ARC в exim

поставить мильтр типа openarc. Общаться через readsocket.

остальное тут https://bugs.exim.org/show_bug.cgi?id=2162

Понял - просто подождать надо когда таки внедрят

Поддержка ARC появилась в 4.91

Эх, ещё бы хоть одну нормальную инструкцию на русском как это настраивать :)

самая простая настройка: acl_check_data:

warn verify = arc

warn logwrite = ARC_state: <$arc_state> condition = ${if def:arc_state_reason} logwrite = reason: <$arc_state_reason>

accept add_header = :at_start:${authresults {$primary_hostname}}

remote_smtp: driver = smtp dkim_domain = DKIM_DOMAIN dkim_selector = mail dkim_private_key = DKIM_PRIVATE_KEY dkim_sign_headers = mime-version:in-reply-to:references:from:date:message-id:subject:to arc_sign = $primary_hostname : mail : /etc/exim4/dkim_key/ххх.private

1. arc подписывают входящую почту до форварда. т.е. свой dkim в remote_smtp, а свой arc в local_smtp.

2. лучше это делать разными селекторами.

А с таким вариантом доставки входящей почты: # Доставка локальным адресатам dovecot_delivery: driver = appendfile mode_fail_narrower = false envelope_to_add = true return_path_add = true user = nobody group = nogroup mode = 0666 directory = /var/mail/$domain/$local_part@$domain create_directory = true maildir_format

Получается никак?

ну получается что так. Логика: создать свой authres - подписать входящее письмо и свой резалт. Т.е. делать это на mx. Далее положить в ящик или отдать на форвард.

С т.з. конечного своего ящика свой arc не очень интересен. ну и кстати доставка аппендом не через lda/lmtp тоже не хорошо.

С этим разобрался, а проверку как делать? Вроде по документации делал, а ерунда какая то, в дебаг логе такое:

using ACL «acl_check_data»
17:13:31 102080 processing «warn»
17:13:31 102080 check verify = arc
17:13:31 102080 ARC: collecting arc sets
17:13:31 102080 ARC verify result none NULL

и уходит на следующую проверку(проверка стоит в acl_smtp_data), в самом логе exim:

ARC_state: none

В письме след строчка добавляется:

Authentication-Results: ххх.ru;
iprev=pass (mail-wr0-f170.google.com);
spf=pass smtp.mailfrom=gmail.com;
dkim=pass header.d=gmail.com header.s=20161025 header.a=rsa-sha256;
dmarc=pass header.from=gmail.com;
arc=none

При этом точно знаю что у гугла есть подпись, и видимо из-за этого и не ставятся дополнительные хейдеры в письмо типа: ARC-seal и так далее.

По поводу ARC-seal сделал подпись писем и все ок теперь, осталось разобраться с проверками.

check verify = arc проверяет ARC-* заголовки. У гугла на исходящем нет их. Они нужны только для форварда, поэтому гугл их добавляет на мх на случай форварда. Надо поставить на гуглоящике пересылку и потестировать форварденное гуглом письмо.

тогда получается все работает, да форвардернное письмо гуглом, то да, меняется на это:

Authentication-Results:
arc=pass (i=1);

Получается если я тоже подписываю ARC свои исходящие письма то и у гугла меняется вид на:

Authentication-Results: mx.google.com;
dkim=pass header.i=@xxx header.s=mail header.b=YQ2y95bj;
arc=pass (i=1);
spf=pass (google.com: domain of xxx designates xx.xx.xx.xx as permitted sender) smtp.mailfrom=xxx.ru;
dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=xxx.ru

Тогда вопрос, стоит ли оставлять подпись и на отправляемые письма или подписывать только входящие, для последующей оценки спама?

на счет своих исходящих не обязательно. гугл на свои не ставит arc. только на форварды из чужих доменов.

Спасибо за консультацию