Tham gia Đăng nhập
Điểm:2
goldilocks avatar Server

(Tại sao) Máy chủ email có ngừng gửi báo cáo DMARC do DKIM không?

lá cờ cn
goldilocks

Tôi có một máy chủ email cá nhân mà tôi đã sử dụng trong nhiều năm; rất hiếm khi xảy ra sự cố khi gửi thư và vì vậy tôi chưa bao giờ thực sự bắt kịp tốc độ với những thứ như SPF, DMARC và DKIM. Gần đây, trong khi nâng cấp hệ thống, tôi quyết định làm điều này.

SPF rất đơn giản, vì tôi sử dụng một địa chỉ IP cố định duy nhất.

DMARC gần như đơn giản; Tôi đã thiết lập chính sách này ban đầu với chính sách "không" để nhận báo cáo và để nguyên chính sách này trong một hoặc hai tuần rồi chuyển sang từ chối.

Tôi hiện đã triển khai bộ lọc ký DKIM cho máy chủ thư (Chuyển phát nhanh MTA, và không có không có sẵn sàng cho việc này). Đối với các bit phức tạp tôi đã sử dụng dkimpy. Điều này cũng có một công cụ xác minh đơn giản hoạt động trên toàn bộ thư, nó có tra cứu riêng, v.v., có nghĩa là nó là bằng chứng giả ở chỗ chỉ có một cách để sử dụng nó (trong khi việc ký có thể được định cấu hình theo nhiều cách khác nhau và có thể để lại chỗ để tôi làm hỏng nó). Điều này vượt qua tin nhắn mà tôi nghĩ nên vượt qua và thất bại những cái mà tôi nghĩ là không nên, vì vậy tôi hài lòng một cách hợp lý rằng nó hoạt động; Tôi đã chạy nó trên các tin nhắn nhận được từ máy chủ. Hiện tại, để giảm thiểu các vấn đề, tôi chỉ ký vào phần nội dung và tiêu đề Từ.

Tuy nhiên, không có thư nào của tôi chuyển đến tài khoản thử nghiệm của tôi -- một là gmail và một là từ ISP của tôi. Hơn nữa, mặc dù bây giờ tôi có cả địa chỉ rua và ruf trong bản ghi DMARC, nhưng tôi không nhận được bất kỳ báo cáo cho họ. Trước đây, cả hai đều giống như đồng hồ.

Nếu tất cả những gì tôi làm là tắt bộ lọc (vì vậy không có dấu hiệu DKIM), mọi thứ hoạt động trở lại. Tôi đã kiểm tra xem máy chủ có đang thực sự cố gắng trong mọi trường hợp không; những cái DKIM không thành công dường như hết thời gian chờ và các kết nối bị đóng dẫn đến việc trì hoãn vô tận - điều này có vẻ hơi kỳ lạ vì nó ngụ ý rằng thư "bị từ chối" thậm chí không được kiểm tra, nhưng việc xóa chữ ký là tất cả những gì cần làm làm cho nó được chấp nhận một lần nữa. Tôi sẽ đặt điều đó xuống sự mơ hồ trong nhật ký của Courier.

Tôi nhận ra rằng không ai bị ràng buộc bởi bất kỳ luật nào ở đây, nhưng đó có phải là một chính sách bình thường không? Giả sử chữ ký DKIM sai, máy chủ nhận có nên gửi cho tôi báo cáo DMARC về điều đó không?

Vì vậy, tôi hiện đang ở trên một con lạch. Mặc dù những thứ như MXToolbox mang lại cho tôi màu sắc bay bổng, nhưng tôi không tìm thấy dịch vụ miễn phí nào tích cực kiểm tra chữ ký DKIM bằng cách nhận thư ngoại trừ một dịch vụ dường như đã thực hiện những gì mà các máy chủ khác đã làm -- không bao giờ chấp nhận thư mà nó phải kiểm tra (dunno nếu đây là một đầu mối tiềm năng).

Đây là bản ghi DNS có liên quan từ đào:

  • chỉ số chống nắng: nhận thứcdissonance.ca. 3600 TRONG TXT "v=spf1 ip4:138.197.150.177 -all"

  • DKIM:

      aporia._domainkey.cognitivedissonance.ca.3600 IN TXT "v=DKIM1; k=rsa; h=sha256; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAosptGk+J2mdjjc7RWmcnQ3yBqx1JT/lA0bw4GJCzZ+esa0f8rjHhPiW6NnUr64Kf5h0fPEthQhYGTjjw3jAd/3EE28hGA30+jODxEK7A0+5aeI82fWa/ZZk9FvyIhf+UkkX1B0klYhCRW5r91smJ+rwYrr2B6jOrw0DReHTAZ51NACSWI7ov2mA" "UIh2l8blA8hFFBOBwxlzC+smRsYlZCKZfsSMkyS/XIm2m58QNfw/aCHp5VufSrf/hh7f6AGKTgxHfgs+8RBbYdHEM2LAMT +WYsITC3R0OYfgplzWna6PRB9lx+FFzTtT/8XClYfUJ6rwWwM4koeX0yt9gDr/03QIDAQAB"

    Lưu ý rằng FQDN của máy chủ thư là aporia.cognitivedissonance.ca và vì vậy tôi đã sử dụng aporia với tư cách là bộ chọn DKIM vì thiếu trí tưởng tượng. Tên miền email chỉ là nhận thứcdissonance.ca. Tôi có nên sử dụng FQDN thay thế (tức là. aporia._domainkey.aporia.cognitivedissonance.ca)?

  • DMARC:

      _dmarc.cognitivedissonance.ca. 3600 TRONG TXT "v=DMARC1;p=reject;pct=100;rua=mailto:[email protected],mailto:[email protected];ruf=mailto:[email protected],mailto: [email protected];"

    Có một số mailto bổ sung ở đó cho dịch vụ xác thực dmarc mà tôi đã đăng ký. Thật không may, họ không trực tiếp kiểm tra chữ ký DKIM.

Cuối cùng, một ví dụ về chữ ký:

DKIM-Chữ ký: v=1; a=rsa-sha256; c=thoải mái/đơn giản;
 d=cognitivedissonance.ca; [email protected]; q=dns/txt;
 s=aporia; t=1650468130; h=từ;
 bh=3N81YR+AxHZqpkdMAh4Jti6JpRmUrlzO5bUjUoWdGeg=;
 b=kNzUid2LG8TfHoegur3JzlcktiJT+5A1E2en+IV/GgDMZWL0Ft/4kE02LGFzb2kTMkav
 c9jLUqd2+NCrLDzVRBxgwif++vDwoljCI1X0wvbcCqhfA3uElcCuhCAtBkl/ZNqLR0H1Gjq
 XXA801KqyVrvottuv0+PmEOvqQ8skTpBvl4Da8JjQ73Zscm3/5Mfk0dGTLlggNgapszsP9z
 nt/1Oi6gzLasX933wIdLZWVex8QNfKr8+MTx6bmpVodaeklR+281u8k1zhCBu5pWrzlavUh
 CbWjUm4j3YbeztpG98r9MZOVKbJZyHaiHWcRa1vEq3Cz8AEnRyRkQhd5WtvA==
74
0 + 0
Paul avatar
lá cờ cn
Paul
Tôi không biết `chuyển phát nhanh`, nhưng có lẽ bật đăng nhập dài dòng. Có vẻ như công cụ DKIM của bạn đang thực hiện một số thay đổi đối với thông báo và các máy chủ nhận không thích điều đó nên họ đã gác máy bạn. Sẽ rất hữu ích khi xem nội dung nào đó như nhật ký nhận hoặc tiêu đề máy chủ đã nhận đầy đủ nơi chúng thực hiện tất cả các kiểm tra. DKIM xác thực với miền RFC5322.from. Bạn có thể thử gửi tin nhắn đến tất cả các miền thư miễn phí và kiểm tra nhật ký giao dịch của mình, vì đôi khi họ để lại tin nhắn thậm chí bao gồm các liên kết để giải thích lý do tại sao họ từ chối nỗ lực của bạn.
0
Hồi đáp
anx avatar
lá cờ fr
anx
Từ thông tin được cung cấp, tôi không chắc liệu *Courir* có đang gặp sự cố với *dkimpy* hay không, do phương pháp tích hợp của bạn hay do bạn đang treo trên các máy chủ từ xa vẫn đang cố gắng tìm hiểu xem có chấp nhận chữ ký của bạn hay không . Vui lòng cung cấp cho chúng tôi thêm thông tin về cách bạn thiết lập bộ lọc và nhật ký.
0
Hồi đáp
Điểm:0
goldilocks avatar Server
lá cờ cn
goldilocks

Cuối cùng, tôi đã tìm thấy trình xác thực DKIM trực tuyến: https://www.appmaildev.com/en/dkim Họ sẽ kiểm tra tải lên thư hiện có hoặc cung cấp cho bạn địa chỉ kiểm tra để gửi tới.

Tôi không chắc chắn 100% vấn đề ban đầu là gì, bởi vì vào thời điểm tôi tìm thấy vấn đề này, tôi đã tạo một vấn đề khác: Sử dụng tính năng "IP nổi" của Digital Ocean để thiết lập các bản ghi DNS của tôi. Hệ điều hành không thực sự nhìn thấy địa chỉ này và các máy chủ thư khác đã báo cáo thư từ IP "thực" đó (vẫn còn hiệu lực). Đáng chú ý nếu bạn là người dùng nhỏ giọt.

Rõ ràng, đó không thể là vấn đề ban đầu, bởi vì tôi chỉ kích hoạt IP nổi ngày hôm qua khi trong cơn tuyệt vọng, tôi quyết định di chuyển nút để xem có thứ gì rơi ra khỏi cây không. Tuy nhiên...

Tôi chưa tìm thấy dịch vụ miễn phí nào tích cực kiểm tra chữ ký DKIM bằng cách nhận thư ngoại trừ một dịch vụ dường như đã thực hiện những gì mà các máy chủ khác đã làm -- không bao giờ chấp nhận thư mà nó phải kiểm tra (dunno nếu đây là một đầu mối tiềm năng).

Lưu ý rằng dịch vụ không phải là dịch vụ được liên kết trong đoạn đầu tiên ở đây. Dù sao đi nữa, các máy chủ thư khác nói chung đang từ chối kết nối (trái ngược với thư bị trả lại) dường như đang hét lên "sự cố DNS". Chính xác tại sao điều này lại trở thành vấn đề khi cài đặt mới của máy chủ đã chạy được một tháng thì tôi vẫn không biết, vì vậy đây thực sự chỉ là câu trả lời một phần -- mặc dù nó giải thích Tại sao máy chủ email ngừng gửi báo cáo DMARC. Bắt tất cả những con vịt của tôi liên tiếp với các bản ghi DNS (Bản ghi A cho miền và nút aporia, khớp với SPF, v.v.), cuối cùng thì mọi thứ cũng hoạt động bình thường.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.