Bonjour,
Encore un petit message pour savoir ou vous en etiez dans la délégation des zones de reverse DNS pour l'IPv6 ?
En effet, gmail semble avoir changé quelque chose et refuse maintenant d'accepter mails provenant d'une IPv6 n'ayant pas le bon reverse:
Citation<foo@gmail.com> host gmail-smtp-in.l.google.com[2a00:1450:400c:c03::1a]
said: 550-5.7.1 [2a03:4980::11:0:5 16] The sender does not meet basic
ipv6 550-5.7.1 sending guidelines of authentication and rdns resolution of
sending 550-5.7.1 ip. Please review 550 5.7.1
https://support.google.com/mail/answer/81126for more information.
y12si4696812wij.13 - gsmtp (in reply to end of DATA command)
Serait-ce possible, s'il-vous-plait (pitié, même :D), de mettre en place le rdns pour l'IPv6 ? Voire de me déléguer la zone correspondant à mon subnet ?
Je veux bien faire le beta-test pour le rdns concernant l'IPv6, si vous le voulez, mais il me faut vraiment ce rdns :'(
Merci, beaucoup pour votre réponse ! :D
Cordialement,
Frank
J'ai mis un rdns générique pour un gros subnet, il devrait résoudre toute les IP clients
Pour la déléguation DNS, ca pourrait être fait mais uniquement en manuel, alors bon
Merci pour ta réponse,
Actuellement, avec un reverse absent ou pointant sur le mauvais domaine, gmail me refuse tous les mails >:(
J'ai pas trop envie d'abuser, mais serait-il possible de faire une petite exception pour mon subnet (style un petit 3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN NS villaro-dixon.eu. dans la zone, ou équivalent ? :D) ? Ca serait super sympa de votre part !
Merci beaucoup,
Frank
C'est galère le reverse IPv6
Tu devrais avoir l'autorité sur ton subnet, désormais
Peux-tu confirmer ?
Je ne parviens pas à résoudre avec ton serveur, donne moi des retours ok ?
:P
De mon coté, tout à l'air bon:
Citationdig -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca @villaro-dixon.eu
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12706
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 3
;; QUESTION SECTION:
;a.c.7.8.d.8.e.f.f.f.1.f.e.d.2.f.3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR
;; ANSWER SECTION:
a.c.7.8.d.8.e.f.f.f.1.f.e.d.2.f.3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. 86400 IN PTR intersect-eth0.v6.villaro.ch.
;; AUTHORITY SECTION:
3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. 86400 IN NS villaro-dixon.eu.
;; ADDITIONAL SECTION:
villaro-dixon.eu. 3600 IN A 178.250.210.95
villaro-dixon.eu. 3600 IN AAAA 2a03:4980::11:0:5
;; Query time: 3 msec
;; SERVER: 2a03:4980::11:0:5#53(2a03:4980::11:0:5)
;; WHEN: Wed Aug 21 12:30:19 2013
;; MSG SIZE rcvd: 217
Par contre, dans la hierarchie, ca semble toujours "bloquer" chez vous:
Citation$ dig -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca @ns2.kwaoo.net +short
ipv6.ftth.cust.kwaoo.net.
Étrangement, suivant le serveur DNS, j'ai une réponse (ns2) ou aucune(ns1):
Citation
$ dig -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca @ns1.kwaoo.net
; <<>> DiG 9.9.2-P2 <<>> -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca @ns1.kwaoo.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 35374
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;a.c.7.8.d.8.e.f.f.f.1.f.e.d.2.f.3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR
;; AUTHORITY SECTION:
3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. 10800 IN SOA ns1.kwaoo.net. hostmaster.kwaoo.net. 2013080801 21600 3600 604800 10800
;; Query time: 5 msec
;; SERVER: 2a03:4980::10:0:5#53(2a03:4980::10:0:5)
;; WHEN: Wed Aug 21 12:33:31 2013
;; MSG SIZE rcvd: 161
Si tu veux faire des tests, 2a03:4980:1:3:f2de:f1ff:fe8d:87ca devrait toujours résoudre sur intersect-eth0.v6.villaro.ch.
Par contre, hier (vers 17h et qqes), ca marchait bien durant une dizaine de minutes :o
Merci encore !
Frank
Ca à l'air de marcher !
Si c'est Ok pour vous, c'est aussi ok pour moi !
Merci beaucoup !
(je vous tiens au courant pour gmail et cie)
C'est super comme sujet, j'apprend plein de trucs
J'ai un piti problème, tu vas peut-être pouvoir m'aider;
Actuellement, la résolution fonctionne bien sur les deux NS :
root@ns1:/etc/bind# dig -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca +short
intersect-eth0.v6.villaro.ch.
root@ns2:/etc/bind# dig -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca +short
intersect-eth0.v6.villaro.ch.
La conf est la suivante (dans la le /32 de Knet) :
*.0.0.0.0.8.9.4.3.0.A.2.IP6.ARPA. IN PTR ipv6.ftth.cust.kwaoo.net.
3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN NS villaro-dixon.eu.
Y'a deux problèmes :
- en l'état, le wildcard est pas pris en compte (la présence du NS le désactive)
- la résolution est possible uniquement depuis les IP de Knet (recursion limité, et j'ai pas envie de faire un DNS openbar)
Donc pour ton problème, ca marche depuis chez toi mais pas depuis le reste du monde (intérêt limité ..)
As-tu des idées ?
[jack:~]dig -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca @ns1.kwaoo.net
; <<>> DiG 9.9.3-rpz2+rl.13214.22-P2 <<>> -x 2a03:4980:1:3:f2de:f1ff:fe8d:87ca @ns1.kwaoo.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38530
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;a.c.7.8.d.8.e.f.f.f.1.f.e.d.2.f.3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR
;; AUTHORITY SECTION:
3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. 10800 IN NS villaro-dixon.eu.
;; Query time: 18 msec
;; SERVER: 178.250.208.37#53(178.250.208.37)
;; WHEN: Wed Aug 21 13:44:14 CEST 2013
;; MSG SIZE rcvd: 131
Ouais, idem ^^
C'est assez compliqué, les wildcards, sur bind.
Faudrait que je teste, mais peut-être qu'un truc comme cela marcherait:
*.1.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR ipv6.ftth.cust.kwaoo.net
*.2.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR ipv6.ftth.cust.kwaoo.net
3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN NS blah blah
*.4.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR ipv6.ftth.cust.kwaoo.net
...
*.f.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR ipv6.ftth.cust.kwaoo.net
Ca parrait un peu crade, mais ca devrait peut-être (pas du tout testé :p), marcher..
Après, il faut voir la politique d'un rdns automatique pour les IPv6. C'est vrai que c'est "obligatoire" pour les v4, mais je me demande si il y a vraiment une RFC qui demande ca pour les v6 ?
Par ce que quand on y pense, ipv6.ftth.cust.kwaoo.net ne repointe pas vers l'IP demandée.. Peut-être que ca pourrait être utile pour les IPs d'interco, mais je me demande si ca l'est vraiment pour les subnets ?
Pour la résolution, il me semble que les serveurs vont pas récurser eux-mêmes, mais vont donner ou aller au client (le champ NS). La recursion faite dans les serveurs DNS est vraiment le truc à pas faire (sauf mécanisme de quotas), mais si c'est le serveur DNS qui dit ou aller, c'est le résolveur local qui se demerdera plus tard, et dans ce cas, pas de prob :p
Depuis une ip suisse, non k-net, ca marche pas mal:
Citationlogin@pc69240 >>~ dig -x 2a03:4980:1:3::dead:dead
; <<>> DiG 9.8.1-P1 <<>> -x 2a03:4980:1:3::dead:dead
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63461
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2
;; QUESTION SECTION:
;d.a.e.d.d.a.e.d.0.0.0.0.0.0.0.0.3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. IN PTR
;; ANSWER SECTION:
d.a.e.d.d.a.e.d.0.0.0.0.0.0.0.0.3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. 86400 IN PTR mail.domain.tld
;; AUTHORITY SECTION:
3.0.0.0.1.0.0.0.0.8.9.4.3.0.a.2.ip6.arpa. 5261 IN NS domain.tld
;; ADDITIONAL SECTION:
villaro-dixon.eu. 80861 IN A 178.250.210.95
villaro-dixon.eu. 80861 IN AAAA 2a03:4980::11:0:5
;; Query time: 28 msec
;; SERVER: 10.194.69.200#53(10.194.69.200)
;; WHEN: Wed Aug 21 15:15:24 2013
;; MSG SIZE rcvd: 183
Je remonte honteusement le topic parce que j'en ai besoin aussi :
gmail refuse d'accepter du SMTP en IPv6 si les PTR ne sont pas corrects :
voir https://support.google.com/mail/?p=ipv6_authentication_error
Comment faut-il procéder ? Requête sur le forum, ou mail au support ?
Merci :)
Tu as un serveur DNS ?
Tu veux une délégation de ta zone, pour faire ce que tu veux chez toi, ou tu souhaites juste un PTR (mauvaise idée) ?
Dans tout les cas, tu es surement au meilleur endroit 8)
pour le DNS v6, ceux de google font l'affaire ?
Hum, je parlais d'un serveur que tu puisses configurer à ta guise.
Il faut carrément un serveur DNS à la maison pour de l'IPv6 ??
Pour faire de l'IPv6, non, pour faire du mail, c'est mieux.
Citation de: Nico_S le 12 Janvier 2014 à 13:39:38
Il faut carrément un serveur DNS à la maison pour de l'IPv6 ??
Non, mais si t'as envie de reverses DNS personalisés sur tes 2^64 IPs, c'est mieux que k-net délègue sur ton serveur au lieu de le faire sur le leur ;)
L'idée, c'est qu'on te file un subnet (/64, /56, etc..), et tu fais ce que tu veux dessus. Du coup, pour les reverse dns sur ta zone, ben c'est aussi toi qui doit t'en occuper... ...si tu as envie; tu peux très bien avoir une zone sans aucun reverse dessus.
En apparte, faire un serveur DNS est vraiment simple, pour celui qui a fait un serveur de mail.
Tu devrais le faire, ça te protégeras des DNS menteurs, qui sont de plus en plus courant.
Citation de: jack le 12 Janvier 2014 à 13:16:20
Tu as un serveur DNS ?
Oui. Détails en message privé.
Citation de: jack le 12 Janvier 2014 à 13:16:20
Tu veux une délégation de ta zone, pour faire ce que tu veux chez toi, ou tu souhaites juste un PTR (mauvaise idée) ?
Délégation de mon /56, si possible.
Merci :)
Ha, tu possèdes des IP Ksys ..
Nous avons un problème avec le RIPE, qui ne veut pas (!!) nous donner les droits sur nos IP (question de passwd qui n'est pas autorisé pour ça, ou je sais pas quoi).
Je reviens vers vous lorsque ce problème sera réglé;
Bon, ben ça c'est con alors :)
OK, tenez moi au courant quand ça sera réglé.
En attendant, je bloque le SMTP vers gmail et éventuellement d'autres domaines problématiques en v4 only sur mon serveur mail exim :
dnslookup_v4:
driver = dnslookup
domains = /etc/exim/v4_only_domains
transport = remote_smtp
ignore_target_hosts = <; 0::0/0
[...]
et je surveille mes logs pour voir s'il y a d'autres domaines qui sont aussi chatouilleux.
En commentaire à la discussion qui s'est tenue en parallèle et pour ceux qui la suivent :
Un serveur DNS a deux usages.
- resolver, qui sert à résoudre un nom de machine (www.quelquechose.fr (http://www.quelquechose.fr)) en une adresse IPv4 et/ou une adresse IPv6. Généralement, un resolver ne connaît lui-même aucune adresse, à part quelques banalités comme localhost => 127.0.0.1, il répond en interrogeant récursivement d'autres serveurs DNS jusqu'à trouver une réponse (ou pas : "Firefox ne peut trouver le serveur à l'adresse www.cedomainenexistesurementpas.com (http://www.cedomainenexistesurementpas.com)", ce qui est quand même déjà une réponse).
Comme il y a des providers qui ont encore des DNS qui ne "parlent" pas IPv6 (ou pour d'autres raisons plus obscures : DNS manipulés pour blacklister des destinations, ...), certains utilisent les DNS publics de google, mais il s'agit toujours de resolver.
- "authoritative", qui lui connaît la correspondance nom => adresse pour un certain nombre de domaines qu'il gère. Par exemple, le DNS authoritative pour google.com connaît l'adresse IP (v4 et v6) de www.google.com (http://www.google.com), et il répondra aux resolvers qui l'interrogent.
C'est aussi lui qui connaît les correspondances reverse adresse => nom dont parle ce sujet.
Pour qu'un DNS authoritative serve à quelque chose, il faut que l'autorité supérieure (AFNIC en France, Switch en Suisse, etc) lui délègue cette autorité (techniquement, par le biais de records NS et de glue records si nécessaire). Idem pour les reverses, où il faut que ces adresses soient déléguées depuis un niveau supérieur, ce que refuse de faire RIPE pour les adresses k-sys d'après ce que je lis.
Si on n'a besoin que d'un resolver, ce n'est généralement pas la peine d'installer un serveur DNS : ceux du provider, ou des resolvers publics comme ceux de google font normalement l'affaire, sauf si on est un peu parano.
Si on gère et/ou héberge son propre domaine, ou pour se faire déléguer le reverse DNS, il faut par contre que les machines du domaine soient enregistrées quelque part sur un DNS authoritative, ça peut être chez son hébergeur, sur des DNS publics gratuits ou payants, ou à la maison.
Et effectivement, installer et configurer un serveur DNS n'est pas une affaire compliquée, bien moins qu'un serveur mail.
Citation
Si on n'a besoin que d'un resolver, ce n'est généralement pas la peine d'installer un serveur DNS : ceux du provider, ou des resolvers publics comme ceux de google font normalement l'affaire, sauf si on est un peu parano.
C'est pas dla paranoïa, c'est la réalité : j'peux te montrer un dig depuis free qui te renvoye vers 127.0.0.1, et le même dig depuis kwaoo qui t'envoye la bonne IP.
Le DNS menteur n'est pas une théorie, c'est la réalité.
Citation de: jack le 14 Janvier 2014 à 09:11:40
C'est pas dla paranoïa, c'est la réalité : j'peux te montrer un dig depuis free qui te renvoye vers 127.0.0.1, et le même dig depuis kwaoo qui t'envoye la bonne IP.
Eh ben, c'est du propre. Vers qui, un concurrent ?
J'ai dépatouillé une fois le PC de ma frangine où un virus avait bidouillé son system32\drivers\etc\hosts pour mettre les adresses des serveurs d'update de tous les gros éditeurs d'antivirus sur 127.0.0.1, il m'a fallu un moment pour comprendre ce qui se passait, c'est ce jour là que je lui ai dit que je ne la dépannerait plus tant qu'elle gardait windows, mais c'est une autre histoire).
Par contre, de la part de providers c'est quand même n'importe quoi.
Et les demandes de blacklist DNS de la part des flics ou de la justice, c'est réel ou c'est une légende ? Si ce n'est pas confidentiel, vous avez des demandes de ce style ? Parce que si c'est vrai, c'est quand même sacrément con à contourner ...
Je sais plus vers qui, ça n'a aucune importance;
Y'a un bout de lien qui semble en rapport avec ce que j'ai trouvé : https://lafibre.info/piratage/blocage-des-sites-allostreaming/ (https://lafibre.info/piratage/blocage-des-sites-allostreaming/)
Enfin, rien de tel sur les serveurs de Knet, nous n'avons pas eu de demandes de censure (trop petit pour justifier le torchon judiciaire, j'imagine)