Нужен ли закрытый ключ yandex pdd?

Question

[teub74]

Нужен ли закрытый ключ yandex pdd, если
Я использую smtp.yandex.ru,
Почта отправляется через postfix, но не подписываются, при доставлении.
Я настроил открытый ключ в dns настройках домена, создав txt запись.
Нужен ли мне закрытый ключ, или нужно подождать 24-48 часов, чтобы всё само заработало?

Answer 1

[Владимир Дубровин]

Если вы используете smtp.yandex.ru - вам нужно взять открытый ключ яндекса, который можно получить с dns1.yandex.ru
nslookup mail._domainkey.вашдомен dns1.yandex.ru
и опубликовать его в своей зоне как mail._domainkey.вашдомен, больше ничего делать не надо.

Если вы отправляете напрямую, то вам необходимо сгенерировать новую ключевую пару и опубликовать открытый ключ с другим селектором (не mail), например mymailsrv._domainkey.вашдомен
и самостоятельно подписывать исходящие письма селектором mymailsrv.

Comments

[teub74]

так и сделал. Прошло около 24 (+-2ч). Но почта не подписывается. В чём может быть проблема. DNS настроен, это точно у яндекса domen подтвержден. Однако почта доходит на почтовый ящик gmail, без подписи. Обычно летит в спам.

[Владимир Дубровин]

teub74: дайте информацию о домене + заголовки полученного письма, можно в личку.

[teub74]

Владимир Дубровин: еще уточнить, если я использую сервера хостинга не yandex, но постфикс настроен всё-таки на smtp.yandex.ru. То должно так работать или всё-таки нужен секретный ключ?

[Владимир Дубровин]

teub74: если вы отправляете письмо через smtp.yandex.ru с логином и паролем- то подпись будет делать он. Через что вы отправляете - через почтовую программу или через postfix не важно. Можете попробовать отправить через почтовую программу.
есть такой нюанс - DKIM может не накладываться, если письма не соответствуют стандартам. Проверьте, нет ли у вас, например, 8-битных символов в заголовках, правильно ли сформирован From, есть ли Date и Message-ID.

[teub74]

Владимир Дубровин: да есть идентификатор сообщения и создание. И почему-то сейчас добавил в spf запись. Сначала "v=spf1 redirect=_spf.yandex.net", потом изменил на "v=spf1 ip4:IP-1 include:_spf.yandex.net ~all". Сообщения приходят с пометкой отправлено с домена: examle.com, если пишу напрямую с аккаунта яндекс, а если реально через сайт, то этого нет. Может реально еще время должно пройти?

[Владимир Дубровин]

teub74: будет гораздо проще если все-таки показать заголовки письма. Возможно вы формируете неправильный адрес отправителя в SMTP-конверте (envelope-from, обычно можно посмотреть в поле Return-Path или по заголовкам Received). Убедитесь, что он совпадает с адресом From.

[Владимир Дубровин]

Во-первых, вы не генерируете Message-ID, поэтому его добавляет SMTP-сервер, а по стандарту должен генерировать MUA (т.е. в данном случае вы). Обычно этот заголовок в списке обязательных для подписи, поэтому это может создавать проблемы.
Во-вторых - вам google пишет
error in processing during lookup of accounts@example.com: DNS error
т.е. у вас проблемы с DNS-сервером, из-за этого может и DKIM-запись не видна Яндексу.

[teub74]

Владимир Дубровин: во вторых уже не пишет.

[Владимир Дубровин]

teub74: если у вас, например, один из двух серверов зоны дает ошибку, то вероятность успешного получения записи 50%. Такая же вероятность что Yandex при очередной проверке увидит, что вы добавили DKIM-запись.
Получите DKIM-запись со всех ваших серверов зон и сравните ее с DKIM-записью полученной с dns1.yandex.ru.

[teub74]

Владимир Дубровин: прикол еще в том, что даже когда через web интерфейс яндекса пишу сообщение, то он тоже dkim не ставит, зато spf ставит.

[Владимир Дубровин]

teub74: значит проблемы именно с DKIM-записью, он не будет подписывать, пока не увидит вашу запись.

[teub74]

Владимир Дубровин: главное spf яндекс практически сразу увидил (час - полчаса), а dkim чет нефига. В чем проблема, то может быть. Сначала подумал, что dkim неправильно опубликовал, хотя вроде все верно. Правда TTL в DNS по дефолту 3600, может из-за этого? Или я dkim txt запись неверную взял, хотя в правому углу с сайта яндекса на странице своего домена взял, где еще подсказка - "показать DKIM"

[Владимир Дубровин]

teub74: чем так секретен домен, что его показать нельзя? :)

[teub74]

Владимир Дубровин: не имею права

[teub74]

Владимир Дубровин: вот какой результат я получил из nslookup -q=TXT mail._domainkey.example.com
Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
mail._domainkey.example.com text = "v=DKIM1; k=rsa; t=s; p=****************************************************************************************************"

Authoritative answers can be found from:

Из-за чего это может быть?
А Ваш пример:

nslookup mail._domainkey.example.com dns1.yandex.ru

Дал вот такой результат:
Server: dns1.yandex.ru
Address: 2a02:6b8::213#53

*** Can't find mail._domainkey.example.com: No answer

[Владимир Дубровин]

>Из-за чего это может быть?

из-за чего может быть что?

>*** Can't find mail._domainkey.example.com: No answer

Это потому что у вас проблемы с IPv6, при этом почему-то у вас он указан как приоритетный.
попробуйте
nslookup -q=TXT mail._domainkey.example.com 213.180.204.213

[teub74]

Владимир Дубровин: да, сейчас не было ошибки.

[teub74]

Владимир Дубровин: однако такой запрос, всё равно вывел ошибку: nslookup mail._domainkey.example.com 213.180.204.213.
Результат:
Server: 213.180.204.213
Address: 213.180.204.213#53

*** Can't find mail._domainkey.example.com: No answer

[teub74]

Владимир Дубровин: dns записи если что находятся не у яндекса, а у другой компании, может быть в этом дело?

[Владимир Дубровин]

teub74: нет, у вас скорей всего просто потери в сети. Запустите пинг до 213.180.204.213 и посмотрите, теряются ли пакеты. А то что возвращает ваш сервер и сервер яндекса сравните между собой. Иногда при копировании лишние знаки \ добавляют, например, или пробелы.

[teub74]

Владимир Дубровин: нет. Вроде одинаковое число.

[mitaichik]

teub74, Дружище, удалось решить проблему? Сам сейчас мучаюсь - ситуация полностью аналогичная...