Van két domain, hívjuk az egyiket egyik.uk-nak, a másikat meg másik.com-nak.
Van egy Google Workspace előfizetés, amit az egyik.uk domainnel hoztam létre.
A Google Workspace-ben van még 3 bejegyzés: egyik.uk - Primary domain subdomain.egyik.uk - Secondary domain másik.com - User alias domain for egyik.uk egyik.uk.test-google-a.com
Gmail aktív az első háromra.
Mindhárom domain-ből tudok gee@ felhasználóval emailt küldeni.
De amikor ma próbáltam valakinek a gee@másik.com címről emailt küldeni, az visszapattant.
Remote server returned '550 5.7.509 Access denied, sending domain másik.com does not pass DMARC verification and has a DMARC policy of reject.'
A message headerekből nem sokat értek (adminisztráltam smtp szervereket, és értettem a headerek jó részét, de ez még az SPF, DKIM, DMARC előtt volt). Azt hiszem, ezek lehetnek számunkra fontosak:
Authentication-Results: spf=pass (sender IP is 2607:f8b0:4864:20::92e) smtp.mailfrom=egyik.uk; dkim=pass (signature was verified) header.d=egyik-uk.20230601.gappssmtp.com;dmarc=fail action=oreject header.from=másik.com;compauth=fail reason=000 Received-SPF: Pass (protection.outlook.com: domain of egyik.uk designates 2607:f8b0:4864:20::92e as permitted sender) receiver=protection.outlook.com; client-ip=2607:f8b0:4864:20::92e; helo=mail-ua1-x92e.google.com; pr=C
Ha jól sejtem, az a gond, hogy a másik.com domain valamiért nem engedélyezett küldő. Egyfelől nem értem, hogy a Google miért nem állította ezt úgy be, hogy bármelyik domain-ből tudjak emailt küldeni.
A kérdéseim most így kezdésként:
- Van valahol valami weboldal, ahol tesztelni tudom, hogy jól vagy hibásan működik? Akár úgy, hogy beírom, mit akarnék, akár úgy, hogy küldök egy emailt a tesztelő email címre? Ezt azért, hogy ha vacakolok a beállításokkal, meg tudjam nézni, hogy sikerült-e kijavítani.
- Van valami Google Workspace vagy DNS vagy nem tudommi beállítás, amivel meg tudom ezt javítani, vagy a DNS-ben kell kézzel átírnom sorokat?
- A Google Workspace-be a második domain behozásakor vaciláltam a secondary és a user alias domain között. Ha átállítanám secondary-ra az segítene a helyzeten?
Bármi javaslat?
Egy adalék: mindkét domain a GoDaddy-n lett bejegyezve, és a Google Workspace a GoDaddy-hez kapcsolódott, amikor a domain-eket hozzáadtam.
- 927 megtekintés
Hozzászólások
a problema szerintem az, hogy ***** **** ******** mert ******** de ******* tehat *** ********.
- A hozzászóláshoz be kell jelentkezni
Ah... el kellett volna olvasnom az egészet... "másik.com - User alias domain for egyik.uk", tippre csak a egyik.uk-ra van jó dkim txt a dns-ben. A selector(ok) ismerete nélkül nem triviális ellenőrizni.
- A hozzászóláshoz be kell jelentkezni
> sending domain másik.com does not pass DMARC verification and has a DMARC policy of reject.
Ez elég egyértelműen leírja a problémát. A másik.com domainnek vagy nincs DMARC rekordja, és az M365 emiatt visszadobja, vagy van neki, és valami failel, és emiatt visszadobja.
Tudom, hogy ez problémás, de jó lenne tudni a vonatkozó rekordok tartalmát. SPF, DMARC rekordokat légyszi illessz ide, mert enélkül mocsok nehéz debugolni.
Lekérni úgy tudod őket, hogy
host -t txt masik.comDe ha akarsz valami igazán jót, nézd meg az mxtoolbox.com nevű webhelyet, egy csomó jó eszközük van:
- MX Lookup: https://mxtoolbox.com/MXLookup.aspx
- DMARC Check: https://mxtoolbox.com/dmarc.aspx
- SPF Check: https://mxtoolbox.com/spf.aspx
- DMARC record generator: https://mxtoolbox.com/DMARCRecordGenerator.aspx
- SPF record generator: https://mxtoolbox.com/SPFRecordGenerator.aspx
Ezek a rekordok gyakorlatilag a legkritikusabbak mostanában a deliverability tekintetében, ha eddig nem volt ilyen neked beállítva a DNS zónában, minél előbb pótlandó!
Ha felfeded a tényleges domaineket, le tudom ellenőrizni őket, hogy milyen beállításai vannak, és mi lehet a hiba. Ha DM-et küldesz, arra készülj, hogy a privátomat meglepően ritkán olvasom sajnos.
- A hozzászóláshoz be kell jelentkezni
egyik.uk
TXT @ v=spf1 include:_spf.google.com ~all
másik.com
TXT @ v=spf1 include:_spf.google.com ~all
TXT _dmarc v=DMARC1; p=reject; adkim=r; aspf=r; rua=mailto:dmarc_rua@onsecureserver.net;
Amennyire éjszaka álmosan utánaolvasva megértettem, az SPF rekordok azt mondják, hogy mindkét domain-re az _spf.google.com IP cím listáról lehet küldeni (ezt a headerek szerint ellenőrizte és jónak találta).
A DMARC rekord-ban annyit értettem meg, hogy be van állítva, hogy mit ellenőrizzen és mi legyen a policy, ha elbukik az ellenőrzésen.
A DNS rekordjaimban nem látok semmit, ami a DKIM-hez tartozhat, de a header azt mondja, hogy PASS, signature was verified. Ez nem tudom, honnan jött.
A header alapján arra tippelnék, hogy a From: mező tartalma (a másik.com domain) nem tetszett neki, de megint csak, nem tudom, hogy az erre szóló szabályt hol kellene látni.
Megnézem, hogy az mxtoolbox használatával találok-e valamit. Ha küldök DM-et, akkor írok majd itt, hogy küldtem.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
- A hozzászóláshoz be kell jelentkezni
Én a rua-t a saját email címemre állítanám, elküldeném oda ahonnan visszapattant, aztán a dmarc reportból kiderülne mi a baja. :)
- A hozzászóláshoz be kell jelentkezni
A Google Workspace support végül megoldotta. Mondjuk nem sikerült elsőre, vagy másodikra, gondolom az indiai irodában a script azért messze van a tökéletestől.
Pl. írtam az embernek, hogy a TTL-t 10 percre állítottam (ugye debuggoláshoz rövid idő javasolt, azért, hogy ha változtatunk dolgokat ide-oda, akkor hamarabb kitakarodjon a cache-ből a régi beállítás). Amikor az egyik változást visszaigazoltam az embernek, és mondtam, hogy 10 perc a TTL, (gondolva, hogy akkor max. 10 perc múlva majd látjuk az eredményét), akkor válaszolt, hogy az nem jó, mert a TTL-nek 1 órának kell lennie. Legyek szíves megváltoztatni.
Pl2. Valami script úgy hozta létre az SPF rekordokat mindkét domain-nél, hogy a domain SPF include a valamiSPF.domain-t, és a valamiSPF sor meg include spf.google.com
Erre az első két supportos lecsapott, mint gyöngytyúk a takonyra, az első csak az egyik.uk domain-t nézte, és kérte, hogy cseréljem le a domain SPF rekordot, hogy include spf.google.com legyen. A második csóka észrevette ugyanezt a hatalmas hibát a másik.com domain-ben.
Végül kaptam valakit, aki vagy értette is, hogy mit csinál, vagy jobban el tudta olvasni a scriptet, de a lényeg az, hogy alapból a DKIM nincs beállítva amikor az ember új domain-t ad a Google Workspace-hez. Gondolom azért, mert a settings képernyőn azt írják, hogy ezt valamennyi (talán 48) óra eltelte után lehet csak beállítani. A lényeg az, hogy miután mindkét domain-hez készített a settings képernyő DKIM rekordokat, onnantól nem pattannak vissza a levelek.
Ami érdekes, az az, hogy egy gyors keresés feldobott elég sok kérdést, amikor embereknek ugyanígy nem ment a levelezése második domain-ből, de választ nem találtam.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
- A hozzászóláshoz be kell jelentkezni
Igen, a DKIM-et nem lehet elsőre beállítani a Workspace-ben, kell várni a validálásig (másnap már szokott menni, csak sokan nem várják meg). Engem viszont nagyon zavar valami. A nyítóban beidézett kódban van egy ilyen sor, hogyaszongya:
dkim=pass (signature was verified)
Na mármost, ez akkor lehet így, ha van publikált DKIM rekord. Kész, ez technológiailag sehogy máshogy nem lehetséges, ugyanis a DKIM úgy működik, hogy a DNS rekordban ott van a publikus kulcs, és ezt validáljuk a levélen.
És akkor most azt találták ki, hogy nincs a DKIM engedélyezve? Itt valami eb el van hantolva. Ha nincs DKIM engedve, és nincs DKIM rekord, akkor may I ask, hogy mi a kiszáradt rekettyést validáltunk?
- A hozzászóláshoz be kell jelentkezni
Engem viszont nagyon zavar valami. A nyítóban beidézett kódban van egy ilyen sor, hogyaszongya:
dkim=pass (signature was verified)
Igen, ezt én is észrevettem, és elsőre azt gondoltam, hogy ez azt jelenti, hogy van DKIM. Valahol. Mert a DNS rekordokban nem láttam. Ezért nem is nagyon néztem ennek utána. Aztán amikor a supportos mondta, hogy hozzuk akkor ezeket létre és másoljuk be a DNS-be, akkor csodálkoztam egy kicsit.
Fogalmam sincs, hogy mi volt az, ami dkim=pass eredményt adott (hacsak nincs olyan, hogy ha nincs dkim, akkor nem fail, tehát pass?)
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
- A hozzászóláshoz be kell jelentkezni