DNS - Faire en sorte que les serveurs de courrier trouvent le votre - Debian 6.0 Squeeze
Rédigé par Marc GUILLAUME | Aucun commentaireDéclarer le serveur sur Internet via les enregistrements MX du DNS.
Les entrées MX
Vous avez donc un serveur de courrier qui fonctionne. Mais comment les expéditeurs de mails vont-ils trouver votre serveur ? La réponse se trouve dans le plus important service d'Internet : DNS. Imaginons que vous soyez le propriétaire du domaine gmail.com et qu'un serveur de courrier quelque part à l'autre bout d'Internet veut envoyer un mail à john@gmail.com. Ce que doit faire ce serveur est de trouver avec quel serveur sur Internet il doit établir une connexion SMTP pour délivrer son mail. Il obtient cette information en interrogeant le serveur de nom DNS responsable du domaine gmail.com pour lui demander un MX ou éventuellement un enregistrement A. MX est l'acronyme de « mail exchanger » (échangeur de mail) et il existe une série d'enregistements DNS indiquant quels serveurs MX utiliser pour le domaine visé. Interrogeons le DNS :
$> dig +short MX gmail.com 10 alt1.gmail-smtp-in.l.google.com. 40 alt4.gmail-smtp-in.l.google.com. 5 gmail-smtp-in.l.google.com. 20 alt2.gmail-smtp-in.l.google.com. 30 alt3.gmail-smtp-in.l.google.com.
La commande renvoit 5 enregistrements MX différents. Chaque enregistrement comporte un chiffre de priorité et le nom d'hôte du serveur de mail. Un serveur de mail prendra l'entrée MX avec la plus forte priorité (qui correspond au plus petit nombre) et établira avec lui la connexion SMTP. Dans cet exemple ce serait le serveur ayant le chiffre de priorité 5 gmail-smtp-in.l.google.com. Si pour une raison quelconque ce serveur ne répond pas, le serveur suivant avec la priorité de 10 sera utilisé et ainsi de suite. Donc tout ce que vous avez à faire dans votre zone DNS est d'ajouter une entrée MX pointant sur votre serveur de mail. Si vous désirez utiliser un serveur mail de secours (ce qui sort du sujet de ce guide) alors vous pouvez entrer une seconde entrée avec une priorité moindre.
ATTENTION : Une erreur souvent commise est d'utiliser une adresse IP dans les enregistrements MX. Ce n'est pas autorisé. Un enregistrement MX pointe toujours vers un nom d'hôte. Il faudra que vous ajoutiez à votre zone DNS un enregistrement A avec le nom d'hôte de votre serveur de mail qui pointe sur son adresse IP.
Remarque : Dans l'exemple ci-dessus il y a très peu de chances qu'un serveur de mail aie jamais besoin d'utiliser le serveur de priorité 40. Les administrateurs système aventureux peuvent ajouter une priorité aussi basse et voir qui se connecte sur le serveur. Parce qu'un fait intéressant est que les spammeurs souvent essayent ces serveurs en premier, espérant qu'il s'agisse de serveurs uniquement destinés au secours et qui filtrent moins soigneusement le courrier que le serveur principal. Si vous voyez une connexion sur le serveur de plus basse priorité sans que la machine se connectant ait essayé auparavant un serveur de plus haute priorité, vous pouvez être à-peu-près certain que ce n'est pas un ami qui tape à votre porte.
Repli sur les entrées A
Il est toujours préférable de nommer explicitement les serveurs de courrier dans des enregistrements MX. Si vous ne pouvez pas le faire pour une quelconque raison, alors le serveur distant recherchera l'adresse IP du domaine en interrogeant les enregistrements A du DNS et enverra le courrier à cette adresse. Si vous n'avez qu'un seul serveur qui soit à la fois le serveur web du domaine et votre serveur de courrier vous pouvez procéder ainsi. Mais si le serveur de courrier se trouve à une autre adresse que le serveur web du domaine, alors ça ne fonctionnera pas.
Les DNS dynamiques pour votre serveur de courrier à la maison
Comment, vous n'avez pas de domaine ? Pas de problème. Avec DynDNS vous pouvez avoir un nom de serveur sur l'Internet gratuitement. Inscrivez-vous sur le site, choisissez un nom d'hôte dans un des domaines proposés et faites le pointer sur votre adresse IP. Si votre connexion est sur une adresse IP dynamique (qui change régulièrement et à chaque connexion) vous pouvez utiliser de petits programmes comme ddclient qui mettront à jours automatiquement vos enregistrements DNS lorsque votre IP changera et ainsi vous recevrez toujours vos mails sur le nom de serveur/domaine. Vous pouvez même utiliser un enregistrement MX qui soit différent de l'enregistrement A si vous le voulez. Vous n'avez donc pas d'excuse pour ne pas avoir votre serveur de courrier à la maison.
Édition de juillet 2017
Note du traducteur : Attention depuis la rédaction de cet article dynDNS est devenu dyn.com, puis a été récemment racheté par la société Oracle. Les domaines dynamiques gratuits ont disparu et les listes de domaines disponibles considérablement réduits. Dyn.com reste un bon gestionnaire de DNS professionnel, mais pour les dns dynamiques gratuits il faudra vous tourner vers un autre pourvoyeur. Actuellement je n'en ai personnellement rencontré aucun que je trouve satisfaisant.
De plus les plages d'IP dynamiques des FAI, et même leurs IP dites fixes (qui ne sont que des IP de leurs plages dynamiques qui vous sont concédées et donc ne changent pas pour vous) sont systématiquement blacklistées par les serveurs de mail, à cause du trop grand nombres de postes (pour la plupart sous MSWindows) infestés par des virus et essayant d'envoyer des spams. Il est donc devenu, en pratique complètement impossible d'envoyer des courriers depuis un serveur à domicile derrière une IP dynamique. Cette évolution, que l'on sentait venir depuis une dizaine d'années, empêche donc pratiquement l'hébergement d'un serveur d'envoi à la maison. Par contre il est possible, si votre fournisseur d'accès ne bloque pas le port 25, d'avoir un serveur de réception avec un domaine dynamique et envoyer par un smtp extérieur. La société Orange, pour ne pas la nommer, a semble-t-il gardé les mauvaises habitudes de son ancêtre wanadoo, elle utilise des DNS menteurs et bloque le port 25 pour les utilisateurs n'ayant pas une ligne professionnelle. Toujours pour votre bien, cela va sans dire. Pour un serveur de réception à la maison avec envoi par un autre smtp voir la page Envoyer du courrier depuis une IP dynamique sur Debian 6.0 Squeeze de ce guide.
On pourrait épiloguer sur cette politique "sécuritaire" qui pour protéger du vrai fléau qu'est le spam, a comme effet de bord (intentionnel ?) de dissuader les utilisateurs de mettre en oeuvre leurs propres outils réseau, les rendant indépendants des grands groupes commerciaux, et de conduire à une massive concentration sur les grandes plateformes de mail. Mais ce n'est pas ici le lieux... ;)