Let's Encrypt - Renouvellement de certificat

Bonjour,

déjà si vous avez un certificat à accepter c'est pas bon, car si le certificat est valide que ce soit Thunderbird ou autre ne demande aucune validation de certificat.
Donc reste à voir comment le tout est configuré, car là ça sens la mauvaise configuration (côté serveur et/ou client).

Cordialement, janus57

Bonsoir Janus,
Merci pour ta réponse.
Donc si je comprends bien, cela devrait se passer en toute transparence pour les utilisateurs ? Sans avoir à effectuer aucune action liée au renouvellement ?
J'avoue que je ne suis pas assez calé là dedans mais je vais poursuivre mes investigations...

Bonjour,

Donc si je comprends bien, cela devrait se passer en toute transparence pour les utilisateurs ? Sans avoir à effectuer aucune action liée au renouvellement ?

oui car si tout est valide Thunderbird accepte le certificat sans aucune validation comme ce serait le cas si les mails serait hébergés chez OVH ou ailleurs ou comme si on visité un site web.
Là le fait d’accepter le certificat c'est comme visiter un site web qui présente un mauvais certificat, il faut l'accepter pour accéder au contenu.

Donc selon la configuration iOS il peut être normale que son client mail refuse la réception des mails si le client a été configuré pour être stricte sur les vérification SSL/TLS.

Après sans adresse du serveur mail utilisé par le client pour tester dure à dire si c'est ça exactement ça.

Cordialement, janus57

Bonjour,
Mon client utilise mail.chamilk.be comme serveur mail entrant et sortant.
Est-ce que ça peux suffire comme infos pour checker l'une ou l'autre chose ?
Ou tu as besoin du nom complet du serveur ?

Merci d'avance,
MrLLp

Bonjour,

cela renvois un certificat au nom de "ns3085204.ip-147-135-255.eu" ce qui est incorrecte et surtout ne devrais pas exister car ce domaine appartient à OVH.

Cordialement, janus57

```text Salut,

Comme janus57, déjà ton postfix (server mail) n'utilise pas ton certificat.
Va ici https://www.checktls.com/ puis test avec un mail genre postmaster@ch*m*lk.b*

Comment tu paramètre postfix ? Si c'est avec plesk, bon courage alors - faut se taper le doc ....
Si tu paramètre postfix directement avec les deux fichiers de config : min.cf et master.cf, ça devient plus simple. Mais, t'as UN IPv4 par domaine sur ton serveur (c'est fortement conseillé, vu le prix d'un IPv4 == 2 € à vie) - ou tu partage sur le même IPv4 plusieurs domaines ?
Sache aussi que des services pour que le client relève ces boites mail (POP, IMAP) genre **courier** ou **dovecot**, ont aussi leur paramétrage pour utiliser ce même certificat. Comme ça, l'accès par 995 pour POP SSL , ou 993 pour IMAP SSL fonctionne aussi.

J'utilise des certificats de LE depuis longtemps déjà, et pour toutes mes domaines sur le même serveur.
Toutes les domaines ont un IPv4 à eux.
Après renouvellement, mon 'client LE' (certbot en fait) utilise ce script :
#!/bin/sh
set -e
for domain in $RENEWED_DOMAINS; do
check_path="/etc/letsencrypt/renewal/${domain}.conf"
if [ -f $check_path ]; then
lynx --source https://www.identrust.com/certificates/trustid/root-download-x3.html | grep -v "/textarea" | awk '/textarea/{x=NR+18;next}(NR<=x){print}' | sed -e '1i-----BEGIN CERTIFICATE-----' | sed -e '$a-----END CERTIFICATE-----' >> $RENEWED_LINEAGE/fullchain.pem
cat $RENEWED_LINEAGE/privkey.pem $RENEWED_LINEAGE/fullchain.pem /etc/ssl/dh/RSA4096.pem > $RENEWED_LINEAGE/fullchain_dhparams_4096.pem
chmod 400 $RENEWED_LINEAGE/fullchain_dhparams_4096.pem
service apache2 reload >/dev/null
service postfix reload >/dev/null

# "courier" will also use these certs.
service courier-pop-ssl force-reload >/dev/null
service courier-imap-ssl force-reload >/dev/null

# exception - extra treatment :
if [ "$domain" == "un-domaine.org" ]; then
service webmin restart >/dev/null
fi

# exception - extra treatment :
if [ "$domain" == "monit.un-domaine.org" ]; then
service monit reload >/dev/null
fi

fi
done

Donc, dès le renouvellement, je prépare un certificat, puis je "signale" apache2, postfix, courier, monit et webmin de ce fait.

Ce script va modifier un peu le certificat reçu de LE : ajouter le certificat "parrent", ajouter un clé "dhparams_4096". Pas vraiement indispensable, mais conseillé.
Puis, suivant le certificat, effectuer un reload de "postfix" et "courier", mon service "boites mail".

Les iPhones et autres smartphones, toutes les clients mail (Outlook, Thunderbird ou autre), plus jamais j'ai des popups concernant des certificats, cars ils sont valides. Toujours.
Plus jamais mes mails passent par des portes 587 ou 143 (== en clair), Tout passe par TLS, donc 465, 995 et 993.

Pense aussi à ajouter le sous domaine "mail" à ton certificat.

edit : désolé pour le format .... je comprend rien de ce nouveau forum ... ```

chamilk

J'ai des expériences mitigées aussi en forçant un certificat Let's Encrypt sur un serveur IMAP. Le certificat est valide, mais à chaque renouvellement certains MUA (logiciels de mail) tel que K9 sur Android bloquent.
En fait K9 voit le changement de certificat comme une anomalie et se bloque, souvent sans message d'erreur. En le relançant après un démarrage Android, il redemande de valider le certificat présenté par le serveur avant de commencer à lire les mails sur le serveur.

Frédéric

chaque renouvellement certains MUA (logiciels de mail) tel que K9 sur Android bloquent.

Je te fille un mail et mot de passe sur un des mes domaines - accès smtps (465) et POPS et IMAPS uniquement avec certs valides et tu me diras si ça passe ou ça casse ?

Merci pour vos éclaircissements, moi qui pensais que tout allait bien... Quand j'utilise 1tester.com,tester.com, tout est pourtant ok mais je ne sais pas si c'est en rapport direct avec le certificat LE.

Je configure tout via Plesk, le script on l'a fait pour moi mais je ne pense pas que le souci vienne de là... À priori, ce dernier relance Postfix dans la foulée. Et j'ai bien une ipv4 par domaine.

Je ne comprends pas bien que Plesk ne gère pas cela correctement à partir du moment où il propose une extension LE et le fait de relier ce certificat à un domaine...

Bref, je sens que je vais avoir du mal à résoudre ça tout seul. Donc en gros, qu'est ce que je dois faire ?

Merci à vous,
Laurent

Bonjour,

Mail-tester permet seulement et uniquement de voir si techniquement le mail envoyé est conforme. Il ne vérifier en aucun cas les certificats présents lors d'une connexion IMAP ou POP3.

Sinon là pour vôtre problème à voir avec la doc/forum/support de plesk mais déjà votre reverse est pas bon et sûrement votre hostname aussi, donc ça part déjà mal.

Cordialement, janus57

```text

Donc en gros, qu'est ce que je dois faire ?

Pas compliqué ;)
Je connais pas Plesk mais je suis sur que dans Plesk il est possible de paramétrer postfix pour qu'il utilise des certificats.
A savoir aussi, : comment tu génère t' il - et comment va t'il régénérer ces certificats ? Ça se passe avec l'aide de Plesk ou pas ?
Où sont stocké ensuite les certificats ?

"Chez moi" - sans Plesk - donc dans le monde "simple", la dernière version d'un certificat est toujours stocké ici :
/etc/letsencrypt/live/test-domaine.fr/fullchain_dhparams_4096.pem

Puis dans le /etc/postfix/master.cf j'ai ceci :
...
mail.test-domaine.fr:smtps inet n - - - - smtpd
-o myhostname=mail.test-domaine.fr
-o smtp_helo_name=mail.test-domaine.fr
-o smtpd_tls_auth_only=yes
-o smtpd_tls_security_level=encrypt
-o smtpd_tls_wrappermode=yes
-o smtpd_tls_cert_file=/etc/letsencrypt/live/test-domaine.fr/fullchain_dhparams_4096.pem
-o smtpd_tls_key_file=/etc/letsencrypt/live/test-domaine.fr/fullchain_dhparams_4096.pem
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o content_filter=amavis:[127.0.0.1]:10026
-o milter_macro_daemon_name=ORIGINATING
-o smtpd_sasl_auth_enable=yes
...

En cas de renouvellement, un "postfix reload" et ça roule.

Je ne comprends pas bien que Plesk ne gère pas cela correctement à partir du moment où il propose une extension LE et le fait de relier ce certificat à un domaine...

Il y a que le doc de Plesk (leur support, etc) qui puisse t'aider probablement.
Cet usine à gaz t'oblige à connaitre tout ça par cœur (moi, perso, j'ai découvert qu'il fallu quand même et surtout savoir ce que c'est postfix, apache2, nginx, donc finalement ma gestionnaire de serveur est un traitement de texte et ma tête. C'est la simplification poussé aux max.

On m'a également créé un script pour que le renouvellement s'effectue automatiquement.

Concate-le type qui à fait se script.
Il te faut un peu de SAV ;) ```

@Nowwhat merci pour ta réponse détaillée.

Pour finir, j'ai pris quelques emails pro pour les clients où ça posait problème, grosse solution de facilité ;-) En attendant de mieux m'y plonger.

Je comprends que tu n'aimes pas Plesk mais mon job c'est de créer des sites pas d'être admin et donc ça me permet de gérer mon serveur sans avoir trop de connaissances...

Bref, à la prochaine et bonne soirée,
MrLLp

Bonjour,

je réponds peut-être un peu tard, mais je ne comprends pas pourquoi vous utilisez un script custom pour renouveler les certificats Let's Encrypt.
Plesk le fait tout seul, et vous pouvez définir dans Outils & Paramètres > Certificats SSL quel certificat vous souhaitez utiliser pour sécuriser le serveur mail.

https://img.virtubox.net/images/2018/03/01/Screenshot239.png

La seule limitation/règle c'est un seul certificat pour tout le serveur et il faut donc utiliser le domaine ou sous-domaine de ce certificat en tant qu'adresse de serveur POP/IMAP/SMTP.

Dans mon cas j'utilise le hostname du serveur pour accéder à Plesk et en tant que serveur mail.
Tel que :
Accès Plesk : https://plesk.votredomaine.tld:8443
Serveur POP : plesk.votredomaine.tld port 995 avec SSL/TLS
Serveur IMAP : plesk.votredomaine.tld port 993 avec SSL/TLS
Serveur SMTP : plesk.votredomaine.tld port 465 ou 587 avec SSL/TLS

Bonjour @VirtuBox

Merci pour la réponse et ce n'est pas trop tard car j'ai un peu de mal avec les comptes E-mail Pro de tout façon...

Pour le script, si je me trompe pas, c'est surtout pour relancer Postfix automatiquement après le renouvellement des certificats.

C'est une idée intéressante en effet de faire comme tu me dit mais je me suis déjà pas mal cassé la tête pour que les reverse soient cohérents avec leur domaine et j'ai peur que si je vais dans la direction que tu proposes, j'ai des problèmes suite à ça.

Par contre, tu as mis le point sur une chose importante que je ne savais pas, c'est que la messagerie de tous les domaines n'utilise qu'un seul et unique certificat...

Bref, je suis toujours dans le flou. J'ai déjà fait appel à 2 "experts" qui 'mont aidé mais les mails c'est vraiment un sujet sensible...

Pour le script, si je me trompe pas, c'est surtout pour relancer Postfix automatiquement après le renouvellement des certificats.

Bonjour @MrLLp,

quand je dis "la messagerie de tous les domaines n'utilise qu'un seul et unique certificat", c'est dans le cadre d'une configuration standard avec Plesk. Ce qui ne nécessite pas de mettre en place un script ou autre chose pour le renouvellement, puisque Plesk s'occupe de renouveller les certificat Let's Encrypt tous les 30 jours, et de redémarrer Postfix après chaque renouvellement.

Par contre j'ai un peu de mal à suivre concernant la phrase :
> je me suis déjà pas mal cassé la tête pour que les reverse soient cohérents avec leur domaine

Est ce que tu utilises une IP différente pour chaque domaine avec le smtp configuré pour envoyer les emails via son IP ?

Bonjour @VirtuBox,

J'avoue que je pensais utliser Plesk de la manière la plus standard qu'il soit...

Est ce que tu utilises une IP différente pour chaque domaine avec le smtp configuré pour envoyer les emails via son IP ?

Oui j'ai une ip par site/domaine, ça me semblait plus propre et plus secure en cas de blacklisting...
Et donc chaque domaine utilise mail.domaine.tld comme adresse de serveur mail. J'ajoute un smtp_helo_name à une ligne existante dans master.cf quand j'ajoute un domaine dans Plesk.

Tout va très bien, j'ai juste 2 ou 3 clients, je ne sais pas pourquoi pas les autres, qui ont des soucis avec leur mailbox lorsque les certificats se renouvellent tous les 3 mois (tu parles de 30 jours, je ne sais pas trop si y'a un rapport).

Tu me conseillerais de faire comme tu m'expliquais dans ton post précédent ?
Mais si j'utilises mon hostname comme serveurs pop/smtp, je vais devoir modifier la configuration chez chacun des mes clients j'imagine ? Tu n'aurais pas une autre idée à part cella-là ? :-)

Merci à toi,
LLp

Bonjour,

J'ai suivi l'idée de @VirtuBox et d'utiliser mon hostname comme serveur mail. J'avais le nom par défaut "nsxxxxxxx.ip-.....eu" que j'ai remplacé par mon domaine "mistersmith.net".

J'ai donc fait un test avec mon domaine "laurentdhoop.com", pensé à remplacer le champ MX par _"laurentdhoop.com. MX (10) mail.mistersmith.net."_ et créé une mailbox que j'ai installé sur divers clients, en utilisant donc bien mail.mistersmith.net en POP et SMTP mais j'ai toujours le même souci de certificat qui n'est pas valide dès l'ajout de la mailbox.

Dans Plesk, j'ai aussi bien spécifié dans Tools & Settings > SSL/TLS Certificates : _Certificate for securing mail > Lets Encrypt mistersmith.net

Malheureusement, checktls.com me dit toujours ceci :
> Cert Hostname DOES NOT VERIFY (mail.mistersmith.net != mistersmith.net | DNS:mistersmith.net | DNS:webmail.mistersmith.net | DNS:www.mistersmith.net)
> So email is encrypted but the host is not verified

Je ne sais pas ce que je dois encore faire... Le reverse du serveur ? Quelque chose dans Postfix ?

Merci d'avance,
MrLLp

Bonjour,

Vu que vous n'avez pas inclus "mail.mistersmith.net" dans le certificat c'est normale.

Cordialement, janus57

Bonjour,

Je me suis peut-être mal exprimé, mais je pense que c'est surtout les templates DNS par défaut de Plesk qui vous induisent en erreur.

Pour résumer :

- Le domaine ou sous-domaine utilisé en tant que MX n'a pas vraiment d'importante. Vous pourriez utiliser mail.mistersmith.net du moment que les deux pointent vers l'IP du serveur
- Si vous avez définit mistersmith.net en tant que certificat SSL/TLS pour sécuriser le serveur mail, alors il vous faut utiliser mistersmith.net en tant qu'adresse POP, IMAP & SMTP, et non mail.mistersmith.net.
- Vous pouvez très bien créer un sous-domaine mail.mistersmith.net et générer un certificat SSL avec Let's Encrypt avant de le sélectionner dans Tools & Settings > SSL/TLS Certificates pour sécuriser le serveur mail. Dans ce cas vous pourrez utiliser mail.mistersmith.net en tant que qu'adresse de serveur POP, IMAP & SMTP.

J'espère avoir été un peu plus clair.

Edit : J'en profite au passage pour rappeler que le hostname d'un serveur doit toujours être un FQDN (Fully Qualified Domain Name), donc il faut utiliser un sous-domaine (ex : plesk.votredomaine.tld) et non un domaine

@VirtuBox tu vas me dire quel est ton alcool préféré et je t'envoie une bouteille !

Cela fait longtemps que je galère avec ces histoires de certificats avec les mails, en effet utiliser mistersmith.net tout court comme adresse de serveur mail est ok, je n'ai reçu aucun message d'erreur de certificat quand je configure dans Outlook ou sur iOS !

Je me permets quelques dernières questions :

Le domaine ou sous-domaine utilisé en tant que MX n'a pas vraiment d'importante. Vous pourriez utiliser mail.mistersmith.net du moment que les deux pointent vers l'IP du serveur

Que dois-je mettre comme MX pour que ce soit propre ?

Si vous avez définit mistersmith.net en tant que certificat SSL/TLS pour sécuriser le serveur mail, alors il vous faut utiliser mistersmith.net en tant qu'adresse POP, IMAP & SMTP, et non mail.mistersmith.net.

C'est ce que j'ai fait et c'est là que je vois que ça fonctionne à merveille !

Vous pouvez très bien créer un sous-domaine mail.mistersmith.net et générer un certificat SSL avec Let's Encrypt avant de le sélectionner dans Tools & Settings > SSL/TLS Certificates pour sécuriser le serveur mail. Dans ce cas vous pourrez utiliser mail.mistersmith.net en tant que qu'adresse de serveur POP, IMAP & SMTP.

J'imagine que je peux laisser comme ça vu que ça fonctionne.

J'en profite au passage pour rappeler que le hostname d'un serveur doit toujours être un FQDN (Fully Qualified Domain Name), donc il faut utiliser un sous-domaine (ex : plesk.votredomaine.tld) et non un domaine

Là je n'ai pas bien saisi, je dois utiliser un sous-domaine pour l'accès à Plesk ? Il me semble que tout roule comme ça...

Encore milles merci, je vais m'assurer que c'est ok comme ça et transmettre les infos à un premier client pour voir comment ça se passe à son niveau.

MrLLp

Château d'Yquem 1947

Château d'Yquem 1947

Haha très bon choix ;-)

Encore une question :
Au niveau de Postfix, mes "smtp_helo_name" et "myhostname", je ne dois rien changer ? J'imagine que non pour que l'authentification reste propre mais je préfère m'en assurer.

Haha très bon choix ;-)

_Quoique rare et hors de prix._

Ceci dit, je ne suis pas @VirtuBox qui t'a mis sur la bonne voie.
Je ne peux pas répondre à tes dernières réponses.

Pas de souci, j'en offre une à @Nowwhat et à @janus57 qui sont toujours au taquet pour aider sur ce forum. @Gaston_Phone tu te contenteras d'une année plus récente ;-)

Je suis joie d'avoir enfin solutionné mon problème ! Enfin j'espère...

Edit: Je viens de tester un nouveau compte mail sur un nouveau domaine en utilisant "mistersmith.net" et ça marche aussi ! Bien que son champs MX est toujours celui par défaut, à savoir mail.domaine.tld - Donc tout va bien ? J'ai peur de crier victoire trop vite...

Je me contenterai donc du Château d'Yquem 1967 ou 2001. :)

_J'arrête de dire des bêtises. Bonne soirée @MrLLp._

Pas de souci @Gaston_Phone, bonne soirée à toi aussi ;-)

MrLLp ou MisterSmith ? ? ?

MrLLp pour le nickname et Mr. Smith pour le boulot ;-)

> @VirtuBox tu vas me dire quel est ton alcool préféré et je t'envoie une bouteille !

Haha, il m'a fallu un certain temps pour maîtriser totalement Plesk donc quand je peux aider c'est avec plaisir.
Pour répondre aux dernières questions :
> Que dois-je mettre comme MX pour que ce soit propre ?

C'est uniquement une question de préférences. La logique Plesk est de créer un enregistrement DNS pour mail.ledomaine.tld et de l'utiliser comme MX. Personnellement, je définit quel sous-domaine je veux utiliser pour la partie mail sur un serveur, et je l'utilise pour tous les domaines : en tant que MX et en tant qu'adresse de serveur POP/IMAP/SMTP.
> J'imagine que je peux laisser comme ça vu que ça fonctionne.

Oui tout à fait

> Là je n'ai pas bien saisi, je dois utiliser un sous-domaine pour l'accès à Plesk ? Il me semble que tout roule comme ça...

Je parlais uniquement du hostname du serveur, qui est définit dans Tools & Settings > Server Settings
Il faut absolument utiliser un FQDN du type sous.ledomaine.tld ou laisser le hostname définit initialement par OVH (puis ajuster le rDNS en fonction de ce hostname)
Mais il n'y a pas de relation directe entre l'adresse utilisée pour accéder à Plesk et le hostname. On peut utiliser un domaine ou sous-domaine pour accéder à Plesk, sans que ce soit le hostname du serveur.

Merci pour tes réponses et encore quelques questions ;-)

Il faut absolument utiliser un FQDN du type sous.ledomaine.tld ou laisser le hostname définit initialement par OVH

Ca fonctionnait malgré tout mais je suis ton conseil, j'ai bien remis nsxxxx-ip... comme hostname.

puis ajuster le rDNS en fonction de ce hostname

C'est bien le reverse dans le manager OVH ? Donc au niveau du reverse de l'ip du serveur, je mets nsxxxx-ip... ?

On peut utiliser un domaine ou sous-domaine pour accéder à Plesk, sans que ce soit le hostname du serveur.

Effectivement je peux toujours me connecter avec mistersmith.net:8443 mais où/comment est défini le domaine qui permet d'accéder à Plesk ? C'est via le domaine qui correspond à l'ip du serveur je suppose ?

Bonjour,

Ca fonctionnait malgré tout mais je suis ton conseil, j'ai bien remis nsxxxx-ip... comme hostname.

Mauvais conseil, le nom de baptême du serveur ne devrait jamais être utilisé en production vu qu'on a aucun contrôle sur le domaine, que c'est un nom générique que certains RBL blackliste et que c'est OVH qui à la contrôle uniquement.

Cordialement, janus57

> Ca fonctionnait malgré tout mais je suis ton conseil, j'ai bien remis nsxxxx-ip... comme hostname.

Cela fonctionne avec n'importe quel hostname, cependant sans un FQDN, le premier système anti-spam venu refusera les emails envoyés par le serveur Plesk.
Par contre, comme le souligne @janus57, il est vrai que c'est OVH qui a la main sur les domaines utilisés pour nommer les serveur par défaut. L'idéal est donc d'utiliser un des vos sous-domaine pour nommer le serveur. Il faut bien faire pointer ce sous-domaine vers l'IP du serveur et définir le rDNS en fonction du hostname
> C'est bien le reverse dans le manager OVH ? Donc au niveau du reverse de l'ip du serveur, je mets nsxxxx-ip... ?

Oui, le reverse DNS doit correspondre au hostname du serveur.
> Effectivement je peux toujours me connecter avec mistersmith.net:8443 mais où/comment est défini le domaine qui permet d'accéder à Plesk ? C'est via le domaine qui correspond à l'ip du serveur je suppose ?

Au même endroit que pour le certificat SSL du serveur mail. Vous pouvez choisir quel certificat utiliser pour sécuriser l'interface Plesk, et il faudra donc en toute logique utiliser le domaine/sous-domaine du certificat SSL pour accéder au serveur.

Ok nickel, merci pour ces compléments d'infos ! Et encore merci pour l'aide.
Je vais voir si tout va bien niveau mails sinon je repasserai par ici ;-)

Bon, je reviens encore te dire un grand merci @VirtuBox, question mails et certificats, c'est bien en ordre !
Je sais pas pourquoi je m'obstinais à vouloir utiliser chaque domaine comme serveur pop et smtp alors qu'utiliser un nom unique était la solution ultime !

La plupart des utilisateurs de Plesk ont le même problème car la documentation laisse penser que l'on peut utiliser un certificat SSL différent pour chaque domaine, et les indications de connexion affichées indiquent même d'utiliser directement le domaine en tant qu'adresse POP/IMAP/SMTP.

La serveur mail Plesk fonctionne très bien et il n'y a quasiment aucune configuration manuelle à réaliser, mais il faut vraiment qu'ils expliquent **clairement** que la configuration par défaut ne permet l'usage que d'un unique certificat SSL pour tout le serveur.

Hello,

Bien d'accord avec tes explications, je n'étais donc pas si bête que ça de vouloir procéder de la sorte !

Je reviens vers toi pour encore quelques précisions. Je pense que ça allait bien avant que je me pose ces questions mais j'aimerais avoir un truc bien propre :

* Après relecture de tes réponses, j'ai mis un FQDN comme hostname (plesk.mistersmith.net - créé dans Plesk) et j'ai donc changé le rDNS dans le manager OVH. Est-ce que je dois activer la zone DNS de ce sous-domaine dans Plesk ? Car ce n'est pas le cas pour l'instant et ça a l'air d'aller mais je ne suis pas sûr...

* De plus, j'aimerais bien utiliser mail.mistersmith.net (que j'ai aussi créé comme sous-domaine) comme nom de serveur POP et SMTP mais maintenant le reverse du serveur plesk.mistersmith.net cause problème ! Donc quel reverse pour le serveur ?

* Et je suis perturbé aussi avec le champs PTR de chaque domaine (avec ip propre) qui est mail.domaine.tld, chose qui semble bien quand j'utilise mail-tester vu que ça identifie correctement le mail, ça va comme ça ? Mais en fait je vois que c'est le champ A qui gère le mail.domaine.tld ... Donc le PTR ne sert à rien ? Je deviens un peu fou ;-)

* Dernière question, mes webmails ne sont plus en https, pourtant je n'ai rien changé de spécial qui influencerait ça... Est-ce que je dois créer des sous-domaines webmail.domaine.tld pour que le ssl soit à nouveau actif ? L'extension de Let's Encrypt est bien configurée pour utiliser le webmail.

Milles mercis d'avance, j'ai déjà fait beaucoup de recherches sur Google mais rien de tel que poser ses questions précises...
MrLLp

Bonjour,
je réponds un peu tard mais j'espère que ça sera quand même utile :

> Après relecture de tes réponses, j'ai mis un FQDN comme hostname (plesk.mistersmith.net - créé dans Plesk) et j'ai donc changé le rDNS dans le manager OVH. Est-ce que je dois activer la zone DNS de ce sous-domaine dans Plesk ? Car ce n'est pas le cas pour l'instant et ça a l'air d'aller mais je ne suis pas sûr...

Non, ça n'est pas nécessaire

> De plus, j'aimerais bien utiliser mail.mistersmith.net (que j'ai aussi créé comme sous-domaine) comme nom de serveur POP et SMTP mais maintenant le reverse du serveur plesk.mistersmith.net cause problème ! Donc quel reverse pour le serveur ?

Le reverse DNS doit être le hostname du serveur, mais cela n'impacte pas du tout l'adresse utilisée pour accéder au serveur mail. Par contre il faudra utiliser le certificat SSL de mail.votredomaine.tld pour le serveur mail et plesk.votredomaine.tld pour l'interface Plesk. Ces options sont dans la section Certificats SSL & TLS.

> Et je suis perturbé aussi avec le champs PTR de chaque domaine (avec ip propre) qui est mail.domaine.tld, chose qui semble bien quand j'utilise mail-tester vu que ça identifie correctement le mail, ça va comme ça ? Mais en fait je vois que c'est le champ A qui gère le mail.domaine.tld ... Donc le PTR ne sert à rien ? Je deviens un peu fou ;-)

La seule chose importante est que le rDNS de l'IP du serveur soit le hostname du serveur, car les emails seront envoyés depuis l'IP principale, et identifiés comme provenant du hostname de votre serveur.
Après chaque domaine peut utiliser mail.domaine.tld comme MX ou directement plesk.votredomaine.tld, cela n'a aucune importance, tout transit par l'IP principale du serveur.


> Dernière question, mes webmails ne sont plus en https, pourtant je n'ai rien changé de spécial qui influencerait ça... Est-ce que je dois créer des sous-domaines webmail.domaine.tld pour que le ssl soit à nouveau actif ? L'extension de Let's Encrypt est bien configurée pour utiliser le webmail.

Il vous faudra peut-être renouveler vos certificats en cochant bien la case **Sécuriser la messagerie Web sur ce domaine** avant de cliquer sur renouveler.