Fórum Root.cz
Hlavní témata => Server => Téma založeno: czechsys 30. 10. 2025, 15:51:12
-
Zakaznikum zrejme budeme zpracovavat bounce emaily, ale potrebuji si overit, ze to chapu spravne, standardne se generuje Return-Path z MailFrom:
0] RFC 5322.From: zakaznik@example.org
1] RFC 5321.MailFrom: zakaznik@example.org
2] vlozime extra hlavicku Return-Path: bounce@some-example.org
SPF zaznamy jsou pro domeny v 0]1] a 2] nastaveny korektne.
Co jsem cetl blogy z ruznych ESP, jsem to pochopil tak, ze aby bylo "SPF aligment to pass DMARC", musi domena v 2] byt shodna v 0]. Nebo se pletu a ma to byt pri pridane 2] zarovnane v 0] a 1]?
Diky.
-
Pěkně to má popsáno Seznam.cz - https://o-seznam.cz/napoveda/email/profi/zaznamy-pro-autentifikaci-posty/dmarc/
-
Pěkně to má popsáno Seznam.cz - https://o-seznam.cz/napoveda/email/profi/zaznamy-pro-autentifikaci-posty/dmarc/
Ten clanek neresi samostatnou hlavicku Return-Path.
-
DKIM i SPF porovnává doménu vždy s doménou v hlavičce e-mailu (From dle RFC 5322). Protože From je to, co uživatel vidí ve svém e-mailovém klientovi.
Return-Path má obsahovat e-mailovou adresu, na kterou se mají posílat případné chyby při doručování.
SPF sváže From z hlavičky e-mailu s Return-Path, tím pádem se pak takový e-mail nedá přeposílat (při přeposlání se mění return-Path ale nemění se From). Proto doporučuju raději používat při odesílání DKIM – to zaručuje, že e-mail odeslal někdo z té domény, která je uvedená ve From, bez ohledu na to, kolikrát byl e-mail následně přeposlán.
-
DKIM i SPF porovnává doménu vždy s doménou v hlavičce e-mailu (From dle RFC 5322). Protože From je to, co uživatel vidí ve svém e-mailovém klientovi.
Return-Path má obsahovat e-mailovou adresu, na kterou se mají posílat případné chyby při doručování.
SPF sváže From z hlavičky e-mailu s Return-Path, tím pádem se pak takový e-mail nedá přeposílat (při přeposlání se mění return-Path ale nemění se From). Proto doporučuju raději používat při odesílání DKIM – to zaručuje, že e-mail odeslal někdo z té domény, která je uvedená ve From, bez ohledu na to, kolikrát byl e-mail následně přeposlán.
Přeposílat se dá, k tomu účelu se používá SRS (Sender Rewrite System), kde se v return-path zachová původní hodnota, ale doména souhlasí s doménou serveru, který přeposílá, takže SPF souhlasí.
SRS používá Microsoft, Google i Seznam.
Pak to vypadá takto nějak:
Return-Path: <SRS0=1PwV=5L=allser.skin=edkuvnk@preposilajici.cz>
-
Testoval jsem to s jednim sikovnym dmarc analyzatorem a muzu potvrdit, ze pokud v hlavicce Return-Path bude jina domena nez v hlavicce From, tak spf sice autorizuje ip adresu, ale dmarc alignment neni validni.
Celkovy vysledek pak je: spf fail, dkim pass, dmarc pass (spf a dkim relax mode).
-
DKIM i SPF porovnává doménu vždy s doménou v hlavičce e-mailu (From dle RFC 5322). Protože From je to, co uživatel vidí ve svém e-mailovém klientovi.
Return-Path má obsahovat e-mailovou adresu, na kterou se mají posílat případné chyby při doručování.
SPF sváže From z hlavičky e-mailu s Return-Path, tím pádem se pak takový e-mail nedá přeposílat (při přeposlání se mění return-Path ale nemění se From). Proto doporučuju raději používat při odesílání DKIM – to zaručuje, že e-mail odeslal někdo z té domény, která je uvedená ve From, bez ohledu na to, kolikrát byl e-mail následně přeposlán.
Přeposílat se dá, k tomu účelu se používá SRS (Sender Rewrite System), kde se v return-path zachová původní hodnota, ale doména souhlasí s doménou serveru, který přeposílá, takže SPF souhlasí.
SRS používá Microsoft, Google i Seznam.
Pak to vypadá takto nějak:
Return-Path: <SRS0=1PwV=5L=allser.skin=edkuvnk@preposilajici.cz>
Jenže v takovém případě právě u DMARC selže SPF Alignment validace, protože v Return-Path máte doménu preposilajici.cz, ale ve From e-mailu bude původní odesílatel.
SRS řeší to, aby přeposílající měl zachovanou informaci, pro koho daný e-mail přeposlal. Přeposílající je tak schopen případnou chybovou zprávu přeposlat původnímu odesílateli. Ale i když existují obvyklé formáty, jak SRS zapisovat, neexistuje žádný standard, který by museli všichni dodržovat – takže adrese v Return-Path přepsané pomocí SRS rozumí jenom ten, kdo daný e-mail přeposlal. Ostatní mohou jen hádat, jaká asi byla původní adresa. Což ale ničemu nevadí, protože ostatní se na to stejně nemohou spolehnout – já klidně můžu vytvořit e-mail, který bude mít v Return-Path adresu, která se bude tvářit, jako že jste ten e-mail vytvořil vy a já ho jen přeposlal. Takže na to se při validaci odesílatele nelze spoléhat. Pro validaci odesílatele potřebujete něco, co spojí původního odesílatele s e-mailem, bez ohledu na to, kolikrát se e-mail přepošle – a k tomu slouží DKIM.