Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

DMARC - wydzielone z 'Opinie o mydevil.net'


rafii
 Udostępnij

Rekomendowane odpowiedzi

Ja się na tym nie znam od strony technicznej. Czy to znaczy, że wystarczy na dowolnym shared hostingu dodać odpowiedni rekord TXT, np.

_dmarc.mojadomena.pl 86400 IN TXT "v=DMARC1; p=reject; sp=none; adkim=s; aspf=s; rua=mailto:[email protected]; rf=afrf; pct=100; ri=86400"

i już działa mechanizm DMARC? Kto w takiej sytuacji wysyła raporty na adres [email protected] ? Ja myślałem, że na serwerze trzeba zainstalować opendmarc i odpowiednio to wszytko skonfigurować.

Edytowane przez rafii
Odnośnik do komentarza
Udostępnij na innych stronach

3 minuty temu, rafii napisał:

Ja się na tym nie znam od strony technicznej. Czy to znaczy, że wystarczy na dowolnym shared hostingu dodać odpowiedni rekord TXT, np.

_dmarc.mojadomena.pl 86400 IN TXT "v=DMARC1; p=reject; sp=none; adkim=s; aspf=s; rua=mailto:[email protected]; rf=afrf; pct=100; ri=86400"

i już działa mechanizm DMARC? Kto w takiej sytuacji wysyła raporty na adres [email protected] ? Ja myślałem, że na serwerze trzeba zainstalować opendmarc i odpowiednio to wszytko skonfigurować.


Technicznie DMARC sam z siebie nie robi nic ciekawego, poza notyfikacją dla zewnętrznego serwera co ma zrobić z odrzucaną wiadomością i istotnie sprowadza się to do rekrodu TXT.

"Kto w takiej sytuacji wysyła raporty na adres [email protected] ?" - ten kto oznaczył wiadomość jako spam ;)

Ważniejsza jest obsługa DKIM i poprawny SPF oraz RevDNS zgodny z HELO.

Przetestuj wysyłając wiadomość: https://mail-tester.com i skorzystaj z narzędzia: https://www.dmarcanalyzer.com/dmarc/dmarc-record-generator/ .

P.S. Dodam jeszcze: https://support.google.com/a/answer/2466563?hl=en 

Odnośnik do komentarza
Udostępnij na innych stronach

Od HELO zaczyna się komunikacja między dwoma serwerami, tak jeden się wita z drugim podając swoją nazwę. Serwer odbiorca sprawdza IP serwera nadawcy i korzysta z DNSa (wpis PTR) żeby rozwiązać adres IP na nazwę hosta (Reverse DNS). Jeśli to co uzyskał zgadza się z tym jak przedstawił się serwer nadawca w komunikacie HELO to się nazywa że Reverse DNS się zgadza i jest wykorzystywane przez serwery do wykrywania spamu. Jeśli nie stawiasz swojego serwera tylko korzystasz z hostingu to nic z tym nie zrobisz. mail-tester.com Cię poinformuje o tym czy jest DKIM, DMARC i czy reverse DNS się zgadza.

 

Widzę, że jesteś troszkę zielony, więc radzę ci zamiast "p=reject" dać "p=none" co sprawi, że będzie tylko testować i wysyłać raporty, ale emaili nie odrzuci. I ustaw PCT na start na mniejszą wartość np. 10 i sukcesywnie zwiększaj do 100 jeśli wszystko jest OK. Dopiero potem ustaw p na reject albo quarantine

 

Nie wiem czy zdajesz sobie sprawę, ale raporty przesyłane na adres [email protected] to będą dzienne raporty od każdego odbiorcy obsługującego dmarc który dostanie pocztę z twojej domeny i będą to czyste pliki XML. Jeśli wysyłasz dużo poczty do róznych odbiorców i pod [email protected] nie masz jakiegoś analizatora to możesz nie nadążać tego czytać.

 

PS. Może niech moderator wytnie tę część wątku z opinii o Mydevil.net bo to niewiele ma wspólnego z mydevil. 

Edytowane przez nnd.newbie
Odnośnik do komentarza
Udostępnij na innych stronach

Nie polecę żadnego, bo tak naprawdę nie używam żadnego zaawansowanego. Jak coś debuguję to przechodzę na analizę "ręczną", ewentualnie wspomagam się prostymi translatorami z XML na "ludzki". Takie są dostępne online.

 

Jak nie debuguję to używam darmowego agregatora https://dmarc.postmarkapp.com, ale on daje tylko tygodniowe bardzo uproszczone statystyki: liczbę emaili, żródła i % emaili które przeszły/nie przeszły testu SPF/DKIM.

 

 

Większy przegląd narzędzi: https://dmarc.org/resources/products-and-services/

Odnośnik do komentarza
Udostępnij na innych stronach

  • 3 tygodnie później...

ja się tylko trochę wtrącę: SPF i DKIM w zasadzie są dwa rodzaje: wychodzący i przychodzący (podpisywanie wychodzących e-maili oraz sprawdzanie podpisów w przychodzących e-mailach).

 

Wiele firm podpisuje ma poprawny SPF i podpisuje przez DKIM, ale wiele z nich potem nie sprawdza w wiadomościach przychodzących czy dane w wiadomościach przychodzących są poprawne. 

 

O ile SPF to jeszcze czasem tak, to ... zaryzykuję określenie, że _większość_ firm polskich nie sprawdza poprawności DKIM w wiadomościach przychodzących.

 

Moje doświadczenia (bo jakiś czas temu włączyliśmy u siebie sprawdzanie DKIM we wszystkich przychodzących e-mailach: https://new.smarthost.pl/blog/weryfikacja-poczty-przychodzacej-za-pomoca-klucza-dkim): 

 

Wiele firm nie udostępnia poprawnego klucza dla DKIM, zatem nie ma jak weryfikować DKIM w wiadomościach przychodzących z tych serwerów.

Jest raczej jasne, że na chwilę obecną odrzucanie wiadomości bez podpisu DKIM nie powinno mieć miejsca. Ale już odrzucanie wiadomości z niepoprawnym podpisem DKIM - w zasadzie mogłoby mieć sens - bo taki jest sens podpisywania - ktoś kto niepoprawnie podpisał - w zasadzie powinien być uznany za osobę podszywającą się po uprawnionego nadawcę. Natomiast ze względu na fakt, że naprawdę dużo firm hostingowych podpisuje (!) wiadomości wychodzące DKIM, ale w taki sposób, ze nie udostępnia kluczy, zatem nie da się po stronie odbiorcy zweryfikować poprawności podpisu zabija cały sens tego sprawdzania. My aktualnie sprawdzamy i punktujemy (bardzo nieznacznie) w score SpamAssassina.

 

Co ciekawe - większość firm, z którymi jest kłopot działają na jednym bardzo znanym i tańszym panelu hostingowym. Choć myślę, że raczej jest to spowodowane tym, że dotychczas nikt z adminów nie zajął się analizą tego problemu na swoich serwerach. 

 

W.

Odnośnik do komentarza
Udostępnij na innych stronach

4 godziny temu, smarthost napisał:

Jest raczej jasne, że na chwilę obecną odrzucanie wiadomości bez podpisu DKIM nie powinno mieć miejsca.

 

Po to masz wpis DMARC, żeby nadawca mógł Cię poinformować co masz robić z jego emailami. Jeśli ci podał, że masz odrzucać (brak klucza publicznego  też bym tak traktował), to po prostu to robisz. Natomiast arbitralne odrzucanie wpisu DKIM bez sprawdzania DMARC bym sobie darował.

 

4 godziny temu, smarthost napisał:

naprawdę dużo firm hostingowych podpisuje (!) wiadomości wychodzące DKIM, ale w taki sposób, ze nie udostępnia kluczy

Obstawiam, że żadna firma hostingowa nie podpisuje emaila kluczem prywatnym jeśli nie istnieje klucz publiczny, to w końcu nierozłączna para :) Jeśli robi to jakaś jedna firma to pewnie tragiczny błąd. Sądzę, że to raczej wina klientów tych firm, którzy strefę DNS trzymają gdzieś indziej, a brak wiedzy, nieuwaga lub po prostu ignorancja sprawia, że nie kopiują klucza publicznego.

Edytowane przez nnd.newbie
Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Udostępnij

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.