Est-il en train de devenir impossible d'être un petit fournisseur de courrier?


41

Je gère un petit serveur de messagerie pour mes courriels privés, des amis qui ont des sites Web et deux ONG. Au total, mon serveur envoie entre 60 et 400 messages par jour. Maintenant, beaucoup de ces courriels sont des courriers personnels , entre deux personnes ou plus qui se connaissent. De temps en temps (généralement une ou deux fois par semaine), un courrier est envoyé aux "membres" d'une ONG pour les informer des nouveautés, etc.

Maintenant, j'ai déjà quitté les "publipostages en masse" (environ 100 destinataires, tous connus personnellement et souscrits manuellement via un formulaire papier) à mailgun.org.

Je reçois toujours (et de plus en plus) des messages rejetés. Les grands fournisseurs de messagerie tels que Gmail, Yahoo ou Microsoft (hotmail, live.com, ...) décident de refuser avec un message 550 ou d'envoyer des messages personnels au dossier Spam des destinataires. Parfois, cela se produit:

  • utilisateur gmail envoie un courrier électronique à l'utilisateur sur mon système
  • utilisateur sur mon système répond
  • la réponse est rejetée ou envoyée au spam

Choses que j'ai faites:

  • configurer DKIM (signature par domaine de tous les emails sortants)
  • mis en place SPF, les domaines ont généralement ~all, certains-all
  • J'ai un PTR correct pour l'IP de mon serveur de messagerie
  • évidemment pas de relais ouvert, les utilisateurs ne peuvent envoyer qu'à partir de leur propre adresse e-mail après authentification
  • J'ai des politiques DMARC pour la plupart des domaines
  • Je limite le nombre de messages sortants à 1 par minute pour certains serveurs de messagerie
  • les services de test du courrier signalent des scores "parfaits" (tous réussis) pour tous les éléments ci-dessus
  • Je vérifie régulièrement mon adresse IP pour la liste noire en utilisant http://www.dnsbl.info - elle est toujours verte

Maintenant, le paradoxe vient ici: pour la plupart des grands fournisseurs de courrier, il existe un moyen de s'enregistrer pour contrôler les taux de rejet et la réputation de la propriété intellectuelle:

mais je ne classe pas comme expéditeur en masse, en raison du faible volume. Je me suis donc inscrit pour surveiller ma réputation et mes taux de rejet, mais comme je n'envoie pas d' e-mails en nombre, il n'y a aucun rapport.

Y a-t-il autre chose que je puisse faire pour améliorer les taux de distribution du courrier? Ou devrais-je céder et arrêter d'essayer de faire fonctionner mon propre serveur de messagerie?

Si cela est pertinent: j’utilise postfix et respecte des règles très strictes concernant le courrier entrant (c’est-à-dire qu’aucun domaine / nom d’hôte inconnu ou enregistrement SPF non valide, j’utilise spamassassin, etc.)

Mise à jour

Voici un exemple, envoyé de moi à mes beaux-parents et il est arrivé dans leur dossier SPAM: http://pastebin.com/BC6YgjpQ (j'ai remplacé le domaine d'adresse d'envoi par example.comet l'adresse de destinataire example@gmail.com)

Depuis que la question a été posée: les connexions à Gmail sont Untrusted TLS connection established to gmail-smtp-in.l.google.com[2a00:1450:400c:c0b::1b]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)cryptées.


3
J'ai abandonné il y a longtemps. Maintenant, j'envoie même mon email personnel via SendGrid.
Michael Hampton

2
J'ai eu des problèmes similaires, mais j'ai encore moins de trafic mail. Dans mon cas, j'ai ajouté un enregistrement DNS SPF, et Google a autorisé à nouveau mes mails. Pour moi, ce sujet est très important. Faire fonctionner son propre serveur de messagerie est pour moi un droit humain fondamental. Peut-être que vous pouvez parler à l’EFF qui traite de gros sujets comme celui-ci.
guettli


J'ai remarqué que vous avez ajouté un en-tête d'authentification au message sortant. Google peut considérer cela comme une tentative d'authentification usurpée. Mon interprétation de l'en-tête d'authentification est qu'il est destiné à être ajouté par MX (serveurs de bordure) aux messages entrants. Il est autorisé / recommandé que le MX supprime les en-têtes d'authentification existants.
BillThor

Réponses:


20

Devenir un petit fournisseur de courrier ne devrait poser aucun problème. Vous semblez faire les bonnes choses. De nombreux grands fournisseurs ne comprennent pas les choses et obtiennent la plupart de leur courrier.

Si le courrier est envoyé dans le dossier SPAM, il est probable que vous ayez oublié quelque chose. Il devrait y avoir une trace des raisons pour lesquelles vous avez des problèmes de livraison:

  • Pour les messages renvoyés, lisez la réponse. Il devrait spécifier pourquoi le courrier a été renvoyé. Si vous le pouvez, assurez-vous que les messages renvoyés sont consignés.
  • Pour les messages envoyés au dossier Spam, examinez les en-têtes de message du message remis. Cela devrait (pour GMail ou Yahoo) contenir des détails sur certaines des vérifications effectuées. Cela vous aide à déterminer quel est le problème.

Quelques éléments que vous n'avez pas spécifiés, mais dont certains doivent être capturés par le rapport de validation:

  • La validation rDNS de votre adresse de serveur de messagerie réussit. (Votre enregistrement PTR ne doit renvoyer qu'une seule adresse.)
  • Votre serveur a utilisé le nom de l'enregistrement PTR dans son message EHLO ou HELO.
  • Configurez un enregistrement SPF pour le domaine de votre serveur de messagerie ("v = spf1 a -all").
  • Vous vous êtes inscrit sur dnswl.org.
  • La ou les clés publiques DKIM ont été publiées au bon endroit. Vous pouvez utiliser la même clé pour plusieurs domaines. Il peut être utile que d'autres organisations utilisent les enregistrements CNAME pour les enregistrements DNS que vous contrôlez.
  • Vous avez utilisé une grande clé DKIM 1024 ou supérieure.
  • Traiter le courrier sortant via un filtre anti-spam (au moins les problèmes de journalisation).

Si vous avez DMARC, vous pouvez configurer des rapports sur l'état des livraisons et des rapports de rebond. Cela vous permettra de recevoir les rapports de livraison. Je reçois des rapports de Google, Microsoft et Yahoo. Veuillez noter que la disposition "aucune" indique que le courrier a été livré.


2
Voici un 550: host aspmx.l.google.com[2a00:1450:4013:c01::1a] said: 550-5.7.1 [2a02:c200:0:10:3:0:4018:cafe 18] Our system has detected that this message is likely suspicious due to the very low reputation of the sending IP address. To best protect our users from spam, the message has been blocked. Please visit https://support.google.com/mail/answer/188131 for more information. n123si21866589wmb.41 - gsmtp (in reply to end of DATA command) Cela ne me dit rien.
Stefan Seidel

Qui est le propriétaire de l'ip? Est-ce un fournisseur résidentiel ou commercial? Serait-il une option pour relayer votre trafic smtp sortant via les serveurs smtp de votre fournisseur d'accès internet? Donc, vous auriez toujours le contrôle du trafic entrant (je sais, ce n'est pas exactement ce que vous voulez, mais vous devez toujours expliquer à vos lois pourquoi les messages qui sont signalés comme spam ou rejetés pourraient devenir gênants bientôt ;-) ;-) )
natxo asenjo

@StefanSeidel Ils vous ont fourni un lien vers un site sur lequel vous pouvez avoir confiance. Vous devrez créer un enregistrement CNAME ou TXT dans chaque domaine de signature. C'est un processus assez rapide et sans douleur.
BillThor

4
@ BillThor parlez-vous de l'enregistrement pour postmaster.google.com? Cela n'a rien à voir avec "faire confiance". Il vous permet d'afficher les taux de rapport de spam pour les domaines vérifiés. Je l'ai fait et cela mène exactement à la situation que je décris ci-dessus: étant donné que le volume d'envoi est si faible, il n'y a pas de données. J'ai vérifié mes 4 principaux domaines et aucun n'affiche aucune donnée.
Stefan Seidel

@StefanSeidel avez-vous également enregistré le nom de domaine de votre hôte de messagerie?
BillThor

10

Une des choses qui manque dans les réponses (excellentes) ci-dessus est de configurer le protocole TLS sortant. Gmail a commencé à punir les expéditeurs qui n'utilisent pas TLS et les autres fournisseurs ne disent rien, mais je suis sûr qu'ils feront de même.


Merci. Postfix préfère TLS par défaut, et je peux voir que c'est utilisé.
Stefan Seidel

1
Utilisez-vous un certificat auto-signé? Je ne le sais pas avec certitude, mais je soupçonne plutôt que l’utilisation d’un certificat vérifié par une tierce partie améliore encore les choses et qu’elles deviennent terriblement bon marché.
MadHatter soutient Monica le

Non, StartCom niveau 2 validé. En outre, cela n'est pas pertinent pour le courrier sortant, non?
Stefan Seidel

@StefanSeidel, pourquoi ne s'appliquerait-il pas au courrier sortant? La validation du certificat TLS s’applique à toutes les transactions TLS, et les courriers électroniques sortants d’un MTA moderne à un serveur qui diffuse de la publicité STARTTLSseront envoyés sous TLS.
MadHatter soutient Monica

1
@StefanSeidel Vous avez tort. Voici une ligne très typique du journal de mon serveur de messagerie en mode serveur TLS (c'est-à-dire recevant une connexion entrante d'un autre serveur) montrant la validation du certificat du serveur distant ( verify=OK):May 10 08:01:34 lory sendmail[5884]: STARTTLS=server, relay=mail-bn1bhn0245.outbound.protection.outlook.com [157.56.111.245], version=TLSv1/SSLv3, verify=OK, cipher=AES256-SHA256, bits=256/256
MadHatter prend en charge Monica

4

De nos jours, les activités de spam sont un véritable casse-tête. Les grands comme Gmail, Microsoft, Yahoo, etc. essayent de protéger leurs utilisateurs des spams. Par conséquent, ils doivent améliorer leurs techniques pour filtrer les spams. Et pour des raisons de sécurité, ils ne divulguent jamais non plus leurs politiques de spam. Par conséquent, nous n'avons pas pu trouver de guide pour configurer un serveur de messagerie de manière à pouvoir envoyer des mails aux grands fournisseurs de services.

Aucune règle spécifique ne figure dans leur mauvais livre, mais vous devez garder votre serveur à jour avec les nouvelles directives. En voici quelques uns.

1) Vérifiez la cause première du courrier renvoyé. Cela concerne-t-il les enregistrements DNS incorrects de la réputation IP du serveur OU du domaine?

2) N'utilisez pas un enregistrement SPF avec une valeur par défaut comme ~ all. Créer un enregistrement SPF spécifique comme un MX -all

3) Évitez les transferts de courrier de votre serveur vers Gmail / Yahoo / Microsoft / Comcast. S'ils détectent du courrier indésirable dans vos courriers transférés, ils n'auront pas la peine de vérifier d'où provient le courrier. Ils considèrent simplement votre serveur de messagerie comme une origine du spam et vous pourriez être ajouté à la liste noire.

4) Installez un SSL sur votre serveur et utilisez Outbound avec une connexion TLS.

5) Gardez la liste Double Opt In dans toutes les newsletters. Et beaucoup plus...


2
Untrusted TLS connection established to gmail-smtp-in.l.google.com

Je pense que vous avez une erreur de chaîne de certificat ici. Assurez-vous que vous envoyez le certificat intermédiaire avec votre certificat.


1
Cela signifie simplement que mon serveur ne fait pas confiance au SMTP gmail. J'ai ajouté smtp_tls_CApathà ma config postfix, donc c'est un Trusted TLS connectionmaintenant. Mais comme cette vérification n’est locale que sur mon serveur de messagerie, je pense que cela ne peut pas être pertinent pour un scoring.
Stefan Seidel

2

@ Stefan

Vous semblez très compétent, ce qui est génial. J'ai examiné vos en-têtes. Sans votre nom de domaine, il est très difficile de vous aider à résoudre les problèmes. La seule chose que j'ai remarquée dans vos en-têtes est que vous utilisez "Simple / Simple" pour signer votre DKIM, vous devriez vraiment passer à "Détendu / Détendu". Beaucoup de serveurs de messagerie ont des problèmes simples.

Vous avez également laissé le nom du serveur de messagerie dans votre pastebin, qui apparaît sur une liste noire . Je doute que cela soit à l'origine de votre problème, mais cet outil analyse beaucoup plus que celui que vous utilisiez.

Envoyez un email à mailtest@unlocktheinbox.compour voir combien de critiques vous avez. Vous pourriez obtenir quelques indices.


Ce site est un peu difficile à lire pour mes yeux. Je ne vois que des rectangles verts. J'ai envoyé cet e-mail, et il y aurait 5 avertissements et 3 critiques, mais tout ce que je peux voir entre les Email Authentication Pro Feature - Learn Moreliens est "réussir" et "réussir".
Stefan Seidel

Oui, vous devez avoir retiré cette liste noire. La plupart des listes noires publiques vous suppriment si elles ne détectent pas le spam pendant un certain temps, généralement un jour ou deux.
Henry

1

La réponse est non.

J'affirme cela principalement parce que je suis conscient du fait qu'il est difficile d'imaginer un nombre de personnes plus expérimenté que moi en tant qu'administrateur ESP et pourtant, je gère une douzaine de systèmes de messagerie de production qualifiés de "petits" sans problèmes particuliers.

D'après ce que vous avez posté, il semble que vous ayez tout appris et que, présumé que vous avez correctement mis en œuvre ce qui est répertorié, il ne vous reste plus qu'une option: votre adresse IP a fait de mauvaises choses dans sa vie passée.

Je veux dire (vraiment) mauvais. Votre adresse IP peut être extraite de listes noires publiques à l'initiative du fournisseur de services Internet (qui est beaucoup plus efficace), mais auparavant, elle était utilisée à répétition pour le trafic de virus et d'hameçonnage pendant une période prolongée.

Si tel est le cas, malheureusement, peu de choses peuvent être faites, à ma connaissance. Une option consiste à rester en attente de maintenir un serveur de messagerie légitime pendant longtemps, en payant le prix de nombreux e-mails rejetés avant que la réputation de l'expéditeur - une chose complètement différente d'être présent ou non sur des listes noires publiques - soit lentement établie.

Veuillez nous tenir au courant de votre cas.


Merci, et je pense, oui, le gros problème après tout ce qui reste peut être la réputation de la propriété intellectuelle. J'ai récemment ajouté un deuxième serveur de messagerie et des adresses Microsoft ont été rejetées. Il s'avère que mon fournisseur d'hébergement m'a mis dans un "mauvais voisinage". Cependant, j'ai pu ouvrir un ticket avec Microsoft et ils ont sorti mon adresse IP de la liste des adresses IP incorrectes - sous réserve du maintien du bon comportement (ce que je compte montrer, évidemment).
Stefan Seidel
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.