Skocz do zawartości
rafii

DMARC - wydzielone z 'Opinie o mydevil.net'

Polecane posty

21 godzin temu, rafii napisał:

 

@MyDevil.net Kiedy wdrożycie DMARC?

to tylko rekord DNS, co tu wdrażać ?

 

DMARC dodaje się tak by dopasować pod wymagania projektu/firmy.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Napisano (edytowany)

Jemu chyba chodzi o to żeby MyDevil.net obsługiwał DMARC jako odbiorca czyli zaczął stosować się do wpisów DMARC nadawcy i wykonywał odpowiednie akcje.

Edytowano przez nnd.newbie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Napisano (edytowany)

Ja się na tym nie znam od strony technicznej. Czy to znaczy, że wystarczy na dowolnym shared hostingu dodać odpowiedni rekord TXT, np.

_dmarc.mojadomena.pl 86400 IN TXT "v=DMARC1; p=reject; sp=none; adkim=s; aspf=s; rua=mailto:rua@mojadomena.pl; rf=afrf; pct=100; ri=86400"

i już działa mechanizm DMARC? Kto w takiej sytuacji wysyła raporty na adres rua@mojadomena.pl ? Ja myślałem, że na serwerze trzeba zainstalować opendmarc i odpowiednio to wszytko skonfigurować.

Edytowano przez rafii

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
3 minuty temu, rafii napisał:

Ja się na tym nie znam od strony technicznej. Czy to znaczy, że wystarczy na dowolnym shared hostingu dodać odpowiedni rekord TXT, np.


_dmarc.mojadomena.pl 86400 IN TXT "v=DMARC1; p=reject; sp=none; adkim=s; aspf=s; rua=mailto:rua@mojadomena.pl; rf=afrf; pct=100; ri=86400"

i już działa mechanizm DMARC? Kto w takiej sytuacji wysyła raporty na adres rua@mojadomena.pl ? Ja myślałem, że na serwerze trzeba zainstalować opendmarc i odpowiednio to wszytko skonfigurować.


Technicznie DMARC sam z siebie nie robi nic ciekawego, poza notyfikacją dla zewnętrznego serwera co ma zrobić z odrzucaną wiadomością i istotnie sprowadza się to do rekrodu TXT.

"Kto w takiej sytuacji wysyła raporty na adres rua@mojadomena.pl ?" - ten kto oznaczył wiadomość jako spam ;)

Ważniejsza jest obsługa DKIM i poprawny SPF oraz RevDNS zgodny z HELO.

Przetestuj wysyłając wiadomość: https://mail-tester.com i skorzystaj z narzędzia: https://www.dmarcanalyzer.com/dmarc/dmarc-record-generator/ .

P.S. Dodam jeszcze: https://support.google.com/a/answer/2466563?hl=en 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@Spoofy pięknie dziękuję za wyjaśnienie. Czym jest "HELO" bo jakoś nie mogę znaleźć.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Napisano (edytowany)

Od HELO zaczyna się komunikacja między dwoma serwerami, tak jeden się wita z drugim podając swoją nazwę. Serwer odbiorca sprawdza IP serwera nadawcy i korzysta z DNSa (wpis PTR) żeby rozwiązać adres IP na nazwę hosta (Reverse DNS). Jeśli to co uzyskał zgadza się z tym jak przedstawił się serwer nadawca w komunikacie HELO to się nazywa że Reverse DNS się zgadza i jest wykorzystywane przez serwery do wykrywania spamu. Jeśli nie stawiasz swojego serwera tylko korzystasz z hostingu to nic z tym nie zrobisz. mail-tester.com Cię poinformuje o tym czy jest DKIM, DMARC i czy reverse DNS się zgadza.

 

Widzę, że jesteś troszkę zielony, więc radzę ci zamiast "p=reject" dać "p=none" co sprawi, że będzie tylko testować i wysyłać raporty, ale emaili nie odrzuci. I ustaw PCT na start na mniejszą wartość np. 10 i sukcesywnie zwiększaj do 100 jeśli wszystko jest OK. Dopiero potem ustaw p na reject albo quarantine

 

Nie wiem czy zdajesz sobie sprawę, ale raporty przesyłane na adres rua@mojadomena.pl to będą dzienne raporty od każdego odbiorcy obsługującego dmarc który dostanie pocztę z twojej domeny i będą to czyste pliki XML. Jeśli wysyłasz dużo poczty do róznych odbiorców i pod rua@mojadomena.pl nie masz jakiegoś analizatora to możesz nie nadążać tego czytać.

 

PS. Może niech moderator wytnie tę część wątku z opinii o Mydevil.net bo to niewiele ma wspólnego z mydevil. 

Edytowano przez nnd.newbie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@nnd.newbie również pięknie dziękuję za wyjaśnienie.

49 minut temu, nnd.newbie napisał:

PS. Może niech moderator wytnie tę część wątku z opinii o Mydevil.net bo to niewiele ma wspólnego z mydevil. 

Podpisuję się pod tym postulatem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie polecę żadnego, bo tak naprawdę nie używam żadnego zaawansowanego. Jak coś debuguję to przechodzę na analizę "ręczną", ewentualnie wspomagam się prostymi translatorami z XML na "ludzki". Takie są dostępne online.

 

Jak nie debuguję to używam darmowego agregatora https://dmarc.postmarkapp.com, ale on daje tylko tygodniowe bardzo uproszczone statystyki: liczbę emaili, żródła i % emaili które przeszły/nie przeszły testu SPF/DKIM.

 

 

Większy przegląd narzędzi: https://dmarc.org/resources/products-and-services/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ja się tylko trochę wtrącę: SPF i DKIM w zasadzie są dwa rodzaje: wychodzący i przychodzący (podpisywanie wychodzących e-maili oraz sprawdzanie podpisów w przychodzących e-mailach).

 

Wiele firm podpisuje ma poprawny SPF i podpisuje przez DKIM, ale wiele z nich potem nie sprawdza w wiadomościach przychodzących czy dane w wiadomościach przychodzących są poprawne. 

 

O ile SPF to jeszcze czasem tak, to ... zaryzykuję określenie, że _większość_ firm polskich nie sprawdza poprawności DKIM w wiadomościach przychodzących.

 

Moje doświadczenia (bo jakiś czas temu włączyliśmy u siebie sprawdzanie DKIM we wszystkich przychodzących e-mailach: https://new.smarthost.pl/blog/weryfikacja-poczty-przychodzacej-za-pomoca-klucza-dkim): 

 

Wiele firm nie udostępnia poprawnego klucza dla DKIM, zatem nie ma jak weryfikować DKIM w wiadomościach przychodzących z tych serwerów.

Jest raczej jasne, że na chwilę obecną odrzucanie wiadomości bez podpisu DKIM nie powinno mieć miejsca. Ale już odrzucanie wiadomości z niepoprawnym podpisem DKIM - w zasadzie mogłoby mieć sens - bo taki jest sens podpisywania - ktoś kto niepoprawnie podpisał - w zasadzie powinien być uznany za osobę podszywającą się po uprawnionego nadawcę. Natomiast ze względu na fakt, że naprawdę dużo firm hostingowych podpisuje (!) wiadomości wychodzące DKIM, ale w taki sposób, ze nie udostępnia kluczy, zatem nie da się po stronie odbiorcy zweryfikować poprawności podpisu zabija cały sens tego sprawdzania. My aktualnie sprawdzamy i punktujemy (bardzo nieznacznie) w score SpamAssassina.

 

Co ciekawe - większość firm, z którymi jest kłopot działają na jednym bardzo znanym i tańszym panelu hostingowym. Choć myślę, że raczej jest to spowodowane tym, że dotychczas nikt z adminów nie zajął się analizą tego problemu na swoich serwerach. 

 

W.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
4 godziny temu, smarthost napisał:

Jest raczej jasne, że na chwilę obecną odrzucanie wiadomości bez podpisu DKIM nie powinno mieć miejsca.

 

Po to masz wpis DMARC, żeby nadawca mógł Cię poinformować co masz robić z jego emailami. Jeśli ci podał, że masz odrzucać (brak klucza publicznego  też bym tak traktował), to po prostu to robisz. Natomiast arbitralne odrzucanie wpisu DKIM bez sprawdzania DMARC bym sobie darował.

 

4 godziny temu, smarthost napisał:

naprawdę dużo firm hostingowych podpisuje (!) wiadomości wychodzące DKIM, ale w taki sposób, ze nie udostępnia kluczy

Obstawiam, że żadna firma hostingowa nie podpisuje emaila kluczem prywatnym jeśli nie istnieje klucz publiczny, to w końcu nierozłączna para :) Jeśli robi to jakaś jedna firma to pewnie tragiczny błąd. Sądzę, że to raczej wina klientów tych firm, którzy strefę DNS trzymają gdzieś indziej, a brak wiedzy, nieuwaga lub po prostu ignorancja sprawia, że nie kopiują klucza publicznego.

Edytowano przez nnd.newbie

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dołącz do rozmowy

Możesz pisać i zarejestrować się później. Jeśli masz konto,Zaloguj się teraz, aby publikować na swoim koncie.

Gość
Odpowiedz...

×   Wklejony jako tekst z formatowaniem.   Wklej jako zwykły tekst

  Dozwolonych jest tylko 75 emoji.

×   Twój link będzie automatycznie osadzony.   Wyświetlać jako link

×   Twoja poprzednia zawartość została przywrócona.   Wyczyść edytor

×   Nie możesz wkleić zdjęć bezpośrednio. Prześlij lub wstaw obrazy z adresu URL.


  • Podobna zawartość

    • Przez t9omek
      Cześć, chciałbym skonfigurować VPN (PPTP lub OpenVPN) na urządzeniu Synology ds115j. Wydaje mi się że wszystkie ustawienia są poprawne, jednak przy próbie połączenia otrzymuje błąd. Czy jesteście możecie mi coś podpowiedzieć ?
       
      2a01:11bf:410a:b00:211:32ff:fe8c:8d7c - to Synology ds115j
       

       

       

       

       
       
    • Przez Puzzel
      Hej,
      Potrzebuje jakiegoś konta / serwera stricte pod backup prywatnych danych pojemność myślę że maks 100GB. Dostęp minimum po sftp. Zależy mi oczywiście na jak najniższej cenie. Co możecie mi polecić?
    • Przez MyDevil.net
      CYBER MONDAY na MyDevil.net!

      Wszystkie nowe jak i przedłużane konta hostingowe oraz VPN kosztują teraz **50% mniej!
       
      Aby skorzystać ze zniżki przy zamówieniu należy użyć kodu:
      CYBER
       
      https://mydevil.net
       
      Kod jest ważny tylko dzisiaj, do godziny 23:59.
       
       

    • Przez Robert
      Witam
       
      Na kilku laptopach z Win 10 mam skonfigurowane połączenie VPN, za jego pośrednictwem mobilni użytkownicy łączą się z firmowym ERP.
       
      Szukam sposobu na ukrycie tego połączenia, zdarza się że użytkownik przez "pomyłkę" rozłączy połączenie VPN, później tłumaczy się że nie działał ERP więc nie mógł zrobić to co miał zlecone ... 
  • Kto przegląda   0 użytkowników

    Brak zalogowanych użytkowników przeglądających tę stronę.

×
×
  • Utwórz nowe...

Ważne informacje

Korzystając z forum, wyrażasz zgodę na: Warunki korzystania z serwisu, Regulamin, Polityka prywatności.