Por que o OpenDMARC está usando minha configuração (os destinatários) para o recebimento de mensagens?

Question

Por que o OpenDMARC está usando minha configuração (os destinatários) para o recebimento de mensagens?

#1 resposta do (0 votos)

2

Recentemente, alguns e-mails recebidos foram rejeitados pelo meu servidor de e-mail devido a falhas nas verificações do DMARC. Após uma inspeção mais próxima, notei que os logs mencionavam que a rejeição era porque o OpenDMARC estava aplicando minha política em vez da política do remetente. Um exemplo de uma troca falhada que enviou e-mails de [email protected] para [email protected] seria um pouco redigido

postfix/smtpd[19698]: connect from mail-eopbgr80052.outbound.protection.outlook.com[40.107.8.52]
postfix/smtpd[19698]: Anonymous TLS connection established from mail-eopbgr80052.outbound.protection.outlook.com[40.107.8.52]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
policyd-spf[19706]: Pass; identity=helo; client-ip=40.107.8.52; helo=eur04-vi1-obe.outbound.protection.outlook.com; [email protected]; [email protected]
policyd-spf[19706]: Pass; identity=mailfrom; client-ip=40.107.8.52; helo=eur04-vi1-obe.outbound.protection.outlook.com; [email protected]; [email protected]
postfix/smtpd[19698]: 3578F66A0006: client=mail-eopbgr80052.outbound.protection.outlook.com[40.107.8.52]
postfix/cleanup[19707]: 3578F66A0006: message-id=<AM5PR0201MB22602B5B4998B49514A63C76B2540@AM5PR0201MB2260.eurprd02.prod.outlook.com>
opendkim[598]: 3578F66A0006: mail-eopbgr80052.outbound.protection.outlook.com [40.107.8.52] not internal
opendkim[598]: 3578F66A0006: not authenticated
opendkim[598]: 3578F66A0006: failed to parse Authentication-Results: header field
opendkim[598]: 3578F66A0006: DKIM verification successful
opendkim[598]: 3578F66A0006: s=selector1-random.tld d=random.onmicrosoft.com SSL
opendmarc[605]: implicit authentication service: mail.mydomain.tld
opendmarc[605]: 3578F66A0006 ignoring Authentication-Results at 1 from vps.mydomain.tld
opendmarc[605]: 3578F66A0006: mydomain.tld fail
postfix/cleanup[19707]: 3578F66A0006: milter-reject: END-OF-MESSAGE from mail-eopbgr80052.outbound.protection.outlook.com[40.107.8.52]: 5.7.1 rejected by DMARC policy for mydomain.tld; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<EUR04-VI1-obe.outbound.protection.outlook.com>
postfix/smtpd[19698]: disconnect from mail-eopbgr80052.outbound.protection.outlook.com[40.107.8.52] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1 commands=6/7

Observe a terceira linha a partir da parte inferior. Neste caso específico, o remetente não possui sua própria política DMARC. Outros emails enviados de [email protected] costumam chegar muito bem.

No último ano, ele também falhou ao encaminhar minha conta de trabalho e depois de encaminhar minha conta da universidade.

Esse comportamento pode ser causado por uma certa configuração (errada) em um dos lados ou isso é um bug?

Estou executando o OpenDMARC versão 1.3.1. Com a seguinte configuração, aparada para maior clareza:

##  AuthservID (string)
##      defaults to MTA name
#
AuthservID mail.mydomain.tld
PidFile /var/run/opendmarc.pid
##  RejectFailures { true | false }
##      default "false"
##
RejectFailures true
Syslog true
UserID opendmarc:opendmarc
PublicSuffixList /usr/share/publicsuffix/
IgnoreAuthenticatedClients true

postfix dmarc

por Coding Cat 25.07.2018 / 21:06

1 resposta

Tags postfix dmarc

ESXi 6.5 NFS41 sempre é montado como somente leitura Importar o BACPAC via SSMS para o Azure SQL Server falha com o usuário do AzureAD

score 0 · Answer 1

Configure AuthservID correspondente para todos os milters locais.

Como alternativa: adicione todos os seus IDs confiáveis a TrustedAuthServIDs em opendmarc . Simplesmente remover a linha é normalmente suficiente, já que o padrão é o nome do MTA em opendkim e opendmarc .

AuthservID mail.mydomain.tld
ignoring Authentication-Results at 1 from vps.mydomain.tld

opendmarc considera apenas resultados confiáveis ao avaliar uma mensagem, portanto, a linha de log ignoring . Os resultados confiáveis são identificados por um identificador que normalmente é igual a postconf myhostname .

In this specific case the sender does not have their own DMARC policy.

Mas ainda assim, opendmarc está aplicando sua política de destinatários - porque você disse explicitamente a ela. Sua política é rejeitar falhas ( RejectFailures true ). Esta decisão é independente da sua política DMARC para envio de mensagens (conforme definido no DNS). O padrão é apenas adicionar o cabeçalho, independentemente do resultado da avaliação DMARC .