Nie mogę ustawić rekordy spf

[Therminus]

Mam taką sytuację.
HELO prawdopodobnie zwraca mail.moja.domena.pl
bo w nagłówku poczty wychodzącej mam coś takiego:
Received: from mail.moja.domena.pl (moja.domena.pl. [1.2.3.4])

Podczas testowania spf poleceniem
request=smtpd_access_policy
protocol_state=RCPT
protocol_name=SMTP
helo_name=mail.moja.domena.pl
queue_id=85798375987
instance=71b0.45e2f5f1.d4da1.0
client_address=1.2.3.4

dostaję:
action=PREPEND Received-SPF: none (mail.moja.domena.pl: No applicable
sender policy available) receiver=mail.moja.domena.pl; identity=helo;
helo=mail.moja.domena.pl; client-ip=1.2.3.4

ale jeżeli wpiszę zamiast helo_name=mail.moja.domena.pl
helo_name=moja.domena.pl

to wynik testu mam taki:
action=PREPEND Received-SPF: pass (moja.domena.pl: 1.2.3.4 is authorized
to use 'moja.domena.pl' in 'helo' identity (mechanism
'a:mail.moja.domena.pl' matched)) receiver=mail.moja.domena.pl;
identity=helo; helo=moja.domena.pl; client-ip=1.2.3.4

Rekordy DNS próbowałem już różne:

v=spf1 mx a ip4:91.203.19.140 a:moja.domena.pl ~all
v=spf1 mx:mail.moja.domena.pl a:moja.domena.pl ~all
v=spf1 mx:mail.moja.domena.pl a:moja.domena.pl ip4:1.2.3.4 ~all
v=spf1 ip4:91.203.19.140 mx:mail.moja.domena.pl a:moja.domena.pl ~all
v=spf1 mx:mail.smoja.domena.pl a:mail.moja.domena.pl ip4:91.203.19.140 ~all
ciągle ten sam wynik
W nagłówkach poczty wysyłanej mam:

Authentication-Results: mail.moja.domena.pl; dmarc=fail (p=quarantine
dis=none) header.from=moja.domena.pl.pl
Authentication-Results: mail.moja.domena.pl; spf=fail
smtp.mailfrom=moja.domena.pl

Poddałem się.

[Lemat]

W dniu 4.01.2023 o 16:40, Therminus pisze:

musisz mieć 2 osobne rekordy w DNS:

moja.domena.pl. IN TXT "v=spf1 ..."
mail.moja.domena.pl. IN TXT "v=spf1 ..."

--
Pozdrawiam
Lemat

[Therminus]

W dniu 04.01.2023 o 20:13, Lemat pisze:

> musisz mieć 2 osobne rekordy w DNS:
>
> moja.domena.pl. IN TXT "v=spf1 ..."
> mail.moja.domena.pl. IN TXT "v=spf1 ..."
>

Dzięki za zainteresowanie tematem.
Wpisałem te rekordy w DNS i teraz test policyd-spf-perl przechodzi.
action=PREPEND Received-SPF: pass...

Niestety, w nagłówkach poczty wysyłanej np na @gmail.com, dalej bez zmian

Authentication-Results: mail.moja.domena.pl; dmarc=fail (p=quarantine
dis=none) header.from=moja.domena.pl

Authentication-Results: mail.moja.domena.pl; spf=fail
smtp.mailfrom=moja.domena.pl

Czy to może być spowodowane tym, że MTA stoi za NAT-em?
Historyczne zaszłości - Postfix miał początkowo obsługiwać tylko pocztę
wewnątrz LAN. Potem pojawiła się potrzeba hurtowej wysyłki maili -
jednorazowo ok 3 tys. sztuk. Wykupiliśmy domenę i skonfigurawałem
Postfiksa, aby nie był był open relay. Porty są przekierowane na
iptables (brama też jest na Linuksie).
Chcę teraz tak skonfigurować serwer, aby nie było większych problemów z
wysyłką większej ilości maili jednorazowo. Jeśli chodzi o pocztę
przychodzącą, to spoza domeny nie musi nic przychodzić.
Mam w planie zmianę komputera na bramie i postawienie Postfiksa właśnie
na nim.

--
Pozdrawiam
Therminus

[Lemat]

W dniu 5.01.2023 o 11:46, Therminus pisze:

w oba rekordy SPF musisz wstawić swój publiczny adres IP.
no i oczywiście musisz się upewnić jakimś online validatorem czy nie
masz błędów składniowych.

oprócz tego twoja domena ma rekord _dmarc, zatem powinieneś podpisywać
wychodzące wiadomości DKIM
--
Pozdrawiam
Lemat

[Therminus]

W dniu 05.01.2023 o 15:42, Lemat pisze:

> w oba rekordy SPF musisz wstawić swój publiczny adres IP.

wstawiłem

> no i oczywiście musisz się upewnić jakimś online validatorem czy nie
> masz błędów składniowych.
>
> oprócz tego twoja domena ma rekord _dmarc, zatem powinieneś podpisywać
> wychodzące wiadomości DKIM

mxtoolbox pokazuje, że niby wszystko w porządku. (ale to chyba już
sprawdziłeś) Podpis DKIM też działa.
Mogę wrzucić cały nagłówek wysłanej wiadomości na @gmail.com jakby to
miało w czymś pomóc.

--
Pozdrawiam
Therminus

[Lemat]

W dniu 5.01.2023 o 19:12, Therminus pisze:

wyślij testowego emaila na mój prywatny adres email lemat@

--
Pozdrawiam
Lemat

[Kwark]

Piszesz, że MTA dziala sobie schowany za NAT.
Czy masz tylko jeden publiczny IP ? Czy może pulę w której jakiś adres jest
niewykorzystany ?

[Therminus]

W dniu 06.01.2023 o 08:46, Kwark pisze:

> Piszesz, że MTA dziala sobie schowany za NAT.
> Czy masz tylko jeden publiczny IP ? Czy może pulę w której jakiś adres jest
> niewykorzystany ?
>

Mam tylko jeden publiczny IP.

[Michał Dąbrowski]

1. Czy "moja.domena.pl" to [moja_domena].pl czy też [mojasub.domena].pl?

a. Dla [moja_domena].pl powinieneś mieć wpisy:
moja_domena.pl. IN TXT "v=spf1 mx ip4:91.203.19.140 ~all"
mail.moja_domena.pl. IN TXT "v=spf1 a ip4:91.203.19.140 ~all"
mail IN A 91.203.19.140
# w ww. przykładzie [mx] w pierwszej linii ma sens tylko jeśli wpis mx dla [moja_domena.pl] prowadzi (bezpośrednio lub nie) do IP 91.203.19.140 (zakładam że to jest Twój publiczny adres) - w stylu:
@ IN MX 5 (91.203.19.140) LUB (mx.moja_domena.pl + osobny wpis A dla subdomeny mx)
# ciekawostka: w drugiej linii [mx] powodowałby szukanie [mx.mail.moja_domena.pl]

b. Dla [mojasub.domena].pl zrobiłbym:
mojasub.domena.pl. IN TXT "v=spf1 a ip4:91.203.19.140 ~all"
mail.mojasub.domena.pl. IN TXT "v=spf1 a ip4:91.203.19.140 ~all"
mojasub IN A 91.203.19.140
mail.mojasub IN A 91.203.19.140

Poniższy wycinek nagłówka wiadomości wysłanej na @gmail.com z mojego serwera pokazuje że WYKONYWANE SĄ DWA testy dla SPF:

Received: from mx.jakasdomena.pl (mx.jakasdomena.pl. [11.22.33.44])
(...)
Received-SPF: pass (google.com: domain of te...@jakasdomena.pl designates 11.22.33.44 as permitted sender) client-ip=11.22.33.44;
Authentication-Results: mx.google.com;
dkim=pass header.i=@jakasdomena.pl header.s=default header.b=qyzvEypf;
spf=pass (google.com: domain of te...@jakasdomena.pl designates 11.22.33.44 as permitted sender) smtp.mailfrom=te...@jakasdomena.pl;
dmarc=pass (p=QUARANTINE sp=REJECT dis=NONE) header.from=jakasdomena.pl

w [Received-SPF: pass] - client-ip - to oczywiście IP <<serwera>> wysyłającego
niżej, w [spf=pass] - jak widać - sprawdza mailfrom

moje wpisy w DNSie dla [jakasdomena.pl]to:
@ IN MX 5 mx.jakasdomena.pl.
jakasdomena.pl. IN TXT "v=spf1 mx ip4:11.22.33.44 [i parę innych ipv4:xxxx] -all"
mx IN TXT "v=spf1 a ip4:11.22.33.44 -all"
mx IN A 11.22.33.44

Nadmieniam że mój serwer pocztowy to mx.jakasdomena.pl, a domeny które są na nim skonfigurowane to: jakasdomena.pl i inne.

2. Dalej diagnozować mogę jeśli otrzymam:
a. nagłówek wiadomości wysłanej na gmail
b. treść wpisów w DNS dotyczących SPF, DMARC i DKIM
c. dopowiesz na pytanie z punktu #1.

Pozdrawiam

[Therminus]

W dniu 07.01.2023 o 01:44, Michał Dąbrowski pisze:

> On Friday, January 6, 2023 at 5:25:02 PM UTC+1, Therminus wrote:
>> W dniu 06.01.2023 o 08:46, Kwark pisze:
>>> Piszesz, że MTA dziala sobie schowany za NAT.
>>> Czy masz tylko jeden publiczny IP ? Czy może pulę w której jakiś adres jest
>>> niewykorzystany ?
>>>
>> Mam tylko jeden publiczny IP.
>
> 1. Czy "moja.domena.pl" to [moja_domena].pl czy też [mojasub.domena].pl?
>
> a. Dla [moja_domena].pl powinieneś mieć wpisy:
> moja_domena.pl. IN TXT "v=spf1 mx ip4:91.203.19.140 ~all"
> mail.moja_domena.pl. IN TXT "v=spf1 a ip4:91.203.19.140 ~all"
> mail IN A 91.203.19.140
> # w ww. przykładzie [mx] w pierwszej linii ma sens tylko jeśli wpis mx dla [moja_domena.pl] prowadzi (bezpośrednio lub nie) do IP 91.203.19.140 (zakładam że to jest Twój publiczny adres) - w stylu:
> @ IN MX 5 (91.203.19.140) LUB (mx.moja_domena.pl + osobny wpis A dla subdomeny mx)
> # ciekawostka: w drugiej linii [mx] powodowałby szukanie [mx.mail.moja_domena.pl]
>
> b. Dla [mojasub.domena].pl zrobiłbym:
> mojasub.domena.pl. IN TXT "v=spf1 a ip4:91.203.19.140 ~all"
> mail.mojasub.domena.pl. IN TXT "v=spf1 a ip4:91.203.19.140 ~all"
> mojasub IN A 91.203.19.140
> mail.mojasub IN A 91.203.19.140
>

Szczerze powiedziawszy zabiłeś mi klina z ta domeną/subdomeną.

Zatem poniżej wklejam:

Ustawienia serwera przekierowań dla domeny: sm-gornik.walbrzych.pl

# Subdomena Wartość Typ rekordu Priorytet MX
1 @ 91.203.19.140 A -
2 www 91.203.19.140 A -
3 @ mail MX 1
4 mail 91.203.19.140 A -
5 mail google-site-veri(...) TXT -
6 default._domainkey v=DKIM1; k=rsa; p=blabla TXT -
7 _dmarc v=DMARC1; v=DMARC1; p=quarantine;
rua=mailto:postm...@sm-gornik.walbrzych.pl;
ruf=mailto:postm...@sm-gornik.walbrzych.pl; fo=1 TXT -
8 @ v=spf1 mx:mail.sm-gornik.walbrzych.pl
a:sm-gornik.walbrzych.pl ip4:91.203.19.140 ~all TXT -
9 mail v=spf1 mx:mail.sm-gornik.walbrzych.pl
a:sm-gornik.walbrzych.pl ip4:91.203.19.140 ~all TXT -

Do 4 wiersza włącznie wpis robił rejestrator domeny.

[Therminus]

W dniu 07.01.2023 o 01:44, Michał Dąbrowski pisze:

> On Friday, January 6, 2023 at 5:25:02 PM UTC+1, Therminus wrote:
>> W dniu 06.01.2023 o 08:46, Kwark pisze:
>>> Piszesz, że MTA dziala sobie schowany za NAT.
>>> Czy masz tylko jeden publiczny IP ? Czy może pulę w której jakiś adres jest
>>> niewykorzystany ?
>>>
>> Mam tylko jeden publiczny IP.
>
> 1. Czy "moja.domena.pl" to [moja_domena].pl czy też [mojasub.domena].pl?
>
> a. Dla [moja_domena].pl powinieneś mieć wpisy:
> moja_domena.pl. IN TXT "v=spf1 mx ip4:91.203.19.140 ~all"
> mail.moja_domena.pl. IN TXT "v=spf1 a ip4:91.203.19.140 ~all"
> mail IN A 91.203.19.140
> # w ww. przykładzie [mx] w pierwszej linii ma sens tylko jeśli wpis mx dla [moja_domena.pl] prowadzi (bezpośrednio lub nie) do IP 91.203.19.140 (zakładam że to jest Twój publiczny adres) - w stylu:
> @ IN MX 5 (91.203.19.140) LUB (mx.moja_domena.pl + osobny wpis A dla subdomeny mx)
> # ciekawostka: w drugiej linii [mx] powodowałby szukanie [mx.mail.moja_domena.pl]
>
> b. Dla [mojasub.domena].pl zrobiłbym:
> mojasub.domena.pl. IN TXT "v=spf1 a ip4:91.203.19.140 ~all"
> mail.mojasub.domena.pl. IN TXT "v=spf1 a ip4:91.203.19.140 ~all"
> mojasub IN A 91.203.19.140
> mail.mojasub IN A 91.203.19.140
>

Szczerze powiedziawszy zabiłeś mi klina z ta domeną/subdomeną.

Zatem poniżej wklejam:

Ustawienia serwera przekierowań dla domeny: sm-gornik.walbrzych.pl

# Subdomena Wartość Typ rekordu Priorytet MX
1 @ 91.203.19.140 A -
2 www 91.203.19.140 A -
3 @ mail MX 1
4 mail 91.203.19.140 A -
5 mail google-site-veri(...) TXT -
6 default._domainkey v=DKIM1; k=rsa; p=blabla TXT -
7 _dmarc v=DMARC1; v=DMARC1; p=quarantine;
rua=mailto:postm...@sm-gornik.walbrzych.pl;
ruf=mailto:postm...@sm-gornik.walbrzych.pl; fo=1 TXT -
8 @ v=spf1 mx:mail.sm-gornik.walbrzych.pl
a:sm-gornik.walbrzych.pl ip4:91.203.19.140 ~all TXT -
9 mail v=spf1 mx:mail.sm-gornik.walbrzych.pl
a:sm-gornik.walbrzych.pl ip4:91.203.19.140 ~all TXT -

Do 4 wiersza włącznie wpis robił rejestrator domeny.

Niestety zawija mi wiersze. Thunderbird nie nadaje się na czytnik grup
dyskusyjnych.

spróbuje ten nagłówek...

--------------------------------------
Delivered-To: j...@gmail.com
Received: by 2002:ab2:76d8:0:b0:17c:8b3e:6ff8 with SMTP id w24csp1614250lqn;
Sat, 7 Jan 2023 13:13:16 -0800 (PST)
X-Google-Smtp-Source:
AMrXdXvmPIj8Haw1GB77DXCHWjss7MfOZfUbfAjsMPZ+/tPhxbZkld4lQRf+W8O9NavX28RnDWAO
X-Received: by 2002:ac2:4c24:0:b0:4b4:9124:8aa6 with SMTP id
u4-20020ac24c24000000b004b491248aa6mr15222056lfq.27.1673125996525;
Sat, 07 Jan 2023 13:13:16 -0800 (PST)
ARC-Seal: i=1; a=rsa-sha256; t=1673125996; cv=none;
d=google.com; s=arc-20160816;

b=IrEE9etPiYa4SgrDV55Rfv5viAUYrnon3mqY0X3J8WVe9QWJj6YwiQSEN6ErHS1jw+

KbsXZm6lTathmDFI+IIeA3xB/txt1zQvor+p6i+lfAuxgkzCDfTfgUSClBzPs9H51LAE

EeiZu5WRj7G6rJP2/TvZFKBiV0f9qYRVUvPbNqWHGL05MCKBfPgECT17FnsNFk4KO8mf

eBhK5qO2DEAZl6vyis6qKpdggeaX4iMj3c8FBSQE7JWKICmnkrcrgmlRXxNzvgq0QfiB

QuAUWDtkbJha2CL+DbOZrJqthVUF6kZ6BCncTSOmX0ffeCfcxBx/SxmVTYsFm81EmT/A
SlLw==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed;
d=google.com; s=arc-20160816;
h=content-transfer-encoding:subject:from:to:content-language
:user-agent:mime-version:date:message-id:dkim-signature;
bh=ekMeXSdpTgwVk8lAeLfT8TVuL19WJwqbme2O4+7Bo6c=;

b=wib1qQNubsotN3uoZUMLASXfmUr8zjTsoNbdf28A3pJQgmCRTo1LzRZQZTJ8W8c6es

447GlwWQlg6hMHuv2b1Pi1iwPPXjx7tCaqh/VAR94TtzBXepm/zFRXJGBVg3p60b0SGU

FicDxsMs0lQwXqF4rQQl7V3k6Kl3XMZ6KAFKw4iDiLyMi5TQVMrWrZAh539Mvd99Mm8b

8/xRJqMFmW0wsdI4KR9HvWStE3MAVc7YEpVJcUsMSq/mPtCednNv8TtvgqPOjnFGRIyI

Y6Tq2RelItV/ZYnuOcalx+9pHJ3o4QXk1/K2qjmB891OhNI7VBjBVkobmCeUVeAte/I5
Cm1Q==
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass header.i=@sm-gornik.walbrzych.pl header.s=default
header.b=QKz5i+2X;
spf=pass (google.com: domain of sk...@sm-gornik.walbrzych.pl
designates 91.203.19.140 as permitted sender)
smtp.mailfrom=sk...@sm-gornik.walbrzych.pl;
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE)
header.from=sm-gornik.walbrzych.pl
Return-Path: <sk...@sm-gornik.walbrzych.pl>
Received: from mail.sm-gornik.walbrzych.pl (sm-gornik.walbrzych.pl.
[91.203.19.140])
by mx.google.com with ESMTP id
e18-20020a05651c111200b0027fb676c8b2si2725831ljo.212.2023.01.07.13.13.16
for <stan...@gmail.com>;
Sat, 07 Jan 2023 13:13:16 -0800 (PST)
Received-SPF: pass (google.com: domain of sk...@sm-gornik.walbrzych.pl
designates 91.203.19.140 as permitted sender) client-ip=91.203.19.140;
Authentication-Results: mx.google.com;
dkim=pass header.i=@sm-gornik.walbrzych.pl header.s=default
header.b=QKz5i+2X;
spf=pass (google.com: domain of sk...@sm-gornik.walbrzych.pl
designates 91.203.19.140 as permitted sender)
smtp.mailfrom=sk...@sm-gornik.walbrzych.pl;
dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE)
header.from=sm-gornik.walbrzych.pl
Received: from [192.168.0.12] (gate [192.168.0.253])
(Authenticated sender: j...@mail.sm-gornik.walbrzych.pl)
by mail.sm-gornik.walbrzych.pl (Postfix) with ESMTPA id 62D5B2C0017A
for <j...@gmail.com>; Sat, 7 Jan 2023 22:13:15 +0100 (CET)
Authentication-Results: mail.sm-gornik.walbrzych.pl; dmarc=fail
(p=quarantine dis=none) header.from=sm-gornik.walbrzych.pl
Authentication-Results: mail.sm-gornik.walbrzych.pl; spf=fail
smtp.mailfrom=sm-gornik.walbrzych.pl
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple;
d=sm-gornik.walbrzych.pl ; s=default; t=1673125995;
bh=ekMeXSdpTgwVk8lAeLfT8TVuL19WJwqbme2O4+7Bo6c=;
h=Date:To:From:Subject;
b=QKz5i+2XIZrRNSRPjcbNu9Pi5Ql2S3x4kMOoAMKFwNJNGK8IDaf5YezKq7fARayth
t1ruVl27coYnFAC+XlJiUC6JGKm3ou2BxRoJzKKUGbVoaTF3hBOcQkj6UgR9TGz4T/
1twjXI3v0U5/dyXsXQtKOdEfPt9BAecYYnb6FyP8=
Message-ID: <146ad2cd-5123-e99d...@sm-gornik.walbrzych.pl>
Date: Sat, 7 Jan 2023 22:13:15 +0100
MIME-Version: 1.0

----------------------------------------------------------

[Therminus]

W dniu 07.01.2023 o 01:44, Michał Dąbrowski pisze:

> On Friday, January 6, 2023 at 5:25:02 PM UTC+1, Therminus wrote:
>> W dniu 06.01.2023 o 08:46, Kwark pisze:
>>> Piszesz, że MTA dziala sobie schowany za NAT.
>>> Czy masz tylko jeden publiczny IP ? Czy może pulę w której jakiś adres jest
>>> niewykorzystany ?
>>>
>> Mam tylko jeden publiczny IP.
>
> 1. Czy "moja.domena.pl" to [moja_domena].pl czy też [mojasub.domena].pl?
>
> a. Dla [moja_domena].pl powinieneś mieć wpisy:
> moja_domena.pl. IN TXT "v=spf1 mx ip4:91.203.19.140 ~all"
> mail.moja_domena.pl. IN TXT "v=spf1 a ip4:91.203.19.140 ~all"
> mail IN A 91.203.19.140
> # w ww. przykładzie [mx] w pierwszej linii ma sens tylko jeśli wpis mx dla [moja_domena.pl] prowadzi (bezpośrednio lub nie) do IP 91.203.19.140 (zakładam że to jest Twój publiczny adres) - w stylu:
> @ IN MX 5 (91.203.19.140) LUB (mx.moja_domena.pl + osobny wpis A dla subdomeny mx)
> # ciekawostka: w drugiej linii [mx] powodowałby szukanie [mx.mail.moja_domena.pl]
>
> b. Dla [mojasub.domena].pl zrobiłbym:
> mojasub.domena.pl. IN TXT "v=spf1 a ip4:91.203.19.140 ~all"
> mail.mojasub.domena.pl. IN TXT "v=spf1 a ip4:91.203.19.140 ~all"
> mojasub IN A 91.203.19.140
> mail.mojasub IN A 91.203.19.140
>

Szczerze powiedziawszy zabiłeś mi klina z ta domeną/subdomeną.

Zatem poniżej wklejam:

Ustawienia serwera przekierowań dla domeny: sm-gornik.walbrzych.pl

# Subdomena Wartość Typ rekordu Priorytet MX
1 @ 91.203.19.140 A -
2 www 91.203.19.140 A -
3 @ mail MX 1
4 mail 91.203.19.140 A -
5 mail google-site-veri(...) TXT -
6 default._domainkey v=DKIM1; k=rsa; p=blabla TXT -
7 _dmarc v=DMARC1; v=DMARC1; p=quarantine;
rua=mailto:postm...@sm-gornik.walbrzych.pl;
ruf=mailto:postm...@sm-gornik.walbrzych.pl; fo=1 TXT -
8 @ v=spf1 mx:mail.sm-gornik.walbrzych.pl
a:sm-gornik.walbrzych.pl ip4:91.203.19.140 ~all TXT -
9 mail v=spf1 mx:mail.sm-gornik.walbrzych.pl
a:sm-gornik.walbrzych.pl ip4:91.203.19.140 ~all TXT -

Do 4 wiersza włącznie wpis robił rejestrator domeny.

Nagłówek do @gmail,com

spf=pass (google.com: domain of j...@sm-gornik.walbrzych.pl

designates 91.203.19.140 as permitted sender)

smtp.mailfrom=j...@sm-gornik.walbrzych.pl;

dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE)
header.from=sm-gornik.walbrzych.pl

Return-Path: <j...@sm-gornik.walbrzych.pl>

Received: from mail.sm-gornik.walbrzych.pl (sm-gornik.walbrzych.pl.
[91.203.19.140])
by mx.google.com with ESMTP id
e18-20020a05651c111200b0027fb676c8b2si2725831ljo.212.2023.01.07.13.13.16

for <j...@gmail.com>;

Sat, 07 Jan 2023 13:13:16 -0800 (PST)

Received-SPF: pass (google.com: domain of j...@sm-gornik.walbrzych.pl

designates 91.203.19.140 as permitted sender) client-ip=91.203.19.140;
Authentication-Results: mx.google.com;
dkim=pass header.i=@sm-gornik.walbrzych.pl header.s=default
header.b=QKz5i+2X;

spf=pass (google.com: domain of j...@sm-gornik.walbrzych.pl

designates 91.203.19.140 as permitted sender)

smtp.mailfrom=j...@sm-gornik.walbrzych.pl;

dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE)
header.from=sm-gornik.walbrzych.pl
Received: from [192.168.0.12] (gate [192.168.0.253])
(Authenticated sender: j...@mail.sm-gornik.walbrzych.pl)
by mail.sm-gornik.walbrzych.pl (Postfix) with ESMTPA id 62D5B2C0017A
for <j...@gmail.com>; Sat, 7 Jan 2023 22:13:15 +0100 (CET)
Authentication-Results: mail.sm-gornik.walbrzych.pl; dmarc=fail
(p=quarantine dis=none) header.from=sm-gornik.walbrzych.pl
Authentication-Results: mail.sm-gornik.walbrzych.pl; spf=fail
smtp.mailfrom=sm-gornik.walbrzych.pl
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple;
d=sm-gornik.walbrzych.pl ; s=default; t=1673125995;
bh=ekMeXSdpTgwVk8lAeLfT8TVuL19WJwqbme2O4+7Bo6c=;
h=Date:To:From:Subject;
b=QKz5i+2XIZrRNSRPjcbNu9Pi5Ql2S3x4kMOoAMKFwNJNGK8IDaf5YezKq7fARayth
t1ruVl27coYnFAC+XlJiUC6JGKm3ou2BxRoJzKKUGbVoaTF3hBOcQkj6UgR9TGz4T/
1twjXI3v0U5/dyXsXQtKOdEfPt9BAecYYnb6FyP8=
Message-ID: <146ad2cd-5123-e99d...@sm-gornik.walbrzych.pl>
Date: Sat, 7 Jan 2023 22:13:15 +0100
MIME-Version: 1.0

-------------------------------------------------

Niestety Thunderbird zawija wiersze, mino że ma ustawione aby nie zawijał.

[Lemat]

W dniu 6.01.2023 o 00:09, Lemat pisze:

Authentication-Results: mail.lemat.priv.pl; spf=pass (sender SPF
authorized) smtp.mailfrom=sm-gornik.walbrzych.pl
(client-ip=91.203.19.140; helo=mail.sm-gornik.walbrzych.pl;
envelope-from=you; receiver=<UNKNOWN>)
Authentication-Results: mail.lemat.priv.pl; dmarc=pass (p=quarantine
dis=none) header.from=sm-gornik.walbrzych.pl
Authentication-Results: mail.lemat.priv.pl;
dkim=pass (1024-bit key; unprotected)
header.d=sm-gornik.walbrzych.pl header.i=@sm-gornik.walbrzych.pl
header.a=rsa-sha256 header.s=default header.b=mdsvuJzT;
dkim-atps=neutral

Authentication-Results: mail.sm-gornik.walbrzych.pl; dmarc=fail
(p=quarantine dis=none) header.from=sm-gornik.walbrzych.pl
Authentication-Results: mail.sm-gornik.walbrzych.pl; spf=fail
smtp.mailfrom=sm-gornik.walbrzych.pl

najwyższe nagłówki Authentication-resulta są dodane przez mój serwer.
najniższe - przez twój serwer.
moje są "pass", twoje są "fail"

co oznacza, że masz źle zrobioną kolejność reguł: twój spf nie powinien
być odpalany gdy user loguje się loginem i hasłem i te nagłówki nie
powinny być dodawane przez twój serwer

--
Pozdrawiam
Lemat

[Michał Dąbrowski]

Masz w nagłówku który wrzuciłeś:

Received: from mail.sm-gornik.walbrzych.pl (sm-gornik.walbrzych.pl.
[91.203.19.140])
by mx.google.com with ESMTP id
e18-20020a05651c111200b0027fb676c8b2si2725831ljo.212.2023.01.07.13.13.16

for <stan...@gmail.com>;

Sat, 07 Jan 2023 13:13:16 -0800 (PST)

Received-SPF: pass (google.com: domain of sk...@sm-gornik.walbrzych.pl

designates 91.203.19.140 as permitted sender) client-ip=91.203.19.140;
Authentication-Results: mx.google.com;
dkim=pass header.i=@sm-gornik.walbrzych.pl header.s=default
header.b=QKz5i+2X;

spf=pass (google.com: domain of sk...@sm-gornik.walbrzych.pl

designates 91.203.19.140 as permitted sender)

smtp.mailfrom=sk...@sm-gornik.walbrzych.pl;

dmarc=pass (p=QUARANTINE sp=QUARANTINE dis=NONE)
header.from=sm-gornik.walbrzych.pl

ORAZ DALEJ:

Received: from [192.168.0.12] (gate [192.168.0.253])
(Authenticated sender: j...@mail.sm-gornik.walbrzych.pl)
by mail.sm-gornik.walbrzych.pl (Postfix) with ESMTPA id 62D5B2C0017A
for <j...@gmail.com>; Sat, 7 Jan 2023 22:13:15 +0100 (CET)

Authentication-Results: mail.sm-gornik.walbrzych.pl; dmarc=fail
(p=quarantine dis=none) header.from=sm-gornik.walbrzych.pl
Authentication-Results: mail.sm-gornik.walbrzych.pl; spf=fail
smtp.mailfrom=sm-gornik.walbrzych.pl

Pierwsza część oznacza że dla googla zarówno SPF jak i DKIM są skonfigurowane prawidłowo.
Druga część oznacza że TWÓJ SERWER SPRAWDZA SPF/DKIM dla poczty wychodzącej (od lokalnych klientów) - co jest błędem, wskazanym przez @Lemat:

(...)

> najwyższe nagłówki Authentication-resulta są dodane przez mój serwer.
> najniższe - przez twój serwer.
> moje są "pass", twoje są "fail"
>
> co oznacza, że masz źle zrobioną kolejność reguł: twój spf nie powinien
> być odpalany gdy user loguje się loginem i hasłem i te nagłówki nie
> powinny być dodawane przez twój serwer
>
> --
> Pozdrawiam
> Lemat

Innymi słowy powinieneś odróżnić:
-smtpD (# smtpd - The SMTP daemon process for handling incoming mail and delivering to the appropriate internal location.)
-smtp (# smtp - The SMTP daemon process for delivering mail out to the world.)
ORAZ dalej skonfigurować prawidłowo:
-content_filter = [jeśli używasz]
LUB
-smtpd_milters =

Ponieważ wykonujesz SPF check dla lokalnych klientów jestem na 99% pewny że z jednego (lub obu) korzystasz.
I teraz generalnie rzecz biorąc w każdym (czy to amavis, czy opendkim, opendmarc, policy-spf) z nich powinieneś skonfigurować rozróżnienie na klientów lokalnych ("zaufanych") i pozostałych, z oczywistym uwzględnieniem pominięcia sprawdzania SPF/DKIM/DMARC dla smtpd-authenticated

Pozdro

[Therminus]

> Innymi słowy powinieneś odróżnić:
> -smtpD (# smtpd - The SMTP daemon process for handling incoming mail and delivering to the appropriate internal location.)
> -smtp (# smtp - The SMTP daemon process for delivering mail out to the world.)
> ORAZ dalej skonfigurować prawidłowo:
> -content_filter = [jeśli używasz]
> LUB
> -smtpd_milters =
>
> Ponieważ wykonujesz SPF check dla lokalnych klientów jestem na 99% pewny że z jednego (lub obu) korzystasz.
> I teraz generalnie rzecz biorąc w każdym (czy to amavis, czy opendkim, opendmarc, policy-spf) z nich powinieneś skonfigurować rozróżnienie na klientów lokalnych ("zaufanych") i pozostałych, z oczywistym uwzględnieniem pominięcia sprawdzania SPF/DKIM/DMARC dla smtpd-authenticated
>
> Pozdro

Rozumiem, albo wydaje mi się, że rozumiem. :)
Niestety, chyba nie dam rady poprawić tej konfiguracji Postfiksa.
Czy w master.cf ma znaczenie położenie poniższej linii?

policy unix - n n - 0
spawn user=nobody argv=/usr/lib64/postfix/policyd-spf-perl

W main.cf odnośnie smtpd_milters mam tylko
non_smtpd_milters =
inet:localhost:8891,unix:/var/run/opendmarc/opendmarc.sock
smtpd_milters = inet:localhost:8891,unix:/var/run/opendmarc/opendmarc.sock

[Michał Dąbrowski]

On Tuesday, January 10, 2023 at 9:16:31 AM UTC+1, Therminus wrote:
> > Innymi słowy powinieneś odróżnić:
> > -smtpD (# smtpd - The SMTP daemon process for handling incoming mail and delivering to the appropriate internal location.)
> > -smtp (# smtp - The SMTP daemon process for delivering mail out to the world.)
> > ORAZ dalej skonfigurować prawidłowo:
> > -content_filter = [jeśli używasz]
> > LUB
> > -smtpd_milters =
> >
> > Ponieważ wykonujesz SPF check dla lokalnych klientów jestem na 99% pewny że z jednego (lub obu) korzystasz.
> > I teraz generalnie rzecz biorąc w każdym (czy to amavis, czy opendkim, opendmarc, policy-spf) z nich powinieneś skonfigurować rozróżnienie na klientów lokalnych ("zaufanych") i pozostałych, z oczywistym uwzględnieniem pominięcia sprawdzania SPF/DKIM/DMARC dla smtpd-authenticated
> >
> > Pozdro
> Rozumiem, albo wydaje mi się, że rozumiem. :)
> Niestety, chyba nie dam rady poprawić tej konfiguracji Postfiksa.
> Czy w master.cf ma znaczenie położenie poniższej linii?
>
> policy unix - n n - 0
> spawn user=nobody argv=/usr/lib64/postfix/policyd-spf-perl

samo położenie - nie (IMO!) - chociaż z tego co widziałem przeróżne guide'y radzą dodać policyd-spf na końcu pliku

> W main.cf odnośnie smtpd_milters mam tylko
> non_smtpd_milters =
> inet:localhost:8891,unix:/var/run/opendmarc/opendmarc.sock
> smtpd_milters = inet:localhost:8891,unix:/var/run/opendmarc/opendmarc.sock

a odnośnie:
content_filter =
?
To raz, a dwa - wklej mi tu cały master.cf

Pozdro

[Therminus]

W dniu 12.01.2023 o 11:15, Michał Dąbrowski pisze:

> a odnośnie:
> content_filter =
> ?

Nie mam nic takiego

> To raz, a dwa - wklej mi tu cały master.cf

------------------------Begin master.cf------------------------------
#
# Postfix master process configuration file. For details on the format
# of the file, see the Postfix master(5) manual page.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - n - - smtpd
-o receive_override_options=no_address_mappings

#smtps inet n - - - - smtpd
# -o smtpd_tls_wrappermode=yes
# -o smtpd_tls_security_level=may
# -o smtpd_enforce_tls=yes

submission inet n - - - - smtpd
-o smtpd_sasl_auth_enable=yes
-o smtpd_sasl_path=smtpd
-o smtpd_sasl_security_options=noanonymous
-o smtpd_sasl_authenticated_header=yes
-o milter_macro_daemon_name=ORIGINATING
-o smtpd_client_restrictions=reject_unknown_client,permit_sasl_authenticated
-o smtpd_helo_restrictions=yes
-o receive_override_options=no_header_body_checks,no_address_mappings
-o smtpd_sender_restrictions=reject_sender_login_mismatch,reject_unknown_sender_domain,reject_non_fqdn_sender,reject_authenticated_sender_login_mismatch,permit_sasl_authenticated,permit_mynetworks,reject
-o smtpd_recipient_restrictions=reject_non_fqdn_recipient,reject_unknown_recipient_domain,permit_sasl_authenticated,reject_unauth_destination
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o smtpd_helo_restrictions=reject_unauth_pipelining,reject_invalid_helo_hostname,permit
#628 inet n - n - - qmqpd
pickup fifo n - n 60 1 pickup
cleanup unix n - n - 0 cleanup
qmgr fifo n - n 300 1 qmgr
#qmgr fifo n - n 300 1 oqmgr
tlsmgr unix - - n 1000? 1 tlsmgr
rewrite unix - - n - - trivial-rewrite
bounce unix - - n - 0 bounce
defer unix - - n - 0 bounce
trace unix - - n - 0 bounce
verify unix - - n - 1 verify
flush unix n - n 1000? 0 flush
proxymap unix - - n - - proxymap
smtp unix - - n - - smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay unix - - - - - smtp
-o fallback_relay=
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - n - - showq
error unix - - n - - error
discard unix - - n - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - n - - lmtp
anvil unix - - n - 1 anvil
scache unix - - - - 1 scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
dovecot unix - n n - - pipe
#flags=DRhu user=vmail:vmail argv=/usr/libexec/dovecot/deliver -d ${recipient}
#flags=DRhu user=mail:mail argv=/usr/libexec/dovecot/deliver -d ${user}@${nexthop}
#
# The Cyrus deliver program has changed incompatibly, multiple times.
#
old-cyrus unix - n n - - pipe
flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
cyrus unix - n n - - pipe
user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# See the Postfix UUCP_README file for configuration details.
#
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient
#
# Spamassassin
#
spamassassin unix - n n - - pipe
user=nobody argv=/usr/bin/spamc -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}retry unix - - n - - error
proxywrite unix - - n - 1 proxymap
retry unix - - n - - error
#smtp inet n - n - 1 postscreen
#smtpd pass - - n - - smtpd
#dnsblog unix - - n - 0 dnsblog
#tlsproxy unix - - n - 0 tlsproxy
postlog unix-dgram n - n - 1 postlogd
policy unix - n n - 0 spawn user=nobody argv=/usr/bin/perl /usr/lib64/postfix/policyd-spf-perl

---------------------------------------End master.cf-----------------------------