Les erreurs vues par SMTP TLS-Reporting

Modifié le  Lun, 25 Sept., 2023 à 3:11 H

Les erreurs et résolutions possibles


Lorsque vous recevez des rapports TLS-reporting, vous pouvez rencontrer des cas d'echec ("failure") et la raison déterminée. Voici les 12 erreurs possibles :


starttls-not-supported

Explication : Le serveur d'email "receiving-mx-hostname" ne supportait pas STARTTLS.

Résolution possible : Vérifier que la configuration STARTTLS du serveur de réception ne soit pas désactivée.


certificate-host-mismatch

Explication : Le certificat du serveur MTA récepteur ne correspondait pas à son nom, ou le MX a un mauvais certificat ou le MX a changé.

Résolution possible : Modifier les MX par des serveurs MX à jours, avec le bon certificat complet. Sinon regénérer le certificat en incluant tous les noms à autoriser.

Exemple : 

mta-failure-certificate-hots-mismatch

Pour le cas de MX 1and1.fr (ionos 1&1), le certificat déclaré sur les MX contient des noms alternatifs autorisés ("ionos" et "kunderserver") mais n’apparait pas “1and1”.  Les rachats et changements de nom des entreprises peuvent laisser des oublis comme le cas présent. A défaut de faire modifier le certificat par ionos, il faut donc modifier les enregistrements MX, remplacer mx00.1and1.fr et mx00.1and1.fr par mx00.ionos.fr et mx01.ionos.fr.
Les serveurs emails sont les mêmes mais il n'y a plus de conflit de nom de domaine non autorisé dans le certificat.


certificate-not-trusted

Explication : Le certificat du MTA récepteur n’a pas été approuvé par l’expéditeur.

Résolution possible : Vérifier le certificat et l'autorité de certification l'ayant délivré, il peut être pertinent de regénérer un certificat valide pour les MX du domaine.


certificate-expired

Explication : Le certificat fourni par le MTA récepteur a expiré. 

Résolution possible : Les déclarations DNS MX du domaine est à mettre à jour ou alors les MX dans le fichier texte de configuration mta-sts (https://mta-sts.[domain.com]/.well-known/mta-sts.txt) est à mettre à jour sur les bons MX avec certificat actualisé.


validation-failure

Explication : Echec de validation général ne correspondant à aucune catégorie au-dessus

Résolution possible : Vérifier les valeurs du fichier texte de configuration mta-sts, les enregistrements MX du domaine et leur certificats TLS. 

Le champ "failure-reason-code" dans le rapport doit être renseigné et fournir une indication pour la résolution.


tlsa-invalid

Explication : Erreur dans l’enregistrement TLSA associé à une stratégie DANE

Résolution possible : Vérifier les enregistrements dans le RRset car ils sont jugés invalides.


dnssec-invalid

Explication : Le résolveur récursif ne renvoyait aucun enregistrement valide

Résolution possible : Verifier les bonnes déclaration DNS pour la mise en place de DNSSEC sur le domaine et sur le domaine des MX.


dane-required

Explication : Le système d’envoi est configuré pour exiger des enregistrements TLSA DANE pour tous les hôtes MX du domaine de destination, mais aucun enregistrement TLSA validé par DNSSEC n’était présent pour l’hôte MX

Résolution possible : Verifier les bonnes déclaration DNS pour la mise en place de TLSA et DNSSEC sur les MX du domaine.


sts-policy-fetch-error / no-policy-found

Explication : La politique MTA-STS n’a pas pu être récupérée via HTTPS. Généralement parceque le fichier texte est absent, ou son contenu est erroné.

Résolution possible : Vérifier la présence du fichier sur le chemin https://mta-sts.[domain.com]/.well-known/mta-sts.txt

Vérifier la bonne syntaxe des paramètres (version, mode, mx, max_age)

mta-failure-policy-not-found

Remarque

Vérifiez votre déclaration DNS pour MTA-STS avec notre testeur gratuit : https://check.merox.io

sts-policy-invalid

Explication : La politique MTA-STS récupérée n'est pas valide, généralement parceque le fichier texte est absent, ou son contenu est erroné.

Résolution possible : Vérifier la présence du fichier sur le chemin https://mta-sts.[domain.com]/.well-known/mta-sts.txt

Vérifier la bonne syntaxe des paramètres (version, mode, mx, max_age)


sts-webpki-invalid

Explication : La politique MTA-STS n’a pas pu être récupérée en raison d’un problème de validation PKI, en lien avec le certificat du serveur Web qui héberge le fichier de configuration texte

Résolution possible : Verifier l'hébergement HTTPS du fichier et la configuration du certificat, ce dernier est peut être expiré ou mal déployé ou basé sur une autorité de certification est invalidée.

Cet article a-t-il été utile ?

C'est super !

Merci pour votre commentaire

Désolé ! Nous n'avons pas pu vous être utile

Merci pour votre commentaire

Dites-nous comment nous pouvons améliorer cet article !

Sélectionner au moins l'une des raisons
La vérification CAPTCHA est requise.

Commentaires envoyés

Nous apprécions vos efforts et nous allons corriger l'article