Регистрация Войти
Рейтинг:2
goldilocks avatar Server

(Почему) Серверы электронной почты перестанут отправлять отчеты DMARC из-за DKIM?

флаг cn
goldilocks

У меня есть личный почтовый сервер, которым я пользуюсь уже много лет; очень редко возникали проблемы с отправкой почты, поэтому я никогда не разбирался в таких вещах, как SPF, DMARC и DKIM. Недавно, при обновлении системы, я решил сделать это.

SPF был очень простым, так как я использую один фиксированный IP-адрес.

DMARC был почти таким же простым; Сначала я настроил это с политикой «нет» для получения отчетов и оставил ее на неделю или две, а затем переключил ее на отклонение.

Теперь я реализовал фильтр подписи DKIM для почтового сервера (Курьер МТА, и нет готового для этого). Для сложных битов я использовал дкимпи. У этого также есть простой инструмент проверки, который работает со всеми сообщениями, выполняет собственный поиск и т. д., что означает, что это фиктивное доказательство в том смысле, что есть только один способ его использования (тогда как подпись может быть настроена различными способами и, возможно, оставляет место для меня, чтобы нагадить). Это передает сообщения, которые, я думаю, должны пройти и терпит неудачу те, которые, я думаю, не должны, поэтому я достаточно доволен тем, что работает; Я запускал его для сообщений, полученных с сервера. В настоящее время, чтобы свести к минимуму проблемы, я подписываю только тело и заголовок From.

Однако ни одна из моих писем не доходит до моих тестовых учетных записей — одна от Gmail, а другая от моего интернет-провайдера. Более того, хотя теперь у меня в записи DMARC есть адреса rua и ruf, я не получая никаких отчетов для них. Раньше они оба были как часы.

Если все, что я делаю, это отключаю фильтр (поэтому нет знака DKIM), все снова работает. Я проверил, что сервер действительно пытается во всех случаях; неудавшиеся сообщения DKIM, похоже, получили тайм-ауты и закрытые соединения, что привело к бесконечной отсрочке — что само по себе кажется немного странным, поскольку подразумевает, что «отклоненная» почта даже не проверяется, но удаление подписи — это все, что нужно для принять его снова. Я спишу это на двусмысленность в журнале Courier.

Я понимаю, что здесь никто не связан никакими законами, но разве это нормальная политика? Предполагая, что подпись DKIM неверна, не должен ли принимающий сервер отправить мне отчет DMARC об этом?

Так что я в настоящее время ручей. Хотя такие вещи, как MXToolbox, радуют меня, я не нашел бесплатного сервиса, который бы активно проверял подпись DKIM, принимая почту, за исключением одного, который, по-видимому, делал то же, что и другие серверы — никогда не принимал почту, которую должен был проверить. (не знаю, является ли это потенциальной подсказкой).

Вот соответствующие записи DNS из копать землю:

  • SPF: когнитивный диссонанс.ок. 3600 В TXT "v=spf1 ip4:138.197.150.177 -все"

  • ДКИМ:

      апория._domainkey.cognitivedissonance.ca.3600 IN TXT "v=DKIM1; k=rsa; h=sha256; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAosptGk+J2mdjjc7RWmcnQ3yBqx1JT/lA0bw4GJCzZ+esa0f8rjHhPiW6NnUr64Kf5h0fPEthQhYGTjjw3jAd/3EE28hGA30+jODxEK7A0+5aeI82fWa/ZZk9FvyIhf+UkkX1B0klYhCRW5r91smJ+rwYrr2B6jOrw0DReHTAZ51NACSWI7ov2mA" "UIh2l8blA8hFFBOBwxlzC+smRsYlZCKZfsSMkyS/XIm2m58QNfw/aCHp5VufSrf/hh7f6AGKTgxHfgs+8RBbYdHEM2LAMT +WYsITC3R0OYfgplzWna6PRB9lx+FFzTtT/8XClYfUJ6rwWwM4koeX0yt9gDr/03QIDAQAB"

    Обратите внимание, что полное доменное имя почтового сервера aporia.cognitivedissonance.ca и поэтому я использовал апория как селектор DKIM из-за отсутствия воображения. Домен электронной почты просто когнитивный диссонанс.ca. Должен ли я вместо этого использовать полное доменное имя (т. апория._domainkey.aporia.cognitivedissonance.ca)?

  • DMARC:

      _dmarc.cognitivedissonance.ca. 3600 IN TXT "v=DMARC1;p=reject;pct=100;rua=mailto:[email protected],mailto:[email protected];ruf=mailto:[email protected],mailto: [email protected]; "

    Есть несколько дополнительных почтовых адресов для службы проверки dmarc, на которую я подписался. К сожалению, они не проверяют подписи DKIM напрямую.

Наконец, пример подписи:

DKIM-подпись: v=1; а=rsa-sha256; c=расслабленный/простой;
 d=когнитивный диссонанс.ca; [email protected]; д=днс/текст;
 с=апория; т=1650468130; ч = от;
 bh=3N81YR+AxHZqpkdMAh4Jti6JpRmUrlzO5bUjUoWdGeg=;
 b=kNzUid2LG8TfHoegur3JzlcktiJT+5A1E2en+IlV/GgDMZWL0Ft/4kE02LGFzb2kTMkav
 c9jLUqd2+NCrLDzVRBxgwif++vDwoljCI1X0wvbcCqhfA3uElcCuhCAtBkl/ZNqLR0H1Gjq
 XXA801KqyVrvottuv0+PmEOvqQ8skTpBvl4Da8JjQ73Zscm3/5Mfk0dGTLlgGNgapszsP9z
 nt/1Oi6gzLasX933wIdLZWVex8QNfKr8+MTx6bmpVodaeklR+281u8k1zhCBu5pWrzlavUh
 CbWjUm4j3YbeztpG98r9MZOVKbJZyHaiHWcRa1vEq3Cz8AEnRyRkQhd5WtvA==
74
0 + 0
Paul avatar
флаг cn
Paul
Я не знаю `курьер`, но, возможно, включите подробный журнал. Это больше похоже на то, что ваш инструмент DKIM вносит некоторые изменения в сообщение, и принимающим серверам это не нравится, поэтому они вешают трубку. Было бы полезно увидеть что-то вроде журналов получения или полных полученных заголовков сервера, где они делают все проверки. DKIM выполняет аутентификацию в домене RFC5322.from. Вы можете попробовать отправить сообщение на все домены бесплатной почты и проверить свои журналы на наличие транзакций, так как иногда они оставляют сообщения, которые даже содержат ссылки, объясняющие, почему они отклонили вашу попытку.
0
Ответить
anx avatar
флаг fr
anx
Из предоставленной информации я не уверен, что *Courir* падает из-за проблемы с *dkimpy*, из-за вашего метода интеграции, или вы зависаете на удаленных серверах, все еще пытаясь решить, принять ли вашу подпись . Дайте нам больше информации о том, как вы настраиваете фильтр и журналы, пожалуйста.
0
Ответить
Рейтинг:0
goldilocks avatar Server
флаг cn
goldilocks

В конце концов я нашел онлайн-валидатор DKIM: https://www.appmaildev.com/en/dkim Они протестируют загрузку существующей почты или дадут вам тестовый адрес для отправки.

Я не уверен на 100%, в чем заключалась первоначальная проблема, потому что к тому времени, когда я нашел это, я создал еще одну: использование функции «плавающего IP» Digital Ocean для установки моих записей DNS. ОС на самом деле не видит этот адрес, и другие почтовые серверы сообщали о почте как с этого «фактического» IP (который все еще действителен). Стоит отметить если вы являетесь пользователем дроплета.

Чтобы было ясно, это не могло быть исходной проблемой, потому что я включил плавающий IP-адрес только вчера, когда в отчаянии решил переместить узел, чтобы посмотреть, не выпало ли что-нибудь из дерева. Однако...

Я не нашел бесплатного сервиса, который бы активно проверял подпись DKIM, принимая почту, за исключением одного, который, по-видимому, делал то же, что и другие серверы — никогда не принимал почту, которую должен был проверить (не знаю, может это потенциальная подсказка).

Обратите внимание, что служба не была связана в первом абзаце здесь. Во всяком случае, тот факт, что другие почтовые серверы в целом отказывались от соединений (в отличие от пересылки почты), похоже, кричит о «проблеме с DNS». Почему именно это стало проблемой, когда новая установка сервера работала в течение месяца, я до сих пор не знаю, так что на самом деле это только частичный ответ, хотя он и объясняет Почему почтовые серверы перестают отправлять отчеты DMARC. Получение всех моих уток подряд с записями DNS (записи A для домена и узла апории, соответствие SPF и т. д.), наконец, все работает как надо.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.