Упрямый opendmarc

0

2

Не получается настроить запись Dmarc, перепробовал разные варианты конфига opendmarc.conf. Записи SFP и DKIm check-auth@verifier.port25.com

Получаем

==========================================================
Summary of Results
==========================================================
SPF check:          pass
"iprev" check:      fail
DKIM check:         pass

==========================================================
Details:
==========================================================

Система centOS 5.11

содержимое opendmarc.conf

AuthservID proxy.cge.local
# AuthservIDWithJobID false
AutoRestart true
# AutoRestartCount 0
AutoRestartRate 10/1h
# Background true
# BaseDirectory /var/run/opendmarc
# ChangeRootDirectory /var/chroot/opendmarc
# CopyFailuresTo postmaster@localhost
# DNSTimeout 5
# EnableCoreDumps false
FailureReports true
# FailureReportsBcc postmaster@example.coom
# FailureReportsOnNone false
FailureReportsSentBy 13cge@13cge.ru
HistoryFile /var/spool/opendmarc/opendmarc.dat
IgnoreAuthenticatedClients true
IgnoreHosts /etc/opendkim/TrustedHosts
# IgnoreMailFrom example.com
# MilterDebug 0
PidFile /var/run/opendmarc.pid
# PublicSuffixList path
# RecordAllMessages false
RejectFailures false
# ReportCommand /usr/sbin/sendmail -t
# RequiredHeaders false
Socket inet:8893@localhost
#SoftwareHeader true
SPFIgnoreResults true
SPFSelfValidate true
Syslog true
# SyslogFacility mail
# TrustedAuthservIDs HOSTNAME
UMask 002
#UserID opendmarc:mail

запись в main.cf

milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:localhost:8891,inet:localhost:8893
#smtpd_milters = inet:localhost:8891
#non_smtpd_milters = $smtpd_milters
non_smtpd_milters = inet:localhost:8891,inet:localhost:8893

содержимое mail.log последняя запись

Aug 18 11:02:43 proxy postfix/smtpd[30803]: disconnect from unknown[46.8.61.67]
Aug 18 11:02:44 proxy postfix/smtpd[30803]: connect from mail-lj1-f171.google.com[209.85.208.171]
Aug 18 11:02:45 proxy postfix/smtpd[30803]: 2742642A8B3: client=mail-lj1-f171.google.com[209.85.208.171]
Aug 18 11:02:45 proxy postfix/cleanup[30866]: 2742642A8B3: message-id=<CAOfGbmw4v4O7K6gZ9wSdqs=uwKuKJE0k2chF4Hc5h_YOtQ9mZw@mail.gmail.com>
Aug 18 11:02:45 proxy opendkim[30782]: (unknown-jobid): mail-lj1-f171.google.com [209.85.208.171] not internal
Aug 18 11:02:45 proxy opendkim[30782]: (unknown-jobid): not authenticated
Aug 18 11:02:45 proxy opendkim[30782]: 2742642A8B3: DKIM verification successful
Aug 18 11:02:45 proxy opendmarc[30798]: 2742642A8B3: SPF(mailfrom): novikov.sla@gmail.com pass
Aug 18 11:02:45 proxy opendmarc[30798]: 2742642A8B3: gmail.com pass
Aug 18 11:02:45 proxy postfix/qmgr[26817]: 2742642A8B3: from=<novikov.sla@gmail.com>, size=2849, nrcpt=1 (queue active)
Aug 18 11:02:45 proxy postfix/virtual[30874]: 2742642A8B3: to=<razgadova_ni@13cge.ru>, relay=virtual, delay=0.57, delays=0.56/0/0/0, dsn=2.0.0, status=sent (delivered to maildir)
Aug 18 11:02:45 proxy postfix/qmgr[26817]: 2742642A8B3: removed
Aug 18 11:02:45 proxy postfix/smtpd[30803]: disconnect from mail-lj1-f171.google.com[209.85.208.171]

←	Sysvinit и автозапуск скрипта create_ap

Помощь по перенаправлению трафика

→

Так а что ты хочешь увидеть? OpenDMARC по умолчанию пишет в логи только при возникновении проблем(в отличие от OpenDKIM). Раскомментируй в конфиге «SoftwareHeader true» и смотри будет ли он проставлять заголовок в приходящие сообщения. Если да - OpenDMARC работает.

Pinkbyte ★★★★★
(18.08.23 11:30:03 MSK)

Ответ на: комментарий от Pinkbyte 18.08.23 11:30:03 MSK

Раскомментировал SoftwareHeader, заголовка нет

akm123
(18.08.23 11:45:17 MSK) автор топика

Почему ты думаешь, что не получается?

Следующая запись говорит, что проверка DMARC прошла успешно:

Aug 18 11:02:45 proxy opendmarc[30798]: 2742642A8B3: gmail.com pass

bigbit ★★★★★
(18.08.23 21:52:53 MSK)

Ответ на: комментарий от akm123 18.08.23 11:45:17 MSK

Ну тогда тебе сюда, раздел Testing and Debugging

Pinkbyte ★★★★★
(18.08.23 23:10:42 MSK)

Ответ на: комментарий от bigbit 18.08.23 21:52:53 MSK

Тест на сайте https://mxtoolbox.com/ показывает что записи dmarc нет.

akm123
(21.08.23 11:19:16 MSK) автор топика

Ответ на: комментарий от akm123 21.08.23 11:19:16 MSK

Ммм... так это тест не заголовков, это тест DNS-записи!

Покажи:

nslookup -type=TXT _dmarc.твой_домен

Pinkbyte ★★★★★
(21.08.23 12:16:19 MSK)

Ответ на: комментарий от akm123 21.08.23 11:19:16 MSK

dmarc запись должна быть на домене _dmarc.13cge.ru, а не где сейчас

akho ★
(21.08.23 12:17:57 MSK)

Ответ на: комментарий от Pinkbyte 21.08.23 12:16:19 MSK

Запись DNS находится у провайдера


A	13cge.ru	IN	3600	ip = 178.185.131.98
NS	13cge.ru	IN	3600	target = brown.i-house.ru
NS	13cge.ru	IN	3600	target = white.i-house.ru
MX	13cge.ru	IN	3600	pri = 10
target = mail.13cge.ru
TXT	13cge.ru	IN	3600	txt = v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDLjenHKcXiLwuuqV1NqnBLyhfJTHMjHbmsd88bhgXQKZXfxSqVpIJkdWa4AW+1vYidi61zzifFvHuaVK9fguGRKxWeCkxyjYpnFrIGEmC2YwHnlHj1B998b9zTJiG1/gv1Jlabv2SiZJKg/HZcTDS889HrRWkRuI/WVG2BmeCcFQIDAQAB
TXT	13cge.ru	IN	3600	txt = v=DMARC1; p=none; rua=mailto:13cge@13cge.ru
TXT	13cge.ru	IN	3600	txt = v=spf1 a mx ip4:178.185.131.98 ~all
SOA	13cge.ru	IN	3600	mname = white.i-house.ru
rname = support.i-house.ru
serial = 2010062534
refresh = 3600
retry = 1800
expire = 1209600
minimum-ttl = 3600

akm123
(21.08.23 13:59:23 MSK) автор топика

Ответ на: комментарий от akm123 21.08.23 13:59:23 MSK

Так ты неправильно добавил. Запись должна быть в _dmarc.13cge.ru, а не просто в 13cge.ru.

bigbit ★★★★★
(21.08.23 15:36:23 MSK)

Ответ на: комментарий от bigbit 21.08.23 15:36:23 MSK

Всем спасибо за помощь. ошибка была в записи DNS

akm123
(21.08.23 16:06:50 MSK) автор топика

Ответ на: комментарий от akm123 21.08.23 16:06:50 MSK

DKIM-запись тоже проверь, обычна это TXT-запись <селектор>._domainkey.<твой_домен>, а не просто <твой_домен>

Селектор надо брать из конфигов opendkim, если используется KeyTable/SigningTable(этот факт смотреть в opendkim.conf), то из /etc/opendkim/SigningTable

Pinkbyte ★★★★★
(21.08.23 17:34:42 MSK)
Последнее исправление: Pinkbyte 21.08.23 17:39:57 MSK (всего исправлений: 2)

←	Sysvinit и автозапуск скрипта create_ap

Admin

Помощь по перенаправлению трафика

→

Похожие темы