Recherches récentes

    Articles populaires

      Articles
      Afficher tout
        Sujets
        Afficher tout
          Tickets
          Afficher tout
            aucun résultat

            Désolé ! aucun résultat trouvé pour

            Les erreurs vues par SMTP TLS-Reporting

            Modifié le  Mon, 25 Sep 2023 sur 03:11 PM

            Les erreurs et résolutions possibles


            Lorsque vous recevez des rapports TLS-reporting, vous pouvez rencontrer des cas d'echec ("failure") et la raison déterminée. Voici les 12 erreurs possibles :


            starttls-not-supported

            Explication : Le serveur d'email "receiving-mx-hostname" ne supportait pas STARTTLS.

            Résolution possible : Vérifier que la configuration STARTTLS du serveur de réception ne soit pas désactivée.


            certificate-host-mismatch

            Explication : Le certificat du serveur MTA récepteur ne correspondait pas à son nom, ou le MX a un mauvais certificat ou le MX a changé.

            Résolution possible : Modifier les MX par des serveurs MX à jours, avec le bon certificat complet. Sinon regénérer le certificat en incluant tous les noms à autoriser.

            Exemple : 

            mta-failure-certificate-hots-mismatch

            Pour le cas de MX 1and1.fr (ionos 1&1), le certificat déclaré sur les MX contient des noms alternatifs autorisés ("ionos" et "kunderserver") mais n’apparait pas “1and1”.  Les rachats et changements de nom des entreprises peuvent laisser des oublis comme le cas présent. A défaut de faire modifier le certificat par ionos, il faut donc modifier les enregistrements MX, remplacer mx00.1and1.fr et mx00.1and1.fr par mx00.ionos.fr et mx01.ionos.fr.
            Les serveurs emails sont les mêmes mais il n'y a plus de conflit de nom de domaine non autorisé dans le certificat.


            certificate-not-trusted

            Explication : Le certificat du MTA récepteur n’a pas été approuvé par l’expéditeur.

            Résolution possible : Vérifier le certificat et l'autorité de certification l'ayant délivré, il peut être pertinent de regénérer un certificat valide pour les MX du domaine.


            certificate-expired

            Explication : Le certificat fourni par le MTA récepteur a expiré. 

            Résolution possible : Les déclarations DNS MX du domaine est à mettre à jour ou alors les MX dans le fichier texte de configuration mta-sts (https://mta-sts.[domain.com]/.well-known/mta-sts.txt) est à mettre à jour sur les bons MX avec certificat actualisé.


            validation-failure

            Explication : Echec de validation général ne correspondant à aucune catégorie au-dessus

            Résolution possible : Vérifier les valeurs du fichier texte de configuration mta-sts, les enregistrements MX du domaine et leur certificats TLS. 

            Le champ "failure-reason-code" dans le rapport doit être renseigné et fournir une indication pour la résolution.


            tlsa-invalid

            Explication : Erreur dans l’enregistrement TLSA associé à une stratégie DANE

            Résolution possible : Vérifier les enregistrements dans le RRset car ils sont jugés invalides.


            dnssec-invalid

            Explication : Le résolveur récursif ne renvoyait aucun enregistrement valide

            Résolution possible : Verifier les bonnes déclaration DNS pour la mise en place de DNSSEC sur le domaine et sur le domaine des MX.


            dane-required

            Explication : Le système d’envoi est configuré pour exiger des enregistrements TLSA DANE pour tous les hôtes MX du domaine de destination, mais aucun enregistrement TLSA validé par DNSSEC n’était présent pour l’hôte MX

            Résolution possible : Verifier les bonnes déclaration DNS pour la mise en place de TLSA et DNSSEC sur les MX du domaine.


            sts-policy-fetch-error / no-policy-found

            Explication : La politique MTA-STS n’a pas pu être récupérée via HTTPS. Généralement parceque le fichier texte est absent, ou son contenu est erroné.

            Résolution possible : Vérifier la présence du fichier sur le chemin https://mta-sts.[domain.com]/.well-known/mta-sts.txt

            Vérifier la bonne syntaxe des paramètres (version, mode, mx, max_age)

            mta-failure-policy-not-found

            Remarque

            Vérifiez votre déclaration DNS pour MTA-STS avec notre testeur gratuit : https://check.merox.io

            sts-policy-invalid

            Explication : La politique MTA-STS récupérée n'est pas valide, généralement parceque le fichier texte est absent, ou son contenu est erroné.

            Résolution possible : Vérifier la présence du fichier sur le chemin https://mta-sts.[domain.com]/.well-known/mta-sts.txt

            Vérifier la bonne syntaxe des paramètres (version, mode, mx, max_age)


            sts-webpki-invalid

            Explication : La politique MTA-STS n’a pas pu être récupérée en raison d’un problème de validation PKI, en lien avec le certificat du serveur Web qui héberge le fichier de configuration texte

            Résolution possible : Verifier l'hébergement HTTPS du fichier et la configuration du certificat, ce dernier est peut être expiré ou mal déployé ou basé sur une autorité de certification est invalidée.

            Cet article a-t-il été utile ?

            C'est super !

            Merci pour votre commentaire

            Désolé ! Nous n'avons pas pu vous être utile

            Merci pour votre commentaire

            Dites-nous comment nous pouvons améliorer cet article !

            Sélectionner au moins l'une des raisons
            La vérification CAPTCHA est requise.

            Commentaires envoyés

            Nous apprécions vos efforts et nous allons corriger l'article

            Aperçu
            0 de 0