As listas de discussão “quebrarão” se o SPF for muito restritivo?

7

Eu configurei recentemente meu próprio servidor de e-mail (cenário postfix + dovecot baseado em Linux). Isto é apenas para uso pessoal - eu não tenho nenhum e-mail em massa saindo, nenhum e-mail gerado automaticamente a partir do host, nada disso. Já passei por dificuldades para configurar todos os registros DNS de e-mail adicionais divertidos para depurar:

@                 IN  TXT  v=spf1 +mx -all
_domainkey        IN  TXT  o=-; [email protected]
mail._domainkey   IN  TXT  v=DKIM1; h=sha256; k=rsa; s=email; p=deadbeef
_adsp._domainkey  IN  TXT  dkim=all
_dmarc            IN  TXT  adkim=s; aspf=s; fo=1; p=none; pct=100; rf=afrf; ri=86400; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=none; v=DMARC1;

Eu tenho um IP que não está em nenhuma lista negra, um PTR configurado corretamente, as assinaturas DKIM são validadas perfeitamente, achei que tudo estava configurado corretamente.

Mas agora não posso contribuir para listas de discussão. Quando eu envio para o endereço da lista, às vezes a mensagem entra em um buraco negro, às vezes recebo um e-mail para meu endereço authfail@ e, em outros casos, vejo entradas que acredito estarem relacionadas em relatórios enviados para aggrep@ .

Minha teoria é que a política do SPF é muito restritiva. O mailman (ou outro) list server está agindo como um retransmissor SMTP para minhas mensagens, certo? Então eu mudei

@                 IN  TXT  v=spf1 +mx -all

para

@                 IN  TXT  v=spf1 +mx ~all

tornando a ação padrão um softfail em vez de um hardfail. O problema é que não quero passar por listas de spam sem um bom motivo para testar essa mudança. Alguém já esteve aqui antes e pode verificar / refutar minha teoria?

EDIT 1:

Pensando bem, e obrigado a @Alex por me deixar direto, eu realmente não forneceu dados suficientes para fazer uma avaliação precisa. Aqui está um exemplo de um aviso que recebi no meu endereço authfail@ ao tentar postar em uma lista de discussão:

This is a spf/dkim authentication-failure report for an email message received from IP 66.211.214.132 on Thu, 10 Jul 2014 20:58:52 +0800.
Below is some detail information about this message:
 1. SPF-authenticated Identifiers: archlinux.org;
 2. DKIM-authenticated Identifiers: none;
 3. DMARC Mechanism Check Result: Identifier non-aligned, DMARC mechanism check failures;

For more information please check Aggregate Reports or mail to [email protected].



Feedback-Type: auth-failure
User-Agent: NtesDmarcReporter/1.0
Version: 1
Original-Mail-From: <[email protected]>
Arrival-Date: Thu, 10 Jul 2014 20:58:52 +0800
Source-IP: 66.211.214.132
Reported-Domain: example.com
Original-Envelope-Id: w8mowEA5UUwMjr5TlWQfBA--.250S2
Authentication-Results: 126.com; dkim=fail (signature error: RSA verify failed) header.d=example.com; spf=pass [email protected]
DKIM-Domain: example.com
Delivery-Result: delivered

Parece-me que esta é uma falha na assinatura DKIM, mas não tenho ideia do motivo. O servidor de recebimento está tentando verificar a assinatura DKIM do my contra a chave do servidor de lista de discussão, ou vice-versa? Por alguma razão, eu não esperaria que isso acontecesse - lembro-me de ter lido em algum lugar que, em casos como este, os Relays e as vezes removerão cabeçalhos desse tipo para garantir que esses tipos de falhas não ocorram?

EDIT 2:

Obrigado ao @Christopher Karel por referenciar uma ferramenta de análise de relatórios do DMARC em dmarcian.com. A parte dos leões das entradas é listada como encaminhadores (o que faz sentido). Há um servidor (* .mailhop.org) listado como "preservar [ing] DKIM" - Enviei e-mail com sucesso sobre um dos fóruns de idioma Ruby que funcionou, e sei da minha pesquisa que eles usam mailhop.org.

Na categoria "Servidores que quebram assinaturas DKIM (ou criam assinaturas falsificadas)" estão listados *.archlinux.org , *.google.com , *.mailhop.org (não sei por que isso aparece aqui, talvez outra lista em que eu esteja também os usa) em uma configuração diferente), entre outras, e as listas nas quais eu participo mais são o Arch e algumas hospedadas pelos Grupos do Google, então isso faz sentido. Cerca de 400 mensagens no total - não enviei quase tantas mensagens, então acho que talvez seja uma contagem de tentativas.

Estou ficando deprimido - no momento parece que minhas escolhas são:

  1. Mantenha o SPF, o DKIM, o DMARC e o ADSP e desista de usar listas de correspondência ou
  2. Elimine essa camada de segurança / relatório do DNS e rejeite meu e-mail de saída normal do Google, Yahoo !, Live, etc.
por Chris Tonkinson 10.07.2014 / 14:46

3 respostas

1

Acontece que não parece haver nada de errado com a minha configuração. O que está acontecendo é que minhas mensagens estão sendo processadas pelo carteiro corretamente, e sendo retransmitidas para a lista. Há um par de receptores no entanto, que (por qualquer motivo é exclusivo para eles) rejeitam a mensagem. Porque eu tenho realmente corretamente configurado SPF, estou vendo a mensagem de rejeição desses servidores SMTP de destino, não da própria lista de discussão relay.

Algumas pessoas incríveis da comunidade do Arch me ajudaram a acabar com essa, pois tinham acesso ao servidor ML.

    
por 10.07.2014 / 21:02
7

A segurança do email é uma merda. Então, no final, você provavelmente vai se deparar com uma decisão em que todas as suas opções são terríveis e quebrar coisas diferentes por diferentes razões.

Quanto ao SPF especificamente, uma lista de discussão causará uma falha se encaminhar uma mensagem, sem reescrever os cabeçalhos . Uma lista pode se configurar para funcionar do jeito que quiser, então não há uma boa resposta geral. Mas se as mensagens de uma lista parecem vir da própria lista, elas estão reescrevendo os cabeçalhos. Se parece vir do remetente, provavelmente não. Em geral, as listas de discussão devem funcionar bem com o SPF por conta própria. O encaminhamento regular de e-mails, por outro lado, não será.

Quando se trata de DKIM, qualquer modificação na mensagem causará uma falha. Isso quase sempre ocorre com uma lista de discussão. Então, o DKIM geralmente bombardeia com listas de discussão. Mas o encaminhamento de email deve ser OK.

Além disso, você implementou o DMARC . Esta é essencialmente uma infra-estrutura de relatórios envolvida em DKIM e SPF. Funciona melhor se você implementar as duas medidas de autenticação, mas também funcionará bem com apenas uma. Você pode configurar o DMARC para comunicar uma solicitação de descarte para suas mensagens, mas, mais importante, você pode especificar um endereço para receber relatórios de sucesso / falha. Estes são suportados pela maioria dos principais receptores de e-mail. (GMail, Hotmail, Yahoo) Isso pode fornecer informações sobre quais mensagens estão falhando nas verificações de SPF e por quê. Use isso para informar sua decisão -all vs ~all .

Infelizmente, a especificação DMARC requer alinhamento entre o domínio do Emissor e o registro SPF que é verificado. No seu caso, o SPF da lista de discussão está sendo verificado e passa, mas não se alinha com seu domínio. Então bombas de DMARC. Aqui está uma referência de um administrador da lista de discussão que reclama tanto.

A conclusão é a mesma que a minha frase inicial: E-mail security Sucks. E todas as suas opções são ruins também. IMHO, as listas de discussão também são ruins, e a vida seria melhor se as substituíssemos. ; -)

    
por 10.07.2014 / 17:43
1

Eu não olhei para a parte DKIM.

Com relação ao registro SPF, vejo o seguinte usado na maioria dos exemplos:

v=spf1 mx -all

Isso está documentado aqui: link

No entanto, "+ mx" também deve estar correto de acordo com o RFC 7208 (Obrigado Chris por apontar isso). Talvez seja vale a pena tentar ...

Eu realmente não sei o que sugerir o contrário ... verifique novamente todos os seus registros DNS (A / PTR / MX). Você provavelmente já fez isso. Saber o nome do domínio realmente pode ajudar as pessoas a solucionar problemas - pelo menos, se o DNS estiver relacionado.

    
por 10.07.2014 / 15:01