저는 수년 동안 운영해온 개인 이메일 서버를 가지고 있습니다. 메일을 보내는 데 문제가 발생한 경우는 거의 없었기 때문에 SPF, DMARC, DKIM과 같은 기능을 제대로 파악한 적이 없습니다. 최근 시스템을 업그레이드하면서 이렇게 하기로 했습니다.
단일 고정 IP 주소를 사용하기 때문에 SPF는 매우 간단했습니다.
DMARC는 거의 간단했습니다. 처음에는 보고서를 수신하도록 "없음" 정책으로 설정하고 1~2주 동안 방치한 후 거부로 전환했습니다.
이제 메일 서버에 대한 DKIM 서명 필터를 구현했습니다(택배 MTA, 그리고 이에 대한 준비가 되어 있지 않습니다.) 내가 사용한 복잡한 비트의 경우dkimpy. 여기에는 전체 메시지에 대해 작동하고 자체 조회 등을 수행하는 간단한 확인 도구도 있습니다. 즉, 이를 사용하는 방법은 단 하나뿐이라는 점에서 더미 증명입니다(반면 서명은 다양한 방법으로 구성할 수 있으며 떠날 수도 있음). 내가 처리할 수 있는 공간). 이는 통과해야 한다고 생각하는 메시지를 전달하고, 통과해서는 안 된다고 생각하는 메시지는 실패하므로 작동한다고 합리적으로 만족합니다. 서버에서 받은 메시지에 대해 실행했습니다. 현재는 문제를 최소화하기 위해 본문과 From 헤더에만 서명하고 있습니다.
그러나 내 메일은 테스트 계정으로 전달되지 않습니다. 하나는 Gmail이고 다른 하나는 ISP에서 보낸 것입니다. 게다가 이제 DMARC 레코드에 rua와 ruf 주소가 모두 있지만그들에 대한 어떤 보고도 받지 못함. 이전에는 둘 다 시계 장치 같았습니다.
내가 하는 일이 필터를 끄는 것뿐이라면(따라서 DKIM 서명이 없음) 모든 것이 다시 작동합니다. 모든 경우에 서버가 실제로 시도 중인지 확인했습니다. 실패한 DKIM은 시간 초과가 발생하고 연결이 닫혀 끝없는 지연이 발생하는 것처럼 보였습니다. 이 모든 것만으로는 "거부된" 메일이 검사되지도 않았음을 의미하므로 약간 이상해 보이지만 서명을 제거하는 것만으로도 충분합니다. 다시 받아보세요. Courier 로깅의 모호성에 대해 설명하겠습니다.
여기서는 어느 누구도 법에 구속되지 않는다는 것을 알고 있지만 그것이 정상적인 정책입니까? DKIM 서명이 잘못되었다고 가정하면 수신 서버에서 이에 대한 DMARC 보고서를 보내야 하지 않나요?
그래서 저는 현재 개울 위에 있습니다. MXToolbox와 같은 것이 나에게 멋진 색상을 제공하지만 다른 서버가 수행한 작업을 수행한 것으로 보이는 메일을 제외하고는 메일을 가져와 DKIM 서명을 적극적으로 테스트하는 무료 서비스를 찾지 못했습니다. 테스트해야 할 메일을 절대 수락하지 않습니다. (이것이 잠재적인 단서인지는 모르겠습니다).
다음은 관련 DNS 레코드입니다 dig
.
SPF:
cognitivedissonance.ca. 3600 IN TXT "v=spf1 ip4:138.197.150.177 -all"
DKIM:
aporia._domainkey.cognitivedissonance.ca. 3600 IN TXT "v=DKIM1; k=rsa; h=sha256; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAosptGk+J2mdjjc7RWmcnQ3yBqx1JT/lA0bw4GJCzZ+esa0f8rjHhPiW6NnUr64Kf5h0fPEthQhYGTjjw3jAd/3EE28hGA30+jODxEK7A0+5aeI82fWa/ZZk9FvyIhf+UkkX1B0klYhCRW5r91smJ+rwYrr2B6jOrw0DReHTAZ51NACSWI7ov2mA" "UIh2l8blA8hFFBOBwxlzC+smRsYlZCKZfsSMkyS/XIm2m58QNfw/aCHp5VufSrf/hh7f6AGKTgxHfgs+8RBbYdHEM2LAMT+WYsITC3R0OYfgplzWna6PRB9lx+FFzTtT/8XClYfUJ6rwWwM4koeX0yt9gDr/03QIDAQAB"
메일 서버의 FQDN은 상상력이 부족하여 DKIM 선택기로
aporia.cognitivedissonance.ca
사용되었습니다 .aporia
이메일 도메인은 입니다cognitivedissonance.ca
. 대신 FQDN을 사용해야 합니까(예:aporia._domainkey.aporia.cognitivedissonance.ca
)?DMARC:
_dmarc.cognitivedissonance.ca. 3600 IN TXT "v=DMARC1;p=reject;pct=100;rua=mailto:[email protected],mailto:[email protected];ruf=mailto:[email protected],mailto:[email protected]; "
내가 가입한 dmarc 검증 서비스를 위한 추가 메일토가 있습니다. 안타깝게도 DKIM 서명을 직접 테스트하지 않습니다.
마지막으로 서명의 예는 다음과 같습니다.
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple;
d=cognitivedissonance.ca; [email protected]; q=dns/txt;
s=aporia; t=1650468130; h=from;
bh=3N81YR+AxHZqpkdMAh4Jti6JpRmUrlzO5bUjUoWdGeg=;
b=kNzUid2LG8TfHoegur3JzlcktiJT+5A1E2en+IlV/GgDMZWL0Ft/4kE02LGFzb2kTMkav
c9jLUqd2+NCrLDzVRBxgwif++vDwoljCI1X0wvbcCqhfA3uElcCuhCAtBkl/ZNqLR0H1Gjq
XXA801KqyVrvottuv0+PmEOvqQ8skTpBvl4Da8JjQ73Zscm3/5Mfk0dGTLlggNgapszsP9z
nt/1Oi6gzLasX933wIdLZWVex8QNfKr8+MTx6bmpVodaeklR+281u8k1zhCBu5pWrzlavUh
CbWjUm4j3YbeztpG98r9MZOVKbJZyHaiHWcRa1vEq3Cz8AEnRyRkQhd5WtvA==
답변1
결국 나는 온라인 DKIM 유효성 검사기를 찾았습니다.https://www.appmaildev.com/en/dkim기존 메일의 업로드를 테스트하거나 보낼 테스트 주소를 제공합니다.
원래 문제가 무엇인지 100% 확신할 수 없습니다. 이 문제를 발견했을 때 Digital Ocean의 "플로팅 IP" 기능을 사용하여 DNS 레코드를 설정하는 또 다른 문제가 생성되었기 때문입니다. OS는 실제로 이 주소를 볼 수 없으며 다른 메일 서버는 (여전히 유효한) "실제" IP에서 메일을 보고했습니다. 가치가 없다당신이 드롭릿 사용자라면.
확실히 말하자면, 그것은 원래 문제가 될 수 없었습니다. 어제 필사적으로 트리에서 떨어지는 것이 있는지 확인하기 위해 노드를 이동하기로 결정했을 때만 유동 IP를 활성화했기 때문입니다. 하지만...
다른 서버에서 수행한 작업을 수행한 것으로 보이는 메일을 제외하고는 메일을 가져와 DKIM 서명을 적극적으로 테스트하는 무료 서비스를 찾지 못했습니다. 테스트해야 할 메일을 절대 수락하지 않습니다(이것이 잠재적인 단서인지는 모르겠습니다).
서비스는 여기 첫 번째 단락에 연결된 서비스가 아닙니다. 어쨌든, 일반적으로 다른 메일 서버가 연결을 거부하고 있다는 사실(메일 반송과 반대)은 "DNS 문제"라고 비명을 지르는 것 같습니다. 서버를 새로 설치한 지 한 달이 지났을 때 이것이 정확히 왜 문제가 되었는지는 아직 모르겠습니다. 따라서 이는 부분적인 답변일 뿐입니다.이메일 서버가 DMARC 보고서 전송을 중단하는 이유. DNS 레코드(도메인 및 아포리아 노드에 대한 A 레코드, SPF 일치 등)를 사용하여 모든 오리를 연속으로 가져오면 모든 것이 정상적으로 작동합니다.