Eu configurei recentemente meu próprio servidor de e-mail (cenário postfix + dovecot baseado em Linux). Isto é apenas para uso pessoal - eu não tenho nenhum e-mail em massa saindo, nenhum e-mail gerado automaticamente a partir do host, nada disso. Já passei por dificuldades para configurar todos os registros DNS de e-mail adicionais divertidos para depurar:
@ IN TXT v=spf1 +mx -all
_domainkey IN TXT o=-; [email protected]
mail._domainkey IN TXT v=DKIM1; h=sha256; k=rsa; s=email; p=deadbeef
_adsp._domainkey IN TXT dkim=all
_dmarc IN TXT adkim=s; aspf=s; fo=1; p=none; pct=100; rf=afrf; ri=86400; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=none; v=DMARC1;
Eu tenho um IP que não está em nenhuma lista negra, um PTR configurado corretamente, as assinaturas DKIM são validadas perfeitamente, achei que tudo estava configurado corretamente.
Mas agora não posso contribuir para listas de discussão. Quando eu envio para o endereço da lista, às vezes a mensagem entra em um buraco negro, às vezes recebo um e-mail para meu endereço authfail@
e, em outros casos, vejo entradas que acredito estarem relacionadas em relatórios enviados para aggrep@
.
Minha teoria é que a política do SPF é muito restritiva. O mailman (ou outro) list server está agindo como um retransmissor SMTP para minhas mensagens, certo? Então eu mudei
@ IN TXT v=spf1 +mx -all
para
@ IN TXT v=spf1 +mx ~all
tornando a ação padrão um softfail em vez de um hardfail. O problema é que não quero passar por listas de spam sem um bom motivo para testar essa mudança. Alguém já esteve aqui antes e pode verificar / refutar minha teoria?
EDIT 1:
Pensando bem, e obrigado a @Alex por me deixar direto, eu realmente não forneceu dados suficientes para fazer uma avaliação precisa. Aqui está um exemplo de um aviso que recebi no meu endereço authfail@
ao tentar postar em uma lista de discussão:
This is a spf/dkim authentication-failure report for an email message received from IP 66.211.214.132 on Thu, 10 Jul 2014 20:58:52 +0800.
Below is some detail information about this message:
1. SPF-authenticated Identifiers: archlinux.org;
2. DKIM-authenticated Identifiers: none;
3. DMARC Mechanism Check Result: Identifier non-aligned, DMARC mechanism check failures;
For more information please check Aggregate Reports or mail to [email protected].
Feedback-Type: auth-failure
User-Agent: NtesDmarcReporter/1.0
Version: 1
Original-Mail-From: <[email protected]>
Arrival-Date: Thu, 10 Jul 2014 20:58:52 +0800
Source-IP: 66.211.214.132
Reported-Domain: example.com
Original-Envelope-Id: w8mowEA5UUwMjr5TlWQfBA--.250S2
Authentication-Results: 126.com; dkim=fail (signature error: RSA verify failed) header.d=example.com; spf=pass [email protected]
DKIM-Domain: example.com
Delivery-Result: delivered
Parece-me que esta é uma falha na assinatura DKIM, mas não tenho ideia do motivo. O servidor de recebimento está tentando verificar a assinatura DKIM do my contra a chave do servidor de lista de discussão, ou vice-versa? Por alguma razão, eu não esperaria que isso acontecesse - lembro-me de ter lido em algum lugar que, em casos como este, os Relays e as vezes removerão cabeçalhos desse tipo para garantir que esses tipos de falhas não ocorram?
EDIT 2:
Obrigado ao @Christopher Karel por referenciar uma ferramenta de análise de relatórios do DMARC em dmarcian.com. A parte dos leões das entradas é listada como encaminhadores (o que faz sentido). Há um servidor (* .mailhop.org) listado como "preservar [ing] DKIM" - Enviei e-mail com sucesso sobre um dos fóruns de idioma Ruby que funcionou, e sei da minha pesquisa que eles usam mailhop.org.
Na categoria "Servidores que quebram assinaturas DKIM (ou criam assinaturas falsificadas)" estão listados *.archlinux.org
, *.google.com
, *.mailhop.org
(não sei por que isso aparece aqui, talvez outra lista em que eu esteja também os usa) em uma configuração diferente), entre outras, e as listas nas quais eu participo mais são o Arch e algumas hospedadas pelos Grupos do Google, então isso faz sentido. Cerca de 400 mensagens no total - não enviei quase tantas mensagens, então acho que talvez seja uma contagem de tentativas.
Estou ficando deprimido - no momento parece que minhas escolhas são:
- Mantenha o SPF, o DKIM, o DMARC e o ADSP e desista de usar listas de correspondência ou
- Elimine essa camada de segurança / relatório do DNS e rejeite meu e-mail de saída normal do Google, Yahoo !, Live, etc.