[solved] DKIM hiánya - DMARC pass

 ( bAndie9100 | 2016. február 23., kedd - 14:36 )

Van egy domainem, amin van _domainkey (jól működik vele a DKIM aláírás) és _dmarc is, melynek tartalma:

v=DMARC1; p=reject; rua=mailto:postmaster-AT-pelda.hu; adkim=s; aspf=s;

namost ha erről a domainről olyan levelet küldök, ami nincs DKIM aláírva, látszólag nem történik semmi retorzió, a fogadó fél (Googlével próbáltam) inboxba kézbesíti a levelet.
tudtommal a dmarc arra való, hogy meghatározza mi történjék (esetemben reject) ha nem stimmel az spf ellenőrzés vagy nem stimmel vagy nincs dkim aláírás.

mail from és header from egyaránt user-AT-pelda.hu
Google ezt a headert teszi rá:

Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of user-AT-pelda.hu designates IPCÍM as permitted sender) smtp.mailfrom=user-AT-pelda.hu;
       dkim=pass header.i=@smtpcorp.com;
       dmarc=pass (p=REJECT dis=NONE) header.from=pelda.hu

az zavarhat be, hogy van raja egy dkim aláírás a smtpcorp.com-tól is?
de akkor miért mondja hogy "dmarc=pass header.from=pelda.hu" ?
ha bárkinek a dkim aláírása rajta van, akkor úgy amblokk átmegy a dkim ellenőrzésen? az smtpcorp-nak semmi köze a levelemhez legalábbis semmilyen header-ben, smtp klient címében, ptr címében nem szerepel. (azért kerül rá mert smtp2go-n keresztül küldtem, de ez irreleváns)
Dmarc-kal nem határozhatom meg hogy az én domainemről érkező leveleken mindenképp kell legyen valid dkim aláírás?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

SPF ben mi szerepel?
"azért kerül rá mert smtp2go-n keresztül küldtem, de ez irreleváns"
Szerintem itten van az eb elhantolva

Ha az smtp2go designated sender az SPF-ben akkor azt fogja megnezni hogy annak van e DKIM alairasa(mivel azon kuldtel) es mivel az stimmel az Pass is lesz.

v=spf1 mx include:spf.smtp2go.com -all

de akkor a szabványmérnökök megint feltalálták a melegvizet! adtunk az exkrementumnak egy pofont...
az spf-nek van saját policy eleme (-all), ugyanezt érvényesíti a dmarc? akkor minek van szükség a dmarc policyre?

most tekintsünk el attól h 3rd party smtp relay-t használtam és nézzünk egy általánosabb scenariót: mivan ha az spf-ben egy ip subnet-et határozok meg, ahol van egy A és B cégnek gépei. az enyém az A. nálam van a dkim privát kulcs, aláírom vele a kimenő leveleimet. nem véd semmi az ellen h a B csoport is küldjön emaileket az én domainemmel?

meg egyébként oké h az smtp2go egyik kilépő IP-je benne van az spf által engedélyezett címek között, de a dkim aláíró domainhez (smtpcorp.com) attól még nincs köze.

~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack

Hat a DMARC sem csodaszer (meg mindig fejlesztes alatt van) de azert nem baj ha van :)

Ki kene tesztelni hogy tenyleg igy mukodik e ahogyan a te esetedben. Ha igen akkor ezt szigoritani lehetne egy plusz flag beiktatasaval.

Az RFC7489 szerint legalább egy auth check-nek pass-t kell visszaadnia (4.2-es rész).

Ez alapján AFAIK [teszteld egy subdomainnel, mielőtt kiteszed élesbe!] csinálhatod azt, hogy az SPF rekordba az include-ot prefixeled egy softfail-lel (~) vagy neutral-lal (?), innentől kezdve az marad, hogy ami rajtuk keresztül megy, annak muszáj megfelelnie a DKIM-nek.

--
Szerk.: Az Auth-Results fejlécben a DKIM pass jelentheti azt, hogy látta, hogy van rajta egy érvényes aláírás; függetlenül attól, hogy az aligned-e (afaik nem standard fejléc, úgyhogy csak tippelni tudunk)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

köszönöm a felvilágosítást!
softfail-re állítottam, így megköveteli a dkim aláírást a pelda.hu domaintől is.
meg neutral-lal is.
ezek az spf prefixek meg se fordultak a fejemben, csak fail-t (-) használtam eddig. ezekkel a lehetőségekkel jóval összetettem konfigok is lehetségesek.

~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack

Ha igazán perverz szabályokat akarsz, nézz rá a macro expansion-re és mondjuk az exists mechanism-re :)

Szerk.: az openspf.org-on include-ra a neutral-t ajánlják, úgyhogy érdmesebb lehet azon hagyni.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nem akarok új témát: szóval próbálkozom dmarc-kal. Van olyan szolgáltató, aminek értelmesebb árai vannak a dmarcian.com-nál, hasonló szolgáltatásokkal? Mármint nem drága a dmarcian igazából, de nekem évente sincs annyi levelem, mint a legkisebb havi csomag náluk.
--
http://naszta.hu