înregistrare Logare
Puncte:2
goldilocks avatar Server

(De ce) Serverele de e-mail ar înceta să trimită rapoarte DMARC din cauza DKIM?

drapel cn
goldilocks

Am un server de e-mail personal pe care îl rulez de ani de zile; foarte rar a existat o problemă cu trimiterea e-mailurilor și așa că nu am ajuns niciodată la curent cu lucruri precum SPF, DMARC și DKIM. Recent, în timp ce am actualizat sistemul, am decis să fac asta.

SPF a fost foarte simplu, deoarece folosesc o singură adresă IP fixă.

DMARC era aproape la fel de simplu; Am configurat acest lucru inițial cu o politică de „niciun” pentru a primi rapoarte și l-am lăsat timp de o săptămână sau două, apoi l-am schimbat pentru a respinge.

Acum am implementat un filtru de semnare DKIM pentru serverul de e-mail (Curier MTA, și nu, nu există niciun gata făcut pentru asta). Pentru bucățile complicate pe care le-am folosit dkimpy. Acesta are, de asemenea, un instrument simplu de verificare care funcționează pe mesaje întregi, face propriile căutări etc., ceea ce înseamnă că este o dovadă falsă, deoarece există o singură modalitate de a-l folosi (în timp ce semnarea poate fi configurată în diferite moduri și, eventual, lasă loc pentru mine s-o smulg). Aceasta transmite mesaje care cred că ar trebui să treacă și eșuează pe cele care cred că nu ar trebui, așa că sunt rezonabil mulțumit că funcționează; L-am rulat pe mesajele primite de la server. În prezent, pentru a minimiza problemele, semnez doar corpul și antetul De la.

Cu toate acestea, niciunul dintre e-mailurile mele nu trece prin conturile mele de testare -- unul este Gmail, iar celălalt este de la ISP-ul meu. Mai mult, deși acum am atât adrese rua, cât și adrese ruf în înregistrarea DMARC, sunt nu primesc niciun raport pentru ei. Anterior, amândoi erau ca un ceasornic.

Daca tot ce fac este sa opresc filtrul (deci fără DKIM sig), totul funcționează din nou. Am verificat dacă serverul încearcă de fapt în toate cazurile; cele DKIM eșuate păreau să obțină time-out-uri și conexiuni închise, ceea ce duce la o amânare nesfârșită -- ceea ce singur pare puțin ciudat, deoarece implică că e-mailul „respins” nici măcar nu este examinat, dar eliminarea semnăturii este tot ce este nevoie pentru a să-l accepte din nou. Voi pune asta pe seama ambiguităților din jurnalul lui Courier.

Îmi dau seama că nimeni nu este obligat de vreo lege aici, dar este aceasta o politică normală? Presupunând că semnătura DKIM este greșită, serverul de primire nu ar trebui să-mi trimită un raport DMARC în acest sens?

Așa că momentan mă aflu pe un pârâu. Deși lucruri precum MXToolbox îmi dau brio, nu am găsit un serviciu gratuit care să testeze în mod activ semnătura DKIM prin luarea de e-mailuri, cu excepția unuia, care pare să fi făcut ceea ce au făcut celelalte servere -- nu acceptă niciodată e-mailurile pe care ar trebui să le testeze. (Nu știu dacă acesta este un posibil indiciu).

Iată înregistrările DNS relevante de la săpa:

  • SPF: cognitivdisonance.ca. 3600 IN TXT „v=spf1 ip4:138.197.150.177 -all”

  • DKIM:

      aporia._domainkey.cognitivedissonance.ca.3600 IN TXT "v=DKIM1; k=rsa; h=sha256; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAosptGk+J2mdjjc7RWmcnQ3yBqx1JT/lA0bw4GJCzZ+esa0f8rjHhPiW6NnUr64Kf5h0fPEthQhYGTjjw3jAd/3EE28hGA30+jODxEK7A0+5aeI82fWa/ZZk9FvyIhf+UkkX1B0klYhCRW5r91smJ+rwYrr2B6jOrw0DReHTAZ51NACSWI7ov2mA" "UIh2l8blA8hFFBOBwxlzC+smRsYlZCKZfsSMkyS/XIm2m58QNfw/aCHp5VufSrf/hh7f6AGKTgxHfgs+8RBbYdHEM2LAMT +WYsITC3R0OYfgplzWna6PRB9lx+FFzTtT/8XClYfUJ6rwWwM4koeX0yt9gDr/03QIDAQAB"

    Rețineți că FQDN-ul serverului de e-mail este aporia.cognitivedissonance.ca si asa am folosit aporie ca selector DKIM din lipsă de imaginație. Domeniul de e-mail este doar cognitivdisonance.ca. Ar trebui să folosesc FQDN-ul în schimb (de ex. aporia._domainkey.aporia.cognitivedissonance.ca)?

  • DMARC:

      _dmarc.cognitivedissonance.ca. 3600 IN TXT "v=DMARC1;p=reject;pct=100;rua=mailto:[email protected],mailto:[email protected];ruf=mailto:[email protected],mailto: [email protected]; "

    Există câteva mailto-uri suplimentare acolo pentru un serviciu de validare dmarc la care m-am înscris. Din păcate, ei nu testează direct semnăturile DKIM.

În sfârșit, un exemplu de semnătură:

Semnătura DKIM: v=1; a=rsa-sha256; c=relaxat/simplu;
 d=cognitivedissonance.ca; [email protected]; q=dns/txt;
 s=aporie; t=1650468130; h=de la;
 bh=3N81YR+AxHZqpkdMAh4Jti6JpRmUrlzO5bUjUoWdGeg=;
 b=kNzUid2LG8TfHoegur3JzlcktiJT+5A1E2en+IlV/GgDMZWL0Ft/4kE02LGFzb2kTMkav
 c9jLUqd2+NCrLDzVRBxgwif++vDwoljCI1X0wvbcCqhfA3uElcCuhCAtBkl/ZNqLR0H1Gjq
 XXA801KqyVrvottuv0+PmEOvqQ8skTpBvl4Da8JjQ73Zscm3/5Mfk0dGTLlggNgapszsP9z
 nt/1Oi6gzLasX933wIdLZWVex8QNfKr8+MTx6bmpVodaeklR+281u8k1zhCBu5pWrzlavUh
 CbWjUm4j3YbeztpG98r9MZOVKbJZyHaiHWcRa1vEq3Cz8AEnRyRkQhd5WtvA==
74
0 + 0
Paul avatar
drapel cn
Paul
Nu știu `curier`, dar poate activați logarea în mod verbos. Se pare mai degrabă ca instrumentul dvs. DKIM modifică mesajul și serverelor de primire nu le place, așa că vă închid. Ar fi util să vedeți ceva de genul primirii jurnalelor sau antetelor de server complet recepționate unde efectuează toate verificările. DKIM se autentifică împotriva domeniului RFC5322.from. Puteți încerca să trimiteți un mesaj către toate domeniile de freemail și să vă verificați jurnalele pentru tranzacții, deoarece uneori acestea lasă mesaje care includ chiar link-uri pentru a explica de ce v-au respins încercarea.
0
Răspunde
anx avatar
drapel fr
anx
Din informațiile furnizate, nu sunt sigur dacă *Courir* se blochează din cauza unei probleme cu *dkimpy*, din cauza metodei dvs. de a-l integra, sau dacă închideți pe servere la distanță încă încercați să vă dați seama dacă să vă acceptați semnătura. . Aduceți-ne mai multe informații despre cum ați configurat filtrul și jurnalele, vă rog.
0
Răspunde
Puncte:0
goldilocks avatar Server
drapel cn
goldilocks

În cele din urmă, am găsit un validator DKIM online: https://www.appmaildev.com/en/dkim Ei vor testa o încărcare a unui e-mail existent sau vă vor oferi o adresă de testare la care să o trimiteți.

Nu sunt 100% sigur care a fost problema inițială, pentru că până când am găsit aceasta, am creat o alta: Folosind caracteristica „IP plutitor” a Digital Ocean pentru a seta înregistrările mele DNS. Sistemul de operare nu vede de fapt această adresă, iar alte servere de e-mail raportau e-mail de la acel IP „real” (care este încă valabil). Nu valoreaza nimic dacă sunteți un utilizator de picături.

Ca să fiu clar, asta nu ar fi putut fi problema inițială, pentru că am activat IP-ul flotant abia ieri când, în disperare, am decis să mut nodul pentru a vedea dacă a căzut ceva din copac. In orice caz...

Nu am găsit un serviciu gratuit care să testeze în mod activ semnătura DKIM prin preluarea e-mailurilor, cu excepția unuia, care pare să fi făcut ceea ce au făcut celelalte servere -- nu acceptă niciodată e-mailul pe care ar trebui să îl testeze (nu stiu daca acesta este un potential indiciu).

Rețineți că serviciul nu a fost cel legat în primul paragraf aici. Oricum, faptul că alte servere de e-mail, în general, refuzau conexiunile (spre deosebire de e-mailurile care respingeau) pare să strige „problema DNS”. De ce exact aceasta a devenit o problemă când noua instalare a serverului rula de o lună, încă nu știu, deci acesta este într-adevăr doar un răspuns parțial -- deși explică De ce serverele de e-mail nu ar mai trimite rapoarte DMARC. Obținând toate ratele mele la rând cu înregistrările DNS (înregistrările A pentru domeniu și nodul aporia, potrivirea SPF-ului etc.), în sfârșit totul funcționează așa cum ar trebui.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.