Админы, с технологией DMARC ( почта )кто-нибудь разобрался ?
Создана: 01 Июня 2016 Срд 21:50:48.
Раздел: "Компьютерный раздел"
Сообщений в теме: 27, просмотров: 13093
-
Сервер получатель смотрит на "конверт" письма каким доменом-отправителем оно подписано (но не факт, что оно им и отправлено).
Потом сервер-получатель лезет в днс и смотрит опубликованы ли в ресурсных записях домена (который якобы отправитель) политики dmarc.
Если да, то проводится сверка данных с "конверта" полученного письма с тем, что должно быть, согласно политикам настоящего домена-отправителя (spf, dkim и т.п.)
Если "конверт" соответствует политикам указанного отправителя, то письмо принимается.
Иначе режектится.
А ещё сервер-получатель сообщает серверу, указанному как отправитель, статистическую информацию о том, сколько и с каких адресов к нему поступают письма подписанные "под отправителя".
Короче для борьбы со спамом.
Кстати, надо попробовать, а то столько спама сыпется подписанного, как [внешняя ссылка] (и иже с ними), который таковым не отправлялся.
Вводить жесткую проверку spf чревато тем, что большинство рукожопых админов либо вообще не включают такую запись, либо не умеют её настроить и поэтому будет рубиться почта от большей половины энторнета.
У меня просто почтовик добавляет заголовок к получаемому письму.
Легитимен ли адрес отправителя согласно spf записи домена, которым он подписался - да/нет. И никакого решения по этой записи не принимается. -
Примерно так и понял...
Остались пара практических вопросов:
1.Администрация [внешняя ссылка] ввела на своих публичных серверах ( inbox, list и т.п.) Dmarc...похоже это коснулось и их сервисов "почта для бизнеса"? Некоторые клиенты жалуются мне на невозможность отправки письма на обслуживаемый майлом домен...
2.А если у отправителя не будет записей DMARC в DNS, такая почта будет безусловно отвергаться ? т.е. мне надо пнуть "клиентского" админа - дорогой, поправь свои записи ? -
-
-
Ну я уж не совсем "тупой юзер"....
Пока точно не могу найти, включили ли DMARC на корп.доменах [внешняя ссылка] и как поведет себя сервер включенным DMARC при отсутствии у отправителя нужной DNS-записи.... -
Если у отправителя не используется dmarc и нет соответствующего упоминания о нём в записях dns, то такие "сеансы связи" производятся на основании ранее действующих стандартов, по принятым локально политикам фильтрации спама.
Если сообщение не отправляется, клиенту даётся отлуп с указанием причины.
Нужно смотреть ответ почтовика, чем он не доволен.
Я периодически просматриваю логи своих почтовиков на предмет отвергнутых сообщений и причин.
В частности, например, авиакомпания s7 присылает инфу с адреса etix@s7.ru, который не проходит валидацию отправителя моим почтовиком (т.е. реально нет такого получателя в домене s7.ru).
Пришлось занести их зону в whitelist.
Случаев с криво настроенными почтовиками и соответствующими dns-записями масса, в том числе и у крупных сервисов типа гугла. А уж про мелкие частные почтовики и не говорю.
То у них PTR запись из разряда host56.12-34-56.dynamic.provider.net, то просто а-запись не соответствует птр и "легитимные" айпишники не включены в шаблонную spf-запись, то сервер не подтверждает отправителя, то ещё какое рукожопство. -
Ziproxy писал(а) : Если у отправителя не используется dmarc и нет соответствующего упоминания о нём в записях dns, то такие "сеансы связи" производятся на основании ранее действующих стандартов, по принятым локально политикам фильтрации спама.
Не понимаю....я не вижу в DNS отправителя dmarc записей, но он получает от моего сервера отлуп вида:
550 5.7.1 This message was not accepted due to domain owner DMARC policy (RFC 7489)
Как тогда это понимать ? -
-
Ziproxy писал(а) : В личку можно неправленное письмо с отлупом?
Или на ziproxy(гав-гав)forum.omsk.com.
Так я же его не получил....мне отправитель прислал строку ответа сервера с отлупом....
Ziproxy писал(а) :
Проверяли txt-записи для поддомена _dmarc.имя_домена_отправителя из заголовка FROM:?
Наверно я не прав, я пытался посмотреть DNS-записи общедоступными средствами, а возможно записи dmarc не отображаются ...? Вот просто например смотрю записи для [внешняя ссылка] и их не вижу....или надо не так ? -
-
StartNik писал(а) :
Наверно я не прав, я пытался посмотреть DNS-записи общедоступными средствами, а возможно записи dmarc не отображаются ...? Вот просто например смотрю записи для mail_ru и их не вижу....или надо не так ?
Причем здесь мэйл.ру?
У вас жалующиеся отправители на мэйл.ру???
А для мэйл.ру
——————————————————-
DNS records for _dmarc.mail.ru
_dmarc.mail.ru.
TTL=3600
TXT "v=DMARC1;p=reject;rua=mailto:d@rua.agari.com,mailto:dmarc_rua@corp.mail.ru;ruf=mailto:d@ruf.agari.com;fo=1;"
———————————————————
Смотреть надо именно txt-запись и именно для _dmarc.имя_домена.
Например, для винды
- nslookup>
set type=txt
_dmarc.mail.ru -
AlexAdmin писал : я пару лет назад DMARC прикрутил на форуме, уже и не помню как, но вроде работает))
dmarc заявляется в днсе для конкретного домена.
Что значит "на форуме'?
Например для домена omsk.com не настроен в принципе ни dmark, ни dkim, ни, даже spf.
И пофиг, что его mx-записи обслуживаются гугловскими почтовиками.
Они, может быть, чужие политики и проверяют, но своей не имеют. -