Как исправить ошибку Email rejected per DMARC policy?

Question

[Rokis]

Добрый день.

Настроил postfix, но письма не доходят до адреса. Возвращается ошибка: Email rejected per DMARC policy. Как исправить ошибку? Если нужна дополнительная информация - предоставлю. Nginx Ubuntu 18.04. php-fpm-7-3.

Задача сделать, чтобы просто отправлялось сообщение из php формы на почту. Ранее делал это через sendmail, но там стала появляться такая же ошибка. В Google не могу ничего конкретного найти. У меня настроена SMTP авторизация для другого сайта и это работает. Но мне нужно элементарно отправить данные из формы на почту. Без SMTP.

Логи:

Nov  5 16:52:21 ih120 postfix/pickup[2281]: C17828D02: uid=33 from=<www-data>
Nov  5 16:52:21 ih120 postfix/cleanup[2288]: C17828D02: message-id=<20221105135221.C17828D02@ih120.vds.myihor.ru>
Nov  5 16:52:21 ih120 postfix/qmgr[2282]: C17828D02: from=<www-data@ih120.vds.myihor.ru>, size=703, nrcpt=3 (queue active)
Nov  5 16:52:22 ih120 postfix/smtp[2300]: C17828D02: to=<test@inbox.ru>, relay=mxs.mail.ru[217.69.139.150]:25, delay=0.47, delays=0.01/0.01/0.07/0.38, dsn=5.7.1, status=bounced (host mxs.mail.ru[217.69.139.150] said: 550 5.7.1 This message was not accepted due to domain (ih120.vds.myihor.ru) owner DMARC policy (RFC 7489) https://help.mail.ru/mail-help/postmaster/dmarc (in reply to end of DATA command))
Nov  5 16:52:22 ih1201968 postfix/smtp[2301]: C17828D02: to=<test2@yandex.ru>, relay=mx.yandex.ru[77.88.21.249]:25, delay=0.6, delays=0.01/0.02/0.05/0.51, dsn=5.7.1, status=bounced (host mx.yandex.ru[77.88.21.249] said: 550 5.7.1 Email rejected per DMARC policy for ih120.vds.myihor.ru 1667656342-LjRp9OnNuG-qLaGenE5 (in reply to end of DATA command))
Nov  5 16:52:25 ih120 postfix/smtp[2290]: C17828D02: to=<test3@mail.ru>, relay=cesp00-in.mss.bi.zone[185.163.158.161]:25, delay=4.1, delays=0.01/0/3.9/0.22, dsn=5.0.0, status=bounced (host cesp00-in.mss.bi.zone[185.163.158.161] said: 550 See http://spf.pobox.com/why.html?sender=www-data%40ih120.vds.myihor.ru&ip=384.5.249.93&receiver=msk-esg01.mss.bi.zone (#5.7.1) (in reply to RCPT TO command))
Nov  5 16:52:25 ih120 postfix/cleanup[2288]: E980F8D03: message-id=<20221105135225.E980F8D03@ih120.vds.myihor.ru>
Nov  5 16:52:25 ih120 postfix/qmgr[2282]: E980F8D03: from=<>, size=4055, nrcpt=1 (queue active)
Nov  5 16:52:25 ih120 postfix/bounce[2293]: C17828D02: sender non-delivery notification: E980F8D03
Nov  5 16:52:25 ih120 postfix/qmgr[2282]: C17828D02: removed
Nov  5 16:52:25 ih120 postfix/local[2294]: E980F8D03: to=<www-data@ih120.vds.myihor.ru>, relay=local, delay=0.01, delays=0/0/0/0.01, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")
Nov  5 16:52:25 ih120 postfix/qmgr[2282]: E980F8D03: removed

Comments

[shurshur]

Чтобы отправлять почту, в наше время нужно выполнить много условий?

1. Нужна PTR-запись для IP отправителя, и должна существовать соответствующая A-запись (например, 111.22.33.44 указывает на mail.site.ru, должна существовать A-запись для mail.site.ru, необязательно на тот же IP).

2. Нужно описать SPF (TXT-запись с v=spf1 у домена site.ru), по которому данный IP должен быть доверенным для отправки почты.

3. Нужно настроить DKIM и подписывать письма ключом, публичная часть которого описана в DNS.

4. Должна быть описана политика DMARC в TXT-записи _dmarc.site.ru. При этом если там указано p=reject, то получателю предписывается полностью отвергать почту от недоверенных отправителей.

Вот вероятнее всего что-то из этого сделано не так.

[paran0id]

shurshur, такое в ответы надо постить

добавлю ссылочку на валидатор, который покажет, что нужно донастроить
https://mxtoolbox.com/DMARC.aspx

Answer 1

[shurshur]

Чтобы отправлять почту, в наше время нужно выполнить много условий?

1. Нужна PTR-запись для IP отправителя, и должна существовать соответствующая A-запись (например, 111.22.33.44 указывает на mail.site.ru, должна существовать A-запись для mail.site.ru, необязательно на тот же IP).

2. Нужно описать SPF (TXT-запись с v=spf1 у домена site.ru), по которому данный IP должен быть доверенным для отправки почты.

3. Нужно настроить DKIM и подписывать письма ключом, публичная часть которого описана в DNS.

4. Должна быть описана политика DMARC в TXT-записи _dmarc.site.ru. При этом если там указано p=reject, то получателю предписывается полностью отвергать почту от недоверенных отправителей.

Вот вероятнее всего что-то из этого сделано не так.

Полезно также использовать https://mxtoolbox.com/DMARC.aspx и другие инструменты на том же сайте (отдельная благодарность paran0id за напоминание).

Comments

[Rokis]

Условий немало сравнивая с тем, что раньше было достаточно добавить php код для обработки формы и письма доставлялись без каких-либо проблем. Настройка почты на сервере - больная тема для меня.

Пробую разобраться:

1) Добавил запись A вида mail.mysite.ru > 111.11.11.11
2) Добавил запись TXT вида mysite.ru > v=spf1 ip4:111.11.111.11 -all
3) Настроил DKIM по этой статье https://serveroid.com/ru/kb/dkim-spf-postfix.html , но тестер показывает что ничего не изменилось.
4) Добавил запись TXT вида _dmarc.mysite.ru > v=DMARC1;p=none

Письма так же не отправляются. Только тестовое письмо с сервера (с адреса mysite.ru) стало отправляться и то в папку спама.

Возможно есть более простое решение для отправки писем на php через mail()? Неважно кто отправитель. Неважно попадут ли в папку спам. У меня после каждого пункта появляются несколько индивидуальных вопросов, на которые я не могу найти ответы в поиске.

1) Если я хочу отправлять почту от имени сервера (чтобы на каждый домен не настраивать свой адрес отправки), то mail.mysite.ru нужно будет заменить на имя сервера (в моём случае www-data@ih120.vds.myihor.ru)? Мне неважно с какого адреса отправляются письма. Лишь бы доходили хотя бы в спам.
2) Как сделать так, чтобы моя php форма могла доставлять письма используя все эти настройки?
3) С какого адреса будут отправляться письма через мою форму mail.mysite.ru или mysite.ru?
4) Если я буду использовать php форму с функцией mail() на другом домене, то все эти правила не будут работать на такие письма?
5) Где я могу посмотреть имя приватного ключа?
6) Как узнать где конкретно я неверно указал настройки DKIM (так, как он не работает)?

Тестер показывает, что я ничего не настроил.

[shurshur]

Rokis,

Условий немало сравнивая с тем, что раньше было достаточно добавить php код для обработки формы и письма доставлялись без каких-либо проблем.

И это приводило просто к гигантским, чудовищным объёмам спама. Потому что достаточно было найти уязвимость в любом фреймворке - и тысячи сайтов в интернетах начинали заваливать спамом вообще всех.

Поэтому нынешние правила контроля отправителей - они правильные и неопходимые.

но тестер показывает что ничего не изменилось.

Значит, надо разбираться. В тестовом письме появился заголовок DKIM-Signature? Если нет, значит, настроено было неправильно.

Мне кстати эта статья сразу же не очень нравится, поскольку там предлагают unix-сокет заменить на inet. Это имеет смысл только если надо разнести opendkim и postfix на разные серверы, а на одном сервере-то зачем? Впрочем, это несущественная мелочь (тем более opendkim вешается на localhost, недоступный из инета) и на работоспособность не должна влиять.

Только тестовое письмо с сервера (с адреса mysite.ru) стало отправляться и то в папку спама.

Да, потому что DMARC - это рекомендация, а не приказ. Сервер получателя принимает решение на основе комплекса факторов. Спамеры тоже не дураки и пытаются всех обманывать, см. например https://qna.habr.com/q/5993

Обычно применяется подход на основе оценок разных факторов, и суммарная оценка письма является суммой. Вот для примера типичный спам в моём ящике:

X-Spam-Flag: YES
X-Spam-Score: 6.821
X-Spam-Level: ******
X-Spam-Status: Yes, score=6.821 tagged_above=-999 required=5
     tests=[BAYES_50=2.5, DATE_IN_FUTURE_03_06=3.027,
     NO_FM_NAME_IP_HOSTN=0.001, PDS_BTC_ID=0.499, RDNS_NONE=0.793,
     SPF_NONE=0.001] autolearn=no autolearn_force=no

Для теста можно использовать этот сервис https://dkimvalidator.com/ , туда отправляешь письмо, на сайте показывается, каким оно пришло, со всеми заголовками и информацией о проверке его SpamAssassin. Вот дальше это этого и надо плясать.

Возможно есть более простое решение для отправки писем на php через mail()?

Да, такое решение есть и только одно, использовать чужой сервер, который уже настроен как надо и будет доверять серверу с твоим IP, пропуская от него любую почту. Но вряд ли кто-то бесплатно такое предоставит незнакомцу.

1. Сервер получателя не проверяет имя сервера как таковое. Он берёт IP сервера и делает с ним стандартные проверки: наличие PTR-записи, наличие для полученного имени A-записи, присутствие IP в DNSBL

Имя указывается не в одном месте: это и адрес, указываемый в команде MAIL From протокола SMTP, и адрес, указываемый в заголовке From: письма. Эти адреса могут различаться. Почтовый сервер получает и проверяет первый адрес (хотя далее спам-фильтр может проверить всё содержимое письма, включая заголовок From:), а получатель видит второй.

Например, если сервер отправителя передал MAIL From:foobar@site.ru, то сервер получателя проверит, что IP отправителя подпадает под SPF в TXT-записи домена site.ru (SPF домена хостера проверяться не будет), и добавит соответствующую оценку в спам-фильтр (такую, как SPF_PASS, SPF_FAIL, SPF_NEUTRAL).

2. php должен быть настроен на отправку писем через правильный почтовик. В данном случае - надо проверить sendmail_path в php.ini. В доставленном письме по заголовкам Received: должно быть видно, что письмо прошло через свой локальный postfix.

3. Получатели будут видеть то, что написано в заголовке From: письма. Туда можно в теории написать что угодно, хоть trump@whitehouse.gov.

4. Почтовый сервер можно настроить на отправку с разными доменами. Например, пусть есть сервер mail.server.ru, можно в домене server.ru вообще не настраивать OSPF/DKIM/DMARC, а настроить в доменах site.ru и project.ru, далее с сервера отправлять именно с этими адресами. В специально для этого OpenDKIM можно настроить разные ключи на разные домены.

5. Приватный ключ по той инструкции лежит в /etc/postfix/dkim/домен.private. Рядом кладётся публичный, который надо прописатьв в DNS (там в файлике готовая строчка для вставки в доменную зону TXT-записи). Приватный ключ, разумеется, никому показывать нельзя, он должен храниться только на этом сервере.

6. Надо смотреть, что пишут тестеры, тот же dkimvalidator. В письме должен появиться заголовок DKIM-Signature. Надо также обратить внимание на проверки SpamAssassin и целенаправленно решать всё что там существенно мешает. Например, если там SPF_FAIL, то исказть, где именно в SPF что-то пошло не так.

[Rsa97]

Rokis,

Возможно есть более простое решение для отправки писем на php через mail()?

Более простое решение - использовать PHPMailer и отправлять почту через SMTP-сервер, на котором у вас есть учётка, например через mail.ru. Тогда все проблемы с настройкой почтового сервера остаются на его владельце, а вы просто работаете как клиент.

[Rokis]

shurshur, Благодарю за исчерпывающий ответ. Теперь принцип работы мне стал более менее понятен.

Учитывая сколько здесь нюансов необходимо проверять - принял решение сделать через SMTP для каждого домена через Яндекс. Это точно будет быстрее, потому что я уже 2 дня потратил на решение проблем с доставкой писем.

Буду разбираться как доработать свою PHP форму для использования SMTP. На одном из сайтов письма с использованием SMTP через Яндекс - приходят мгновенно, и всегда без проблем.

[shurshur]

Rokis, главное чтоб теперь не ломанули, потому что сражаться потом с яндексом приятного мало :)