Регистрация Войти
Рейтинг:0
Stuck avatar Server

почему этот DMARC не проходит проверку?

флаг kp
Stuck

Я получаю 6,1/10 баллов на mail-tester.com, где проверка DMARC является единственным применимым штрафом (-3).

* Ваша DKIM-подпись действительна

* Ваше сообщение не прошло проверку DMARC
Политика DMARC позволяет отправителю указать, что его электронная почта защищена SPF и/или DKIM, и дать инструкции, если ни один из этих методов аутентификации не проходит. Перед использованием DMARC убедитесь, что у вас установлены DKIM и SPF.

Вам не разрешено отправлять сообщения с этого адреса

Найдена DNS-запись DMARC для домена _dmarc.mail.example.com:

"v=DMARC1;p=reject;rua=mailto:[email protected]"
Детали проверки:

mail-tester.com; dmarc=fail header.from=mail.example.com
mail-tester.com; dkim=fail Reason="ошибка проверки подписи" (1024-битный ключ; незащищенный) header.d=mail.example.com [email protected] header.b=MVNy47/y; dkim-atps = нейтральный
Из домена: mail.example.com
Домен DKIM: mail.example.com

Электронная почта отправляется через платную учетную запись mailjet через ретранслятор SMTP.

Это моя конфигурация DNS, и mailjet сообщает DKIM и SPF как «хорошо»:

@ В TXT "v=spf1 include:_spf.google.com ~all"
_dmarc.example.com. В TXT "v=DMARC1;p=нет;sp=нет;pct=50;adkim=r;aspf=r;"
_dmarc.mail В TXT "v=DMARC1;p=reject;rua=mailto:[email protected]"
default2103._domainkey   IN TXT "v=DKIM1; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwBTlvBdpQXS3+g6rPM4fd" "O5EFHrt6EDRS6HMAzf4yYVsp9JwC145ftSzmw/qwdeW3c+JlwvqAipM2qf//A4HG/tpxV9ASX7Qa" "Yew6QlngiXB+T/ih37NrgUE0B2sUpijQ0n5mVd3sAstOQNPhyg5JeWOiJLLJS7xWbu/zwJ+WMB8h" "Phl5ZLrtfscsB56EawBJS/spGTKdOcq6aNm1yPUYvnWQsbWziuV9Y7NLb1yapauks1Yxug75HA12" "Zf7YTuaHPXuK+BSOSEzSUd5R/Fk7UZ1Ba1uX /OdcNKxZtaI0oYePHp9xzSMlWrj2RGbQP9WCKA0R" "HPHEKIwchsqXbIW6QIDAQAB" 
mail IN TXT "v=spf1 include:spf.mailjet.com -all"
mailjet._bf00f643.mail В TXT bf00f643e7c8377f55faab9307581acd
mailjet._domainkey.mail  IN TXT "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCs9LUxwgF8P0uV+ulltAAyITc3aRqgsAVlr2ZygTnuYJQ10gSPU2M7NAKJTck3P10F8F49t2BnBYsKzUo4AHlZ7V5kafYu3c9Gd50TfcMyqbGB1CL+ITfRxxh3opTTMZAvcCv/EpH9+dG1iw1a1ahZHTC2TvfF6k0thbIWjWIgQwIDAQAB"
@ 3600 IN MX 10 ALT4.ASPMX.L.GOOGLE.COM.
@ 3600 IN MX 5 ALT2.ASPMX.L.GOOGLE.COM.
@ 3600 IN MX 1 ASPMX.L.GOOGLE.COM.
@ 3600 IN MX 10 ALT3.ASPMX.L.GOOGLE.COM.
@ 3600 IN MX 5 ALT1.ASPMX.L.GOOGLE.COM.

Я заменил фактический домен на пример.com. Основной домен используется рабочими областями Google, но mail.exmaple.com используется для транзакционных электронных писем. Я пытаюсь отправить через mail.example.com.

Это электронная почта:

Получено: mail-tester.com (Postfix, от пользователя 500)
    идентификатор 4C207A988D; Вт, 27 июля 2021 г., 16:51:48 +0200 (CEST)
X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) на mail-tester.com
X-уровень спама: 
Статус X-Спама: Нет/0.9/5.0
X-Spam-Test-Score: DKIM_SIGNED=0,1,DKIM_VALID=-0,1,DKIM_VALID_AU=-0,1,
    HEADER_FROM_DIFFERENT_DOMAINS=0,249,HTML_MESSAGE=0,001,
    HTML_MIME_NO_HTML_TAG=0,635,MIME_HTML_ONLY=0,1,SPF_HELO_PASS=-0,001,
    SPF_PASS=-0,001, URIBL_BLOCKED=0,001
X-Spam-Last-External-IP: xx.xxx.xxx.xxx
X-Spam-Last-External-HELO: o123.p8.mailjet.com
X-Spam-Last-External-rDNS: o123.p8.mailjet.com
X-Spam-Date-of-Scan: вторник, 27 июля 2021 г., 16:51:48 +0200
X-Спам-Отчет: 
    * 0.0 URIBL_BLOCKED УВЕДОМЛЕНИЕ АДМИНИСТРАТОРА: запрос к URIBL был
    * заблокирован. Видеть
    * http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-блок
    *      для дополнительной информации.
    * [URI: mjt.lu]
    * -0.0 SPF_PASS SPF: отправитель соответствует записи SPF
    * -0.0 SPF_HELO_PASS SPF: HELO соответствует записи SPF
    * 0,2 HEADER_FROM_DIFFERENT_DOMAINS From и EnvelopeFrom 2-го уровня
    * почтовые домены разные
    * 0.1 MIME_HTML_ONLY BODY: сообщение содержит только части text/html MIME
    * 0.0 HTML_MESSAGE BODY: HTML, включенный в сообщение
    * 0.1 DKIM_SIGNED Сообщение имеет подпись DKIM или DK, не обязательно
    *       действительный
    * -0.1 DKIM_VALID Сообщение имеет хотя бы одну действительную подпись DKIM или DK
    * -0.1 DKIM_VALID_AU Сообщение имеет действительную подпись DKIM или DK от
    * авторский домен
    * 0.6 HTML_MIME_NO_HTML_TAG Сообщение только в формате HTML, но без HTML
    *      тег
Received-SPF: Pass (отправитель авторизован SPF) identity=mailfrom; клиент-ip=xx.xxx.xxx.xxx; helo=o123.p8.mailjet.com; конверт-от[email protected]; получатель = [email protected] 
DMARC-фильтр: фильтр OpenDMARC v1.3.1 mail-tester.com 9F060A988C
Результаты аутентификации: mail-tester.com; dmarc=fail header.from=mail.example.com
Результаты аутентификации: mail-tester.com;
    dkim=fail Reason="ошибка проверки подписи" (1024-битный ключ; незащищенный) header.d=mail.example.com [email protected] header.b=MVNy47/y;
    dkim-atps = нейтральный
Получено: от o123.p8.mailjet.com (o123.p8.mailjet.com [xx.xxx.xxx.xxx])
    (с использованием TLSv1.2 с шифром ECDHE-RSA-AES128-GCM-SHA256 (128/128 бит))
    (Сертификат клиента не запрошен)
    через mail-tester.com (Postfix) с идентификатором ESMTPS 9F060A988C
    для <[email protected]>; Вт, 27 июля 2021 г., 16:51:39 +0200 (CEST)
DKIM-подпись: v=1; а=rsa-sha256; c=расслабленный/простой; д=днс/текст;
  д=mail.example.com; [email protected]; с = почтовый самолет;
  h = идентификатор сообщения: mime-версия: от: ответ-кому: кому: тема: дата: список-отписаться-сообщение:
  список-отписка: идентификатор обратной связи: x-csa-жалобы: x-mj-середина: x-mj-smtpguid:
  x-отчет о злоупотреблениях-к:типу-контента:кодирование-передачи-контента;
  bh=TIkRui7Va59h4geTtPXAKHua6pDPeJyum82T2lGo2Ww=;
  b=MVNy47/y6hs1gHGz8eiJlWuG18UsJ/Fhxa5vf7K5tDJt1jSfpePjd2YCb
 N1jbcfPt57l77VjSd8+vcwC2g5+yWyBHfkTuF8F7fGA9Vgn740zOLpMVjxlx
 PX71Bkay8jB4kG7Shtpus9XU+/a9WN5E9ygqWReclkE7X3uNqd78pQ=
Идентификатор сообщения: <[email protected]>
MIME-версия: 1.0
От: Пример <[email protected]>
Ответить на: [email protected]
Кому: [email protected]
Тема: Пример регистрации
Дата: Вт, 27 июля 2021 г. 14:51:38 +0000
List-Unsubscribe-Post: List-Unsubscribe=One-Click
Список-Отписаться:
    <mailto:xxxxx.mailjet.com>,
    <https://ххххххххххххххх>
Идентификатор обратной связи: 42.1636236.1611053:MJ
X-CSA-жалобы: [email protected]
X-MJ-средний:
    ххххххх
X-MJ-SMTPGUID: 4c0f08ce-7ed4-457b-9f60-fdf493ab9e3e
X-REPORT-ABUSE-TO: Сообщение, отправленное Mailjet, сообщите об этом по адресу
    [email protected] с копией сообщения
Тип содержимого: текст/html; кодировка = UTF-8
Content-Transfer-Encoding: кавычки-печать

Я не понимаю, почему не проходит проверка и что с этим делать? Другие инструменты dmarcanalzer говорят, что конфигурация в порядке.

РЕДАКТИРОВАТЬ

При отправке письма на почту gmail оно попадает в спам. Однако отображение «исходного сообщения» в gmail сообщает «пройдено» для SPF, DKIM и DMARC:

Gmail сообщает «пройдено» для SPF, DKIM и DMARC

1650
1 + 7
anx avatar
флаг fr
anx
см. также: [Неправильно ли опускать «v=DKIM1;» в записи DKIM?](https://serverfault.com/questions/892685/is-it-wrong-to-leave- out-the-v-dkim1-on-a-dkim-record)
0
Ответить
флаг us
glts
Что-то тут не сходится. mail-tester.com и SpamAssassin сообщают, что подпись DKIM действительна, но в заголовке «Результаты аутентификации» в сообщении указано «Ошибка проверки подписи» для DKIM. Что он? Поскольку вы отправляете через посредника, вы *должны* убедиться, что ваша DKIM-подпись тип-топ. Мы не можем проверить это для вас.
0
Ответить
Stuck avatar
флаг kp
Stuck
@glts, не могли бы вы уточнить, как я могу это сделать? Мы отправляем через Mailjet, и предоставленная подпись DKIM была добавлена ​​​​в DNS точно так же, как предоставлено mailjet, как показано в вопросе. Почта отправлена, так что аутентификация с помощью mailjet не должна быть проблемой. Я не понимаю вопроса "что это?" - что именно вы имеете в виду?
0
Ответить
флаг us
glts
@Stuck Я имел в виду разные результаты, теперь подпись действительна или недействительна? Как правило, при правильной настройке DKIM все сервисы тестирования почты будут давать один и тот же ответ, DKIM «проходит», подпись «действительна». Это не тот случай здесь. Вы должны убедиться, что у вас есть рабочая пара ключей DKIM (открытый ключ в DNS, закрытый ключ у отправителя почты) и что подписи генерируются правильно. Если mailjet создает недействительные подписи, вам нужно будет поговорить с ними.
0
Ответить
флаг us
glts
Я бы также рекомендовал попробовать различные другие сервисы тестирования электронной почты. Если сбой происходит только с mail-tester.com, в конце концов, это может быть проблема на их стороне.
0
Ответить
Stuck avatar
флаг kp
Stuck
@glts спасибо за продолжение. Другие сервисы сообщают, что настройка в порядке.Однако почта попадает в спам, и мы не можем найти никаких других проблем, кроме этой :-/ Я свяжусь со службой поддержки mailjet.
0
Ответить
Stuck avatar
флаг kp
Stuck
также я добавил отчет Gmail о почте, которая попадает в спам - он показывает, что все dkim, spf и dmarc проходят. Так может быть, mail-tester просто неправильный?
0
Ответить
Рейтинг:3
avatar Server
флаг es
Morten Nilsen

причина вот в чем: (1024-битный ключ; незащищенный) Вам просто нужно заменить свой ключ DKIM на 2048-битный, и все готово.

Надеюсь, это поможет ^_^

0 + 1
Stuck avatar
флаг kp
Stuck
Служба поддержки Mailjet ответила, что они не поддерживают 2048-битный DKIM :-( Но правильно ли, что это пока незначительная проблема - хотя мейл-тестер ставит -3?
0
Ответить
флаг cn
Alexis Wilke
Мой говорит «(2048-битный ключ; незащищенный)». Значит ли это, что теперь нам нужны 4096-битные ключи?! Или это с другой стороны?
0
Ответить
флаг es
Morten Nilsen
Насколько я знаю, 2048-битные ключи все еще безопасны, поэтому ваша проблема должна быть чем-то другим. Мне нужно больше информации, чтобы дать совет.
0
Ответить
Stuck avatar
флаг kp
Stuck
Наконец-то мы сменили провайдера, и новый провайдер поддерживает 2048, и проблема решена.После повторного обращения в службу поддержки Mailjet они, возможно, предоставят 2048 dkim только для корпоративных учетных записей. Существует проблема с голосованием пользователей за общедоступность, но она уже несколько лет без прогресса: https://feedback.mailjet.com/forums/931474-feature-requests/suggestions/41854546-2048-bits-dkim-public-key
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.