Ответы пользователя по тегу DKIM
  • Почему проверка DMARC не удалась?

    В этом письме нет проблемы с DMARC, он проходит, письмо попадает в спам по другим причинам - из-за содержимого или репутации сервера.
    Можно написать на postmaster@corp.mail.ru приложив заголовки письма - там ответят про причину и что делать.

    P.S.
    helo=vm113747.local
    у этого сервера неправильно настроено имя, в HELO должно быть нормальное имя хоста. Скорей всего, так же есть проблемы и с PTR-записью.
    Вот здесь:
    https://habrahabr.ru/company/mailru/blog/239963/
    по пунктам расписано, что еще стоит проверить.
    Ответ написан
    Комментировать
  • Настройка Dkim. Куда перекинуть приватный ключ?

    Приватный ключ конфигурируется на стороне MTA для подписи исходящих писем, например в настройках OpenDKIM или конфигурации exim.
    Ответ написан
    Комментировать
  • Удалить DKIM или добавить еще одну запись?

    вообще не понятно что вы хотите спросить, т.к. из вопроса не понятно кто из вас не прав: вы, сотрудник службы поддержки или ваше понимание ответа сотрудника поддержки. Что касается DKIM:

    1. DKIM должен быть
    2. В одном письме может быть несколько DKIM-Signature, например одна от хостера и одна от вашего домена. Удаление "лишней" DKIM-Signature скорей всего не скажется существенно на доставке.
    3. Наличие корректной DKIM-Signature домена, совпадающего с доменом в поле From: крайне желательно, при наличии DMARC - обязательно.
    4. Разделить DKIM для почты и сайта можно (и нужно), опубликуйте для сайта отдельный DKIM-ключ с отдельным селектором в DNS и используйте его.

    Судя по описанию проблемы, DKIM к ней вообще отношения не имеет. Пройдитесь по рекомендациям в этой статье, в частности, обязательно проверьте SMTP-конверт.
    Ответ написан
    Комментировать
  • Как определить кто передает ключ DKIM?

    Смотрите по Received'ам, не проходило ли ваше письмо через MTA дважды (например до и после спам-фильтра или антивирусного фильтра), не подключено ли лишних milter'ов в MTA, не подключен ли встроенный функционал DKIM в MTA (есть, например, в exim).

    P.S. И не лишний публичный ключ, а лишняя DKIM-подпись. Ключа для селектора mail у вас как раз и нет.
    Ответ написан
  • Настройка DKIM для Postfix не работает, что не так?

    Если письма отправляете без авторизации, то надо прописать IP адреса клиентов, для которых письма подписываются, в
    /etc/opendkim/TrustedHosts
    проверьте разрешения на все используемые файлы.
    Если это не поможет, посмотрите все что есть в mail.log при отправке письма.
    Ответ написан
    Комментировать
  • Gmail: DKIM FAILS. Как бороться?

    h=From:Date:Subject:To:From
    если только Вы не добавили From в OversignHeaders в opendkim.conf, это означает что в вашем письме было два поля From:, что не соответствует стандарту RFC2822/ RFC5322. Скорей всего, на GMail второй заголовк был удален при нормализации письма, что привело к нарушению DKIM-сигнатуры.

    Если вы все-таки добавили From в OversignHeaders, то дайте полностью письмо, пришедшее на GMail.
    Ответ написан
    Комментировать
  • Нужен ли DKIM при отправке через SMTP?

    Сам по себе DKIM не дает ни плюсов ни минусов. Все зависит от того, зачем вы хотите подписывать письма DKIM. Если отслеживать статистику в службах типа postmaster.mail.ru - вы можете дополнительно подписать письмо DKIM'ом своего домена и оно будет зачтено в статистику вашего домена.
    Если для целей авторизации DMARC - то в этом нет смысла, т.к. необходима подпись домена от имени которого отправляется письмо, у вас нет возможности сделать такую подпись, как правило подписывает сам SMTP-сервер.
    Ответ написан
    Комментировать
  • Как настроить sfp и DKIM записи?

    В SPF надо добавить IP-адреса с которых вы рассылаете почту. Например

    v=spf1 ip4:1.2.3.4 include:_spf.google.com ~all

    Сгенерировать ключи DKIM можно например в dkimcore.org/tools/keys.html, после чего публичный ключ опубликовать в DNS, приватный прописать на сервере и включить поддержку DKIM. Где и как зависит от используемого MTA, в exim поддержка DKIM встроенная, для postfix и sendmail необходимо ставить OpenDKIM или другой аналог.
    Ответ написан
  • Как создать ключ DKIM?

    Если у вас нет высоких требований к безопасности, можете воспользоваться сервисами типа
    dkimcore.org/tools/keys.html

    Иначе лучше использовать opendkim-genkey из OpenDKIM.
    Ответ написан
    Комментировать
  • DKIM не видит google, почему?

    Вы не опубликовали DKIM-ключ для селектора mail в домене teon-svc.ru (d=teon-svc.ru; s=mail; в DKIM-Signature)), который используете для подписи:
    >host -tTXT mail._domainkey.teon-svc.ru
    Host mail._domainkey.teon-svc.ru not found: 3(NXDOMAIN)

    соответственно никто не может проверить валидность вашей подписи.
    Ответ написан
    Комментировать
  • Как перехитрить google или найти оптимальное решение?

    У вас в envelope-from используется дефолтный адрес username@fe122.hc.ru. Для fe122.hc.ru не опубликовано SPF-записи


    >host -tTXT fe122.hc.ru
    fe122.hc.ru has no TXT record


    Раньше Google при проверке SPF использовал best guess record (в данном случае имя домена совпадает с PTR-записью, поэтому SPF считался прошедшим), сейчас отказался от этого, т.к. такое поведение не совпадает со стандартами SPF и нарушает политики DMARC.

    Используйте в envelope-from адрес своего домена
    stackoverflow.com/questions/179014/how-to-change-e...
    и опубликуйте для своего домена SPF.
    Ответ написан
    Комментировать
  • Как разобраться в отчетах DMARC?

    Для отчетов можно использовать https://dmarcian.com/dmarc-xml/ - он покажет отчет в человекопонятной форме.

    1. В первом примере - действительно отсутствует DKIM-подпись на письмах. Посмотрите, в каких случаях у вас может уходить письмо без подписи, как минимум это бывает на отчетах о невозможности доставки, но там scope в spf будет не mailfrom а helo. Это может быть какое-то письмо сформированное на самом сервере и прошедшее мимо обычных механизмах доставки, на которых вы накладываете DKIM-подпись (например, если вы накладываете DKIM на письмах от авторизованных пользователей SMTP, а это письмо сформировано локально).

    2. Второй случай это редирект, он проходит DKIM-авторизацию, поэтому пройдет DMARC и будет принят даже при строгой политике. Для DMARC достаточно, чтобы адрес из From был авторизован любым из механизмов SPF или DKIM.

    3. Третий случай - скорей всего спам с поддельного адреса.
    Ответ написан
  • Как всё же подключить DKIM на EXIM + phpMailer на CentOS?

    У вас настроен лимит на размер подписываемого содержимого (l=366) и этот лимит конфликтует с размером ключа. Уберите этот лимит, его использование крайне нерекомендуется.

    P.S. временную метку (t=) я бы тоже рекомендовал убрать из подписи, иначе можете получать ошибки если у вас часы будут вперед хотя бы на секунду относительно получателя.

    P.P.S. и нормализацию используйте relaxed/relaxed, меньше проблем будет.
    Ответ написан
  • Письма не подписываются DKIM?

    У вас опубликован DKIM-ключ для селектора mail (mail._domainkey) а письмо подписано с селектором dkim (s=dkim в DKIM-Signature). Насколько я понимаю, письмо формировалось вашим сервером и DKIM-подпись добавлял он, а не яндекс. Соответственно, или поправьте селектор в настройках своего почтового сервера с dkim на mail (подойдет только в том случае, если вы используете тот же ключ, что и Яндекс) или опубликуйте публичный ключ, который он использует в записи dkim._domainkey или используйте отправку через SMTP Яндекса с авторизацией, тогда письма будет подписывать он.
    Ответ написан
    32 комментария
  • DKIM домена. Как узнать?

    А что вы имеете ввиду под DKIM домена? Если публичный ключ - то их может быть несколько с разными селекторами, они публикуются как TXT-запись selector._domainkey.example.com.

    Может быть вы имеете ввиду не DKIM, а DMARC-политику?
    Ответ написан
    Комментировать
  • Почему письма не проходят проверку DMARC?

    DMARC-SPF не проходит, потому что отправляющий сервер не попадает в SPF-политику

    >host -tTXT namskidka.ru
    namskidka.ru descriptive text "v=spf1 a mx include:spf.mandrillapp.com ?all"

    добавьте include:spf.zoho.com

    DMARC-DKIM не проходит, потому что у вас вообще нет DKIM-сигнатуры (RFC 4871), но есть устаревшая DomainKey-сигнатура (RFC 4870, в настоящее время не используется). Почему так - спросите у zoho.
    Ответ написан
    Комментировать
  • Почему DKIM не валидный?

    Возможно вы не формируете, но подписываете один из обязательных заголовков, Date: или Message-ID:, который затем добавляется сервером уже после подписи или формируете слишком длинные строки, которые разбиваются при передаче. Покажите заголовок письма с неправильной подписью с внешнего сервера.
    Ответ написан
    3 комментария
  • Как правильно формировать записи у домена?

    1. Настроить SPF
    domen.ru. IN TXT "v=spf1 a:smtp1.ru a:smtp.2.ru a:smtp3.ru ~all"
    (если у провайдера SMTP-серверов есть готовые SPF-записи лучше включить их через include)
    2. выбрать селектор DKIM, например mail1 (можно выбрать разные селекторы для разных SMTP, можно один общий)
    3. опубликовать ключ(и) DKIM для выбранного селектора(ов)
    mail1._domainkey.domen.ru. IN TXT ...
    4. настроить подпись писем парным ключом для домена domen.ru с выбранными селекторами
    5. Убедиться, что и в заголовке From: и в SMTP-конверте используется домен domen.ru. Если, например, в конверте будет подставляться обратный адрес типа blablabla@smtp1.ru то SPF будет проходить, но не будет проходить проверка DMARC через SPF, т.к. домен SPF не элайнится с доменом в From:. Отправить тестовое письмо, убедиться, что SPF и DKIM проходят именно для домена domen.ru.
    6. Опубликовать DMARC
    _dmarc.domen.ru. IN TXT "v=DMARC1;p=none;rua=mailto:dmarc-report@domen.ru;ruf=mailto:dmarc-report@domen.ru;fo=1;"
    последить за приходящими репортами.
    При необходимости, если все нормально, дальше можно перейти на ограничивающую политику DMARC (p=none заменить на p=reject).
    Ответ написан
    Комментировать
  • Как правильно сгенерить DKIM?

    Чтобы проходил DMARC, домен в подписи DKIM должен соответствовать домену из поля From: .
    Ответ написан
    Комментировать
  • Не находит файл DKIM подписи?

    Наличия файла недостаточно, необходимо чтобы это был unix socket и он слушался OpenDKIM'ом. Скорей всего, OpenDKIM создает сокет в /var/run/opendkim/, а в постфиксе вы пытаетесь открыть в /var/spool/postfix/var/run/opendkim/
    Ответ написан
    Комментировать