info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Onet odrzuca wg DMARC policy
19 views
Skip to first unread message
Olek
Dec 1, 2020, 2:12:55 PM12/1/20
to
Kilka miesięcy temu włączyłem DKIM dla wychodzących wiadomości z mojego
MTA (Exim).
Dziś nagle Onet zaczął mnie odrzucać: 550 5.7.1 rejected by DMARC policy
Czy ktoś wie czego wymaga Onet?
Może wymaga klucza o rozmiarze co najmniej 2048 bit?
Ja niestety zrobiłem 1024 bit, ale do tej pory działało.
Komunikat serwera Onetu niewiele wyjaśnia.
--
Olek
MTA (Exim).
Dziś nagle Onet zaczął mnie odrzucać: 550 5.7.1 rejected by DMARC policy
Czy ktoś wie czego wymaga Onet?
Może wymaga klucza o rozmiarze co najmniej 2048 bit?
Ja niestety zrobiłem 1024 bit, ale do tej pory działało.
Komunikat serwera Onetu niewiele wyjaśnia.
--
Olek
Lemat
Dec 1, 2020, 3:57:17 PM12/1/20
to
W dniu 01.12.2020 o 20:12, Olek pisze:
DMARC to nie DKIM
_dmarc.lemat.priv.pl. 3600 IN TXT "v=DMARC1; p=reject;
sp=reject; aspf=s; adkim=r; fo=1; pct=100; ri=86400;"
sprawdź czy adres From w nagłówku ci się zgadza
--
Pozdrawiam
Lemat
_dmarc.lemat.priv.pl. 3600 IN TXT "v=DMARC1; p=reject;
sp=reject; aspf=s; adkim=r; fo=1; pct=100; ri=86400;"
sprawdź czy adres From w nagłówku ci się zgadza
--
Pozdrawiam
Lemat
Anon
Dec 1, 2020, 4:05:00 PM12/1/20
to
W dmarc definiujesz tzw policy czyli instrukcje dla serwera odbierającego
pocztę co ma robić gdy coś jest nie tak.
DKIM 1024 powinien być prawidłowy. Sprawdź czy klucz jest prawidłowo
Publikowany w DNS. Sprawdź czy spf nie ma jakiegoś błędu albo nie jest za
swobodny. Może to być ~all zamiast -all, nieprawidłowy IP itp. Może masz
spf wpisany w DNS jako rekord spf a nie masz go w txt a Onet czyta tylko
txt.
Być może wysyłasz z poddomeny a w dmarc masz ustawione reject dla subdomen.
A Onet ma do dupy ustawioną odpowiedz bo powinien podawać powód odrzucenia.
Pokaż może na początek swój spf.
Olek
Dec 1, 2020, 4:47:54 PM12/1/20
to
W dniu 01.12.2020 o 22:04, Anon pisze:
domena.com. IN TXT "v=spf1 mx ip4:XX.XXX.XX.XXX/32 -all"
20200524._domainkey.domena.com. IN TXT "v=DKIM1; k=rsa; p=217znakow"
_dmarc.domena.com. IN TXT "v=DMARC1; p=reject; adkim=s; aspf=s"
Koledzy dzięki za sugestie.
Jak napisałem - od kilku miesięcy działało OK.
SPF i DKIM mam sprawdzone narzędziami typu
https://dkimcore.org/tools/keycheck.html
i jest ok.
SPF używam od lat i dokładnie wiem co jest w nim i do czego.
DKIM też działał od miesięcy, aż nagle dziś Onetowi odwaliło.
Póki co, wykomentowałem wpis DMARC i klucz DKIM z pliku strefy DNS i
czekam aż wyekspiruje w cache Onetu.
Potem będę próbował sprawdzać o co chodzi Onetowi na nieprodukcyjnej
domenie.
Pytałem, bo gdyby było wiadomo o co chodzi Onetowi, to bym nie musiał
eksperymentować.
--
Olek
20200524._domainkey.domena.com. IN TXT "v=DKIM1; k=rsa; p=217znakow"
_dmarc.domena.com. IN TXT "v=DMARC1; p=reject; adkim=s; aspf=s"
Koledzy dzięki za sugestie.
Jak napisałem - od kilku miesięcy działało OK.
SPF i DKIM mam sprawdzone narzędziami typu
https://dkimcore.org/tools/keycheck.html
i jest ok.
SPF używam od lat i dokładnie wiem co jest w nim i do czego.
DKIM też działał od miesięcy, aż nagle dziś Onetowi odwaliło.
Póki co, wykomentowałem wpis DMARC i klucz DKIM z pliku strefy DNS i
czekam aż wyekspiruje w cache Onetu.
Potem będę próbował sprawdzać o co chodzi Onetowi na nieprodukcyjnej
domenie.
Pytałem, bo gdyby było wiadomo o co chodzi Onetowi, to bym nie musiał
eksperymentować.
--
Olek
KIKI
Dec 1, 2020, 8:18:23 PM12/1/20
to
Anon
Dec 2, 2020, 1:13:28 PM12/2/20
to
P 217 znaków to nie jest 1024 czyli minimum.
Nie publikujesz pełnego klucza ?
Anon
Dec 2, 2020, 1:17:28 PM12/2/20
to
Kurna kliknęło mi się :)
Czy te 217 znaków podzieliłeś na kawałki które prawidłowo strawi bind czy
masz w całości ?
Bo może bind nie opublikuje pełnego klucza ?
Olek
Dec 2, 2020, 5:06:44 PM12/2/20
to
W dniu 02.12.2020 o 19:17, Anon pisze:
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDPlLI54BlngazPvKgZEVoYuUEp
D42+ul/MTLtf/S1f7mT/NOBvdZRdG6i71YYVdc5axejm+PVueWyo4E5rqdsnvuYs
PQZ0WRZ+JjsYJ3qoy7xEsNetQ7fuzM9AM90yibnj+LDiWjidAkZjnu9ku3d/9lIP
k2xyuFGq7SfuOw9FlQIDAQAB
-----END PUBLIC KEY-----
Sprawdzenie klucza za pomocą
openssl rsa -noout -text -inform PEM -in pubkey.pem -pubin
podaje, że
Public-Key: (1024 bit)
Mniejsza o liczbę znaków. Wg mnie jest 216 a jak wkleję do Libreoffice
to mówi, ze jest 219.
Może coś być na rzeczy z tym łamaniem linii w bindzie, jednak to chyba
powinno było wyjść w testach.
Ale dzięki za podpowiedź.
Jak już będę to teraz poprawiać, to zgodnie z zaleceniami, zrobię klucz
o rozmiarze 2048 i już go skrupulatnie podzielę na osobne części w pliku
strefy.
Dziś już niektóre serwery z farmy Onetu przyjmowały moje maile, a część
nadal odrzucała
550 5.7.1 rejected by DMARC policy for mojadomena.com
--
Olek
>
> A żesz !
> Kurna kliknęło mi się :)
>
> Czy te 217 znaków podzieliłeś na kawałki które prawidłowo strawi bind czy
> masz w całości ?
>
> Bo może bind nie opublikuje pełnego klucza ?
>
-----BEGIN PUBLIC KEY-----
> A żesz !
> Kurna kliknęło mi się :)
>
> Czy te 217 znaków podzieliłeś na kawałki które prawidłowo strawi bind czy
> masz w całości ?
>
> Bo może bind nie opublikuje pełnego klucza ?
>
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDPlLI54BlngazPvKgZEVoYuUEp
D42+ul/MTLtf/S1f7mT/NOBvdZRdG6i71YYVdc5axejm+PVueWyo4E5rqdsnvuYs
PQZ0WRZ+JjsYJ3qoy7xEsNetQ7fuzM9AM90yibnj+LDiWjidAkZjnu9ku3d/9lIP
k2xyuFGq7SfuOw9FlQIDAQAB
-----END PUBLIC KEY-----
Sprawdzenie klucza za pomocą
openssl rsa -noout -text -inform PEM -in pubkey.pem -pubin
podaje, że
Public-Key: (1024 bit)
Mniejsza o liczbę znaków. Wg mnie jest 216 a jak wkleję do Libreoffice
to mówi, ze jest 219.
Może coś być na rzeczy z tym łamaniem linii w bindzie, jednak to chyba
powinno było wyjść w testach.
Ale dzięki za podpowiedź.
Jak już będę to teraz poprawiać, to zgodnie z zaleceniami, zrobię klucz
o rozmiarze 2048 i już go skrupulatnie podzielę na osobne części w pliku
strefy.
Dziś już niektóre serwery z farmy Onetu przyjmowały moje maile, a część
nadal odrzucała
550 5.7.1 rejected by DMARC policy for mojadomena.com
--
Olek
0 new messages