(Por qué) ¿Los servidores de correo electrónico dejarían de enviar informes DMARC debido a DKIM?

(Por qué) ¿Los servidores de correo electrónico dejarían de enviar informes DMARC debido a DKIM?

Tengo un servidor de correo electrónico personal que he estado ejecutando durante años; Muy rara vez ha habido problemas con el envío de correo, por lo que nunca me he puesto al día con cosas como SPF, DMARC y DKIM. Recientemente, mientras actualizaba el sistema, decidí hacer esto.

SPF fue muy simple, ya que uso una única dirección IP fija.

DMARC era casi igual de simple; Configuré esto inicialmente con una política de "ninguno" para recibir informes y lo dejé durante una semana o dos y luego lo cambié para rechazarlo.

Ahora he implementado un filtro de firma DKIM para el servidor de correo (Mensajero MTA, y no, no hay ningún producto preparado para esto). Para las partes complicadas que usédkimpy. Esto también tiene una herramienta de verificación simple que funciona en mensajes completos, realiza sus propias búsquedas, etc., lo que significa que es una prueba falsa ya que solo hay una forma de usarlo (mientras que la firma se puede configurar de varias maneras y posiblemente deja espacio para que yo lo estropee). Esto pasa mensajes que creo que deberían pasar y falla los que creo que no, por lo que estoy razonablemente satisfecho de que funciona; Lo he ejecutado en los mensajes recibidos del servidor. Actualmente, para minimizar los problemas, estoy firmando solo el cuerpo y el encabezado De.

Sin embargo, nada de mi correo llega a mis cuentas de prueba: una es de Gmail y la otra es de mi ISP. Es más, aunque ahora tengo direcciones rua y ruf en el registro DMARC, estoyno recibir ningún informe para ellos. Anteriormente, ambos funcionaban como un reloj.

Si lo único que hago es apagar el filtro(por lo que no hay señal DKIM), todo funciona de nuevo. He comprobado que el servidor realmente lo está intentando en todos los casos; los DKIM fallidos parecieron tener tiempos de espera y conexiones cerradas, lo que resultó en un aplazamiento interminable, lo que por sí solo parece un poco extraño ya que implica que el correo "rechazado" ni siquiera está siendo examinado, sin embargo, eliminar la firma es todo lo que se necesita para que lo acepten nuevamente. Lo atribuiré a ambigüedades en el registro de Courier.

Me doy cuenta de que aquí nadie está sujeto a ninguna ley, pero ¿es esa una política normal? Suponiendo que la firma DKIM sea incorrecta, ¿no debería el servidor receptor enviarme un informe DMARC al respecto?

Así que actualmente estoy en un arroyo. Aunque cosas como MXToolbox me dan gran éxito, no he encontrado un servicio gratuito que pruebe activamente la firma DKIM tomando correo, excepto uno, que parece haber hecho lo que hicieron los otros servidores: nunca acepta el correo que se supone que debe probar. (No sé si esto es una pista potencial).

Aquí están los registros DNS relevantes de dig:

  • FPS:cognitivedissonance.ca. 3600 IN TXT "v=spf1 ip4:138.197.150.177 -all"

  • DKIM:

      aporia._domainkey.cognitivedissonance.ca. 3600 IN TXT "v=DKIM1; k=rsa; h=sha256; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAosptGk+J2mdjjc7RWmcnQ3yBqx1JT/lA0bw4GJCzZ+esa0f8rjHhPiW6NnUr64Kf5h0fPEthQhYGTjjw3jAd/3EE28hGA30+jODxEK7A0+5aeI82fWa/ZZk9FvyIhf+UkkX1B0klYhCRW5r91smJ+rwYrr2B6jOrw0DReHTAZ51NACSWI7ov2mA" "UIh2l8blA8hFFBOBwxlzC+smRsYlZCKZfsSMkyS/XIm2m58QNfw/aCHp5VufSrf/hh7f6AGKTgxHfgs+8RBbYdHEM2LAMT+WYsITC3R0OYfgplzWna6PRB9lx+FFzTtT/8XClYfUJ6rwWwM4koeX0yt9gDr/03QIDAQAB"
    

    Tenga en cuenta que el FQDN del servidor de correo lo es aporia.cognitivedissonance.cay lo utilicé aporiacomo selector DKIM por falta de imaginación. El dominio de correo electrónico es solo cognitivedissonance.ca. ¿Debería utilizar el FQDN en su lugar (es decir aporia._domainkey.aporia.cognitivedissonance.ca)?

  • DMARC:

      _dmarc.cognitivedissonance.ca. 3600 IN  TXT     "v=DMARC1;p=reject;pct=100;rua=mailto:[email protected],mailto:[email protected];ruf=mailto:[email protected],mailto:[email protected]; "
    

    Hay algunos mailto adicionales para un servicio de validación de Dmarc al que me inscribí. Lamentablemente, no prueban las firmas DKIM directamente.

Finalmente, un ejemplo de firma:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple;
 d=cognitivedissonance.ca; [email protected]; q=dns/txt;
 s=aporia; t=1650468130; h=from;
 bh=3N81YR+AxHZqpkdMAh4Jti6JpRmUrlzO5bUjUoWdGeg=;
 b=kNzUid2LG8TfHoegur3JzlcktiJT+5A1E2en+IlV/GgDMZWL0Ft/4kE02LGFzb2kTMkav
 c9jLUqd2+NCrLDzVRBxgwif++vDwoljCI1X0wvbcCqhfA3uElcCuhCAtBkl/ZNqLR0H1Gjq
 XXA801KqyVrvottuv0+PmEOvqQ8skTpBvl4Da8JjQ73Zscm3/5Mfk0dGTLlggNgapszsP9z
 nt/1Oi6gzLasX933wIdLZWVex8QNfKr8+MTx6bmpVodaeklR+281u8k1zhCBu5pWrzlavUh
 CbWjUm4j3YbeztpG98r9MZOVKbJZyHaiHWcRa1vEq3Cz8AEnRyRkQhd5WtvA==

Respuesta1

Finalmente encontré un validador DKIM en línea:https://www.appmaildev.com/en/dkimProbarán la carga de un correo existente o le darán una dirección de prueba para enviarlo.

No estoy 100% seguro de cuál era el problema original, porque cuando encontré esto ya había creado otro: usar la función "IP flotante" de Digital Ocean para configurar mis registros DNS. El sistema operativo en realidad no ve esta dirección y otros servidores de correo informaban que el correo provenía de esa IP "real" (que aún es válida). digno de menciónsi eres un usuario de gotas.

Para ser claros, ese no podría haber sido el problema original, porque recién habilité la IP flotante ayer cuando, desesperado, decidí mover el nodo para ver si algo se caía del árbol. Sin embargo...

No he encontrado un servicio gratuito que pruebe activamente la firma DKIM tomando correo, excepto uno, que parece haber hecho lo que hicieron los otros servidores: nunca acepta el correo que se supone que debe probar (No sé si esto es una pista potencial).

Tenga en cuenta que el servicio no era el vinculado en el primer párrafo aquí. De todos modos, el hecho de que otros servidores de correo en general rechazaran conexiones (en lugar de rebotar correo) parece gritar "problema de DNS". Todavía no lo sé exactamente por qué esto se convirtió en un problema cuando la nueva instalación del servidor se había estado ejecutando durante un mes, por lo que en realidad esto es solo una respuesta parcial, aunque sí explicaPor qué los servidores de correo electrónico dejarían de enviar informes DMARC. Poniendo todos mis patos en fila con los registros DNS (registros A para el dominio y el nodo aporía, coincidentes con el SPF, etc.), finalmente todo funciona como debería.

información relacionada