plages sous bien identifiées comme dynamiques, comme par exemple :

inetnum: 82.64.0.0 - 82.64.114.255
netname: FR-PROXAD-ADSL
descr: Proxad / Free SAS
descr: Dynamic pool (ADSL)
descr: NCC#2001087947 (29440)
country: FR
admin-c: ACP23-RIPE
tech-c: TCP8-RIPE
status: ASSIGNED PA
remarks: Spam/Abuse requests: mailto:abuse@proxad.net
mnt-by: PROXAD-MNT
created: 2003-09-30T13:16:54Z
last-modified: 2003-10-28T14:45:43Z
source: RIPE

A priori, c'est le seul dans ce bloc. Il a été retiré. À voir si cela change quelque chose.

ag commented on 23.01.2024 17:30

Merci @vbernat pour vous être occupé de cela.

Le bloc suivant 82.64.115.0 - 82.64.255.255 est toujours marqué dynamique et mon IP full stack est dedans. Il y a un travail de relecture de la définition des blocs à faire. Ca aide pour la réputation des IP mais ça ne résoudra pas le soucis de délégation inverse du DNS. Trois champs de saisie pour saisir 3 serveurs maxi de DNS auxquels seront délégués les requêtes dans la plage IPv6 assignée par exemple avec un contrôle minimum pour vérifier que ces plages sont bien desservies par les serveur DNS comme c'est déjà le cas pour le reverse DNS IPv4. Hurricane Electric le fait déjà pour ses tunnels et c'est tellement simple.

Ensuite c'est vrai que c'est réservé aux connaisseurs, la plupart des clients Freebox n'en ont pas besoin mais ceux qui en font la demande ici en ont réellement besoin.

C'est corrigé pour les blocs dans 82.64.0.0/15.

j'étais blacklisté par "dnsbl.sorbs.net" car mon block 82.65.0.0/15 était blacklisté depuis 2003 (ip dynamique et "No acceptable MX records found for mail.xxxxx.tld" et bien sur j'ai cette ip avec Free depuis 3 ans au passage de la fibre !!! J'ai fais une demande sur leur site web , fourni le maximum d'info sur mon IP, dns avec des copies d'ecran plus une explication , bien sur toutes mes DNS (ttl , ptr etc… ) respectés leurs condition , apres 1 mois et demi d'attente , il m'ont répondu et on ajouter une exception pour mon ip 82.65.x.x/32 , et aujourd'hui je ne suis plus blacklister par SORBS , ni aucun autre d ailleurs , c'était important car depuis le passage de la fibre j'héberge chez moi tous mes services , cloud , mail , web ,streaming ,et depuis j'ai arrêté les location de serveur dédié ,
Pour résumer , on peut aussi etre déblacklisté en faisant la procédure sois même sans passé par le FAI.

Loading...

Available keyboard shortcuts

Tasklist

Task Details

Task Editing