[Megoldva] GMail levélküldés hiba (SPF rekord)

Web, mail, IRC, IM, hálózatok

Sziasztok,

 

Sok-sok idő után ismét segítséget kérnék, most éppen levelezés ügyben. A helyzet a következő: van egy játszós Zimbra levelező szerverem, csodásan működik. Akartam egy e-mailt-t küldeni egy gmail-es címre, majd jött az elutasító válasz:

 said: 550-5.7.26 This mail is unauthenticated, which poses a security risk
    to the 550-5.7.26 sender and Gmail users, and has been blocked. The sender
    must 550-5.7.26 authenticate with at least one of SPF or DKIM. For this
    message, 550-5.7.26 DKIM checks did not pass and SPF check for
    [kronosz.domainem.hu] did 550-5.7.26 not pass with ip: [X.X.X.X].

Először egy kiadósat anyáztam, de hát hamar beláttam, hogy jó kócog szpemmerek miatt kell ez. A google-s oldalon néztem példát, miszerint be kell mennem a domain-em DNS-rekor szerkesztőjébe, fel kell vennem egy új TXT rekordot, tehát a következőket vettem fel:

v=spf1 ip4:192.168.0.0/16 include:domainem.hu include:kronosz.domainem.hu ~all

Viszont így sem megy, egyértelmű értelmes step-by-step howto-t sehol nem találtam. Valaki tudna segíteni, hogy mit hagytam ki vagy mit szabtam el?

A mail szerveremről: T az ISP, dinamikus IP-vel. Mivel nem fix, ezért DDNS-sel van egy kronosz.no-ip.xyz*-os domain-em, mely CNAME rekordként van felvéve a domain-em mellé/alá/fölé, így kronosz.domainem.hu néven levelezgetek. Alapvetően a szervereim leveleit, illetve néhány hírlevelet fogadok ezen a mail akkunton, de van, mikor ténylegesen küldök is a nagyvilágba róla leveleket, de nem spam-elek róla, gondolom ennek is köze van a bonyodalmamhoz.

Köszi a segítséget!

 

*nem ez a pontos domain, csak példákat írtam

  • 920 megtekintés

( blr v | 2023. 07. 09., v – 13:09 )

Ha a játszós szervered a kronosz, akkor annak a TXT-jébe vedd fel. Az ip4-ben a publikus címed kell megadni, ha dinamikus, akkor az egész tartományt. Az include-ok nem kellenek.

A kronosz.domainem.hu csak egy CNAME rekord, ami a kronosz.no-ip.xyz-ra mutat a domainem.hu alatt. Így viszont nem tudok TXT rekordot létrehozni, mert ugye ütközik a CNAME rekorddal... Az ip4-et töröltem inkább, azt google-s példa alapján raktam be. Marhára nem értem én ezt az egész DNS-es dolgot, látszik a közelemben soha nem volt senki, aki értelmesen elmagyarázná nekem...

Szerk.: javítottam a hozzászólásom..

Marhára nem értem én ezt az egész DNS-es dolgot, látszik a közelemben soha nem volt senki, aki értelmesen elmagyarázná nekem...

vs

Köszi, de BME-t messziről kerülöm, meg a Révai Nagy Lexikonokat is. :)

Ez egy Wiki oldal, ami alapján alaposabban megismerhetnéd, az első mondatod alapján úgy tűnt, hogy van rá igényed.  Miért érdekes az, hogy bme.hu van az URL-ben? 

( kassaiviktor | 2023. 07. 09., v – 15:50 )

ha dinamikus ip-d van, akkor inkább dkim irányába menj el

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

( andrej_ v | 2023. 07. 09., v – 18:46 )

Nem ártana utána nézned, hogy az include:hosztnév valójában mit jelent.

Ha már ragaszkodsz a dinamikus IP-s küldéshez, akkor lehet egy +a:hosztnévarekorddal jellegű betét, mert önmagában a DKIM az téged sem véd. Eleve az SPF-nek utána kéne nézned. :)

Ezért nem prodnak használom leginkább, hanem a szervereim kommunikációjának (monitoring pl.)

A gmail felé történő levelezés szinte csadebug miatt szokott kelleni, ezért történhetett az, hogy csak most derült ki, hogy van ez a bajom.

Btw megértem, hogy nem szeretik ezt az ip range-et a nagy szolgáltatók, mert tényleg az összes köcsög innen spam-el, de legalább kitaláltak valamit, amivel adtak egy kiskaput. Jó kicsi az a kapu, de cuppanósan átfértem. :)

Bérelj valahol egy VM-et és ott húzd fel az email szervert. Ott statikus IP-t kapsz.

DigitalOcean, Amazon EC2, Google Cloud, stb.

Amazonnál és Googlenél is van ingyenes periódus. Amazon azt hiszem 1 évre ad egy micro instancet, a Google meg valamennyi pénzt ír jóvá az egyenlegeden amivel 3 hónapig azt csinálsz amit akarsz (nyilván ki nem fizetik).

( ggallo | 2023. 07. 10., h – 08:28 )

TL; DR: Dinamikus címről akkor is esetleges lesz a sikeres küldés, ha mindent jól csinálsz. Annyira szigorúra veszi mára (nagyon helyesen) a legtöbb legális levelező szerver a spam szűrést, nem-komform szerverek kizárását, hogy "betű szerint" kell megfelelni az elvárásaiknak ahhoz, hogy egyáltalán átvegyenek egy levelet vizsgálatra azonnali elutasítás helyett.

 

Elsőre költöztesd el a cuccot egy publikus fix IP címes VPS-re, ahol be lehet állítani a reverse (PTR) rekordot is a DNS-be. A gép bemutatjozási neve egyezzen a DNS-be bejegyzett nevével, és a PTR rekord is ezt a nevet tartalmazza.

A levelező szerverek nagy része azzal kezdi, hogy ellenőrzi, hogy a csatlakozó gép neve egyezik-e a HELO-ban szereplő névvel, majd a HELO-ban megadott névhez milyen IP cím tartozik, és az az IP cím a HELO-ban lévő nevet adja-e vissza (PTR rekord).

Ha a csatlakozó gép neve és a HELO-ban mutatott egyezik, és ezekhez passzol a PTR rekord is, akkor jön az SPF ellenőrzés. Ekkor megnézi a fogadó oldal, hogy a küldő cím jogosult-e az adott tartomány nevében levelet továbbítani. Emiatt az SPF rekordnak abban a tartományban kell lennie, ami a @ után van írva (nem a küldő gép FQDN-jén kell az SPF rekord).

Amennyiben megfelel az SPF ellenőrzésnél is a küldő szerver, akkor már csak az a kérdés, hogy van-e DKIM aláírás a levélen, és az jó-e. Ennek annyi a DNS érintettsége, hogy a DKIM ellenőrzéshez szükséges publikus kulcs a DNS-ben van közzétéve.

A dinamikus címmel csupán annyi lesz a gond, hogy már nem csak prompt ellenőrzés van és nem csak IP címre. Reputációs értékes vezet minden nagyobb szolgáltató, többek között tartomány név alapján is. Tehát ha neked rendszeresen változik a IP címed, akkor a DNS TTL miatt rendszeresen lesz olyan, hogy épp nem igazolható a küldés jogossága, ezért romlani fog a reputáció, és rossz reputációval akkor sem fogadja majd el a levelet, ha minden más okés. Ráadásul ez olyan, mint az autós bonus-mauls, rontani sokkal jönnyebb, mint javítani. Így pár hét üzem után jó eséllyel akkor sem fogadnak a nagyok majd a dinamikus IP címes szerveredtől levelet, amikor épp pont minden stimmel.

Köszi, nagyjából erre jutottam én is. Ha már lenne egy fix IP-s szerverem, akkor fele ennyit sem kellene szenvednem, ezért is maradtam csak a DKIM-nél. Nem tudom meddig fog működni, igazából nem is érdekel már, mivel csak bejövő leveleket nézegetek benne, mint fentebb is írtam. Csak majd emlékeznem kell arra X hónap múlva, mikor megint tesztelni akarom a levélküldést, hogy nem feltétlenül a Zimbra miatt nem megy ki a levél, hanem a dinamikus IP-m (és a többi hiányosság) miatt.

A relay host beállítás postfix esetén nem bonyolult, bemásolom neked, hátha segít. Azt hiszem Zimbrat írtál hogy azzal játszol. Azt sajnos nem ismerem.

/etc/postfix/main.cf fájlba ezeket beírod:

relayhost = [smtp.isp-servere.hu]:465
smtp_use_tls=yes
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/relay_passwords
smtp_sasl_security_options = noanonymous
smtp_tls_wrappermode = yes
smtp_tls_security_level = encrypt

Aztán /etc/postfix/relay_passwords fájlba meg beírod az smtp.isp-servere.hu szerverhez a kredenceket:

[smtp.isp-servere.hu]:465 nev:jelszo

Ez után két parancs kell még emlékeim szerint és kész is vagy:
 

postmap -f /etc/postfix/relay_passwords

systemctl restart postfix

Jah, ezen már túl vagyok, mert máskülönben eddig sem tudtam volna levelet küldeni. Nem teljesen így kell Zimbrával, ott ha jól rémlik beépített tool van, amivel be lehet izgatni. De ez is annyira régen volt, hogy már nem emlékszem, de abban biztos vagyok, hogy a T smtp szerverét kell használnom.

De köszi, hogy beírtad, néha kell smtp relay, így legalább nem kell gugliznom 3 órán át, hogy megtaláljam a működő howto-t, amit szoktam használni. :D