[Exim-users] Exim 4.91 - DMARC
Доброго времени суток. Решил вникнуть больше и довести DMARC до ума. Но увы ... появились "грабли" и вопросы. Прошу тех, кто уже "в теме" помочь и прокомментировать. 1. Чисто "косметический" вопрос. Запись подобной строки в лог отключается? (не нашел как) 2018-12-12 11:08:09 1gX0Uz-000E7f-1W DMARC results: spf_domain=gmail.com dmarc_domain=gmail.com spf_align=yes dkim_align=yes enforcement='Accept' 2. Прописанные переменные и правила для DMARC. dmarc_tld_file = /usr/local/etc/exim/dmarc/public_suffix_list.dat dmarc_history_file = /var/spool/exim/dmarc.dat dmarc_forensic_sender = postmaster@my.domain check_rcpt: приняли от своих, доверенные ... warn control = dmarc_enable_forensic check_data: приняли от своих ... warn dmarc_status = off : quarantine logwrite = TEST1: DMARC status '$dmarc_status' for $dmarc_used_domain Как видим, хочу чтобы в лог писались только статусы off и quarantine (none исключить). А на практике вижу, что пишутся и none. 2018-12-12 11:14:51 1gX0bS-000EKP-UA TEST1: DMARC status 'none' for 2018-12-12 11:14:53 1gX0bV-000EKQ-4Q TEST1: DMARC status 'none' for Например, 1gX0bV-000EKQ-4Q - это рассылка от esputnik.com 3. Решил прописать "accept dmarc_status = accept" до проверки на спам в ACL DATA. Пожалел :( Спамеры тоже совершенствуются. На днях пролезло несколько сотен писем с хостов в сети MNT-SELECTEL, имеющих корректную запись в обратной зоне, прошеших проверку SPF, DKIM и ... DMARC. Кто-то пробовал принимать без доп. проверок письма, прошедшие DMARC? 4. Отчеты DMARC, а как же без них. Сделал, рассылаются отчеты. Но что делать если в политике DMARC указан не существующий адрес? Или ящик переполнен? Может просто указать свой адрес, указывающий на blackhole и не заморачиваться? Кто как поступал? ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
Mikhail Golub писал 2018-12-12 11:29: Кто-то пробовал принимать без доп. проверок письма, прошедшие DMARC? Не, так не надо делать. Сами же написали почему. Но что делать если в политике DMARC указан не существующий адрес? Или ящик переполнен? Может просто указать свой адрес, указывающий на blackhole и не заморачиваться? Кто как поступал? Я забил. Ну не доставится - почистится очередь со временем. -- With best regards, Max Kostikov W: https://kostikov.co | BBM: 24CA5DF8 signature.asc Description: OpenPGP digital signature ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
Mikhail Golub писал 2018-12-12 11:29: Но что делать если в политике DMARC указан не существующий адрес? Или ящик переполнен? Может просто указать свой адрес, указывающий на blackhole и не заморачиваться? Кто как поступал? Соврамши чуть ранее. Вспомнил что у меня отчёты отправляются от noreply@ почта на который всегда принимается и отправляется прямиком в blackhole. Так сделано чтобы упоротых использующих callout для проверки отправителя удовлетворить. -- With best regards, Max Kostikov W: https://kostikov.co | BBM: 24CA5DF8 signature.asc Description: OpenPGP digital signature ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
Здравствуйте, Mikhail. Вы писали 12 декабря 2018 г., 17:29:44: > Спамеры тоже совершенствуются. На днях пролезло несколько сотен писем с > хостов в сети MNT-SELECTEL, имеющих корректную запись в обратной зоне, > прошеших проверку SPF, DKIM и ... DMARC. Кто-то пробовал принимать без > доп. проверок письма, прошедшие DMARC? ну так-то грамотные спамеры как раз чтут rfc и мало того что у них spf/dkim/dmarc по фэньшую, там еще и валидный серт от LetsEncrypt. Благо все это скриптотой поднимается на раз. -- С уважением, Alexander mailto:t...@irk.ru ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
Здравствуйте. Спасибо ответившим. С 4-м вопросом понятно. Надоест получать отлупы - пропишу noreply-адрес :) А что можете сказать по первому вопросу (как отключить вывод "DMARC results" в лог)? В log_selector не нашел чего-либо связанного с DMARC. И еще больше интересует второй вопрос. Почему при не указанном в acl статусе 'none' от всеравно выводится? Сделал ка в примере https://github.com/Exim/exim/blob/master/doc/doc-txt/experimental-spec.txt Только я указал "warn dmarc_status = off : quarantine", но всеравно запись в лог со статусом 'none' выводится. Пришлось переделать условие на: warn condition = ${if match{$dmarc_status}{(off|quarantine)}} 12.12.2018 11:29, Mikhail Golub пишет: Доброго времени суток. Решил вникнуть больше и довести DMARC до ума. Но увы ... появились "грабли" и вопросы. Прошу тех, кто уже "в теме" помочь и прокомментировать. 1. Чисто "косметический" вопрос. Запись подобной строки в лог отключается? (не нашел как) 2018-12-12 11:08:09 1gX0Uz-000E7f-1W DMARC results: spf_domain=gmail.com dmarc_domain=gmail.com spf_align=yes dkim_align=yes enforcement='Accept' 2. Прописанные переменные и правила для DMARC. dmarc_tld_file = /usr/local/etc/exim/dmarc/public_suffix_list.dat dmarc_history_file = /var/spool/exim/dmarc.dat dmarc_forensic_sender = postmaster@my.domain check_rcpt: приняли от своих, доверенные ... warn control = dmarc_enable_forensic check_data: приняли от своих ... warn dmarc_status = off : quarantine logwrite = TEST1: DMARC status '$dmarc_status' for $dmarc_used_domain Как видим, хочу чтобы в лог писались только статусы off и quarantine (none исключить). А на практике вижу, что пишутся и none. 2018-12-12 11:14:51 1gX0bS-000EKP-UA TEST1: DMARC status 'none' for 2018-12-12 11:14:53 1gX0bV-000EKQ-4Q TEST1: DMARC status 'none' for Например, 1gX0bV-000EKQ-4Q - это рассылка от esputnik.com 3. Решил прописать "accept dmarc_status = accept" до проверки на спам в ACL DATA. Пожалел :( Спамеры тоже совершенствуются. На днях пролезло несколько сотен писем с хостов в сети MNT-SELECTEL, имеющих корректную запись в обратной зоне, прошеших проверку SPF, DKIM и ... DMARC. Кто-то пробовал принимать без доп. проверок письма, прошедшие DMARC? 4. Отчеты DMARC, а как же без них. Сделал, рассылаются отчеты. Но что делать если в политике DMARC указан не существующий адрес? Или ящик переполнен? Может просто указать свой адрес, указывающий на blackhole и не заморачиваться? Кто как поступал? ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
Сам вызов проверки приводит к генерации записи о её результатах. 'none' это в смысле нет подписи, а не отключить проверку. Mikhail Golub писал 2018-12-13 10:12: И еще больше интересует второй вопрос. Почему при не указанном в acl статусе 'none' от всеравно выводится? -- With best regards, Max Kostikov W: https://kostikov.co | BBM: 24CA5DF8 signature.asc Description: OpenPGP digital signature ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
Я понимаю, что 'none' - это нет подписи. И если ее нет, то и в лог не должно ничего писаться по такому правилу, верно? warn dmarc_status = off : quarantine logwrite = TEST1: DMARC status '$dmarc_status' for $dmarc_used_domain Но в логе вижу кучу записей: 2018-12-12 17:02:27 1gX61q-000PFe-Ea TEST1: DMARC status 'none' for 2018-12-12 17:02:46 1gX62A-000PGF-8B TEST1: DMARC status 'none' for 13.12.2018 14:56, Max Kostikov пишет: Сам вызов проверки приводит к генерации записи о её результатах. 'none' это в смысле нет подписи, а не отключить проверку. Mikhail Golub писал 2018-12-13 10:12: И еще больше интересует второй вопрос. Почему при не указанном в acl статусе 'none' от всеравно выводится? ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
Здравствуйте. Еще прошу помощи у знающих людей. DMARC настроен. rua отправил пока на https://dmarcian-eu.com И вижу, что несколько хостов (по репортам Google) не проходят проверку DMARC. Ни DKIM, ни SPF. Скорее всего дело обстоит так. Мой сервер отправляет почту получателям в проблемном домене. У них установлена пересылка писем на персональный ящик на gmail.com. Но из-за не корректных настроек ПО (судя по приветствию там CommuniGate Pro 6.1.7) мои DKIM-подписи портятся или удаляются, а проверка SPF не проходит. Вопрос вот в чем. Насколько корректно писать админам этого домена, чтобы исправили ситуацию? Благо таких доменов за пару недель только два. Но один критичный, а другой можно игнорировать (там одно письмо было). Или подразумевается, что письма начнут попадать в спам и тот, кто установил пересылку, сам начнет искать причины? 13.12.2018 15:02, Mikhail Golub пишет: Я понимаю, что 'none' - это нет подписи. И если ее нет, то и в лог не должно ничего писаться по такому правилу, верно? warn dmarc_status = off : quarantine logwrite = TEST1: DMARC status '$dmarc_status' for $dmarc_used_domain Но в логе вижу кучу записей: 2018-12-12 17:02:27 1gX61q-000PFe-Ea TEST1: DMARC status 'none' for 2018-12-12 17:02:46 1gX62A-000PGF-8B TEST1: DMARC status 'none' for 13.12.2018 14:56, Max Kostikov пишет: Сам вызов проверки приводит к генерации записи о её результатах. 'none' это в смысле нет подписи, а не отключить проверку. Mikhail Golub писал 2018-12-13 10:12: И еще больше интересует второй вопрос. Почему при не указанном в acl статусе 'none' от всеравно выводится? ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
> DMARC настроен. > rua отправил пока на https://dmarcian-eu.com > И вижу, что несколько хостов (по репортам Google) не проходят проверку > DMARC. > Ни DKIM, ни SPF. > Скорее всего дело обстоит так. > Мой сервер отправляет почту получателям в проблемном домене. У них > установлена пересылка писем на персональный ящик на gmail.com. > Но из-за не корректных настроек ПО (судя по приветствию там CommuniGate Pro > 6.1.7) мои DKIM-подписи портятся или удаляются, а проверка SPF не проходит. Вот другой пример - это ваше сообщение в этот mailing list: > Received: from ikke.mailground.net ([204.109.60.111]) > by lena.kiev.ua with esmtps (TLSv1:AES256-SHA:256) > (Exim 4.91 (FreeBSD)) > (envelope-from ) > DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; > t=1545391518; > s=dkim; d=gmn.org.ua; i=g...@gmn.org.ua; > To: exim-users @ mailground.net > From: Mikhail Golub Тоже не проходит проверку ни DKIM, ни DMARC. И таких listserver-ов пруд пруди. Поэтому использовать что-то кроме none в DMARC доменов, где есть почтовые ящики живых людей, а не только роботов и официальных рассылок от организаций, - простреливать себе ногу. Авторам стандарта DKIM наплевать на живых людей, использующих форвардеры и discussion mailing lists. А мне не наплевать, поэтому у моего домена в DMARC p=none. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
21.12.2018 15:43, l...@lena.kiev.ua пишет: Авторам стандарта DKIM наплевать на живых людей, использующих форвардеры и discussion mailing lists. А мне не наплевать, поэтому у моего домена в DMARC p=none. Спасибо. Придется вернуться опять к политике none. Так на указывать кому-то как делать - не вариант. А поставил только 1% всего ... И одно письмо на google попало в карантин из-за описанных пересылок. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
Всё же искажение содержимого сообщений подписанных DKIM это проблема не стандарта, а списков рассылки (их администраторов). В том же Mailman это решаемо несколькими способами. И теперь в Exim есть поддержка ARC которая и призвана решить эти вопросы. l...@lena.kiev.ua писал 2018-12-21 15:43: Тоже не проходит проверку ни DKIM, ни DMARC. И таких listserver-ов пруд пруди. Поэтому использовать что-то кроме none в DMARC доменов, где есть почтовые ящики живых людей, а не только роботов и официальных рассылок от организаций, - простреливать себе ногу. Авторам стандарта DKIM наплевать на живых людей, использующих форвардеры и discussion mailing lists. -- With best regards, Max Kostikov W: https://kostikov.co | BBM: 24CA5DF8 signature.asc Description: OpenPGP digital signature ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
25.12.2018 23:34, Max Kostikov пишет: Всё же искажение содержимого сообщений подписанных DKIM это проблема не стандарта, а списков рассылки (их администраторов). В том же Mailman это решаемо несколькими способами. И теперь в Exim есть поддержка ARC которая и призвана решить эти вопросы. А толк от ARC есть? Интересует ли корп. сектор? ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
On 26/12/2018 10:05, Mikhail Golub wrote: > > 25.12.2018 23:34, Max Kostikov пишет: >> Всё же искажение содержимого сообщений подписанных DKIM это проблема >> не стандарта, а списков рассылки (их администраторов). >> В том же Mailman это решаемо несколькими способами. >> И теперь в Exim есть поддержка ARC которая и призвана решить эти вопросы. > > А толк от ARC есть? > Интересует ли корп. сектор? GSuite/Gmail и Office 365 поддерживают ARC. Мы экспериментировали с модификацией писем и ARC подписью в транзите с этими сервисами. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
Спасибо. Значит имеет смысл рассматривать ARC в Exim. 26.12.2018 12:46, Vsevolod Stakhov пишет: On 26/12/2018 10:05, Mikhail Golub wrote: 25.12.2018 23:34, Max Kostikov пишет: Всё же искажение содержимого сообщений подписанных DKIM это проблема не стандарта, а списков рассылки (их администраторов). В том же Mailman это решаемо несколькими способами. И теперь в Exim есть поддержка ARC которая и призвана решить эти вопросы. А толк от ARC есть? Интересует ли корп. сектор? GSuite/Gmail и Office 365 поддерживают ARC. Мы экспериментировали с модификацией писем и ARC подписью в транзите с этими сервисами. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
Проанализировал письма на полдня. Из нескольких тысяч писем подписи ARC имели только письма с домена gmail.com и домена, почта которого на zoho.com И то с gmail.com только при пересылке письма. Но в описанной ситуации (http://mailground.net/pipermail/exim-users/2018-December/002309.html) это не спасет. Письмо уходит от меня хоть с десятью подписями, но если сервер, принимающий почту от меня и пересылающий дальше на gmail.com, вырезает или портит заголовки - не поможет. 26.12.2018 12:50, Mikhail Golub пишет: Спасибо. Значит имеет смысл рассматривать ARC в Exim. ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] Exim 4.91 - DMARC
Да есть, конечно. Много кто хостится на Gmail и Office365 которые поддерживают ARC. Опять же, если ваш сервер станет его поддерживать как при проверке на приём, так и подписывая при отправке, то тоже польза будет. Я уже с полгода использую. Всё руки не доходя статью написать с деталями. Mikhail Golub писал 2018-12-26 12:05: 25.12.2018 23:34, Max Kostikov пишет: А толк от ARC есть? Интересует ли корп. сектор? -- With best regards, Max Kostikov W: https://kostikov.co | BBM: 24CA5DF8 signature.asc Description: OpenPGP digital signature ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users