Fórum Root.cz
Hlavní témata => Server => Téma založeno: kvas 04. 03. 2023, 12:57:19
-
Ahoj,
poslednou dobou mi google blokuje emaily koli 550-5.7.1 unsolicited mail. Skusam nastavit SPF, len nie som si isty, ci tomu rozumiem spravne. Ak s tym mate niekto skusenosti mohli by ste mi prosim poradit?
Scenar:
1) pod domenou firma.sk je nakonfigurovany mailserver, ktory bezni na adrese mail.firma.sk
2) firma ma viacere sluzby/weby, napr. web1.sk, web2.sk, web3.sk
3) tieto weby posielaju uzivateom emaily vyhradne len pomocou postfixu na adrese mail.firma.sk z adries support@web1.sk, info@web2.sk a pod
Staci pridat pre domenu mail.firma.sk novy TXT zaznam:
v=spf1 ip4:IP_ADRESA_MAILOVEHO_SERVERA -all
aby to fungovalo tak, ako ocakavam, resp. aby to bolo pre google dostatocne?
Alebo sa musi tento zaznam vlozit pre vsetky domeny web1.sk/web2.sk/web3.sk/firma.sk?
prip. som nasiel, ze by malo stacit aj toto:
v=spf1 mx -all co by sa malo resovnut na spominany MX zaznam domen, ktory ukazuje vzdy na ten mail.firma.sk
-
Ten TXT záznam musí být na všech doménách, které daný server obsluhuje. Tedy web1.sk/web2.sk/web3.sk/firma.sk
SPF záznam, zjednodušeně řečeno, vyjmenovává, které servery mohou odesílat mejly pro danou doménu.
Pak ještě není od věci rozjet DKIM/DMARC a podívat se do Google Postmaster Tools (https://postmaster.google.com/managedomains?pli=1"), ale to už je zase jiná pohádka :)
-
ok, dik.
-
noob má naprostou pravdu, bez DKIM a DMARC se stejně nepohneš dále, zejména v dnešní pokřivené době. Bacha dej na délku DKIM klíče, měla by být minimálně 1024 bit. Mnohé mailservery využívající virusfree.cz mají také špatně nastaven parametr t=y (neplést si s časovým razítkem v nastavení jinde), takže je celý DKIM potom k ničemu, ba co více, spíše je pak přítěží. A SPF je naprosto nutný základ.
-
Mnohé mailservery využívající virusfree.cz mají také špatně nastaven parametr t=y...
Pokud mne paměť neklame, parametr t=y v DKIM záznamu říká, že doména testuje DKIM.
-
Přesně tak to je, paměť tě neklame. Pokud je takto DKIM označen, má být ignorován, alespoň tak praví doporučení norem. Nechápu, proč specialisté z virusfree.cz u některých domén stále jen testují a testují... navíc nastavují nesmyslně krátké klíče 768 bit, čímž to zabijí celé a úplně. Asi nemají dostatečný výkon serverů, jinak to nedovedu pochopit.
-
Nu a abychom do věci zanesli ještě více světla, doporučil bych kolegovi, aby pro svůj mailový server zvážil také pořízení SSL certifikátu, správně nastavil také PTR a nastavil DANE. Pak už nebude mít problém s ničím a jeho pošta se dostane úplně všude.
-
A spf se týká domény z "Mail from:" v SMTP komunikaci. Ale stejně (kvůli
zmíněnému DMARC nekelodování o označení za podvrženou zprávu) , ta by se měla shodovat s From
Takže ten spf canc je nanejvýš žádoucí mít u všech domén
-
Btw z webu Googlu:
Starting November 2022, new senders who send email to Google Gmail accounts must set up either SPF or DKIM.
Tož tak. 8)
-
Je nějak definováno "new senders"?
-
Je nějak definováno "new senders"?
Bohužel ne, zde plné znění:
Important: Starting November 2022, new senders who send email to personal Gmail accounts must set up either SPF or DKIM. Google performs random checks on new sender messages to personal Gmail accounts to verify they’re authenticated. Messages without at least one of these authentication methods will be rejected or marked as spam. This requirement doesn’t apply to you if you’re an existing sender. However, we recommend you always set up SPF and DKIM to protect your organization’s email and to support future authentication requirements.