Jak správně nastavit DNS DMARC RUA / RUF záznam

[kopevi2]

Zdravím všechny a přeji hezké vánoce.
Chtěl bych se zeptat, jak má vyřešit hlášku "DNS DMARC RUA / RUF record not found." ze stránek https://dnschecker.org/dmarc-record-validation.php

Přiznám se, že jsem úplný laik, ale něco jsem si pogooglil, ale zdá se mi, že by to mělo být nastavené na zahazovat
viz.

Kód: [Vybrat]

_dmarc.littlehill.xyz TXT v=DMARC1; p=quarantine;
_dmarc.autoconfig.littlehill.xyz TXT v=DMARC1; p=reject; # a obdobné záznamy pro subdomény

Chtěl bych poprosit o radu, jestli je to takto ok, případně jestli bych neměl ty záznamy poupravit. Jedná se o mou soukromou doménu, kde si hraji. Zdá se, že to všechno fachá, ale přecejen chci to mít dobře nastavené, aby mi to neposílalo maily do spamu, nebo aby to někdo nevyužíval na posílání spamů.

Ještě bych se chtěl zeptat na Váš názor na:

Kód: [Vybrat]

This box's reverse DNS is currently [Not Set], but it should be box.littlehill.xyz. Your ISP or cloud provider will have instructions on setting up reverse DNS for this box.
Hostuju to u hukot.net a měly by tam ty reverzní záznamy být nastavené (jak ipv4, tak ipv6), ale pravidelně mi to hlásí, že nejsou, s hukotem jsem to řešil, ale prý to mají ok, co mám zkušenost s vpsfree.cz tak tam jsou nastaveny korektně.
Má se nastavit nějaké specifické ttl?

Děkuji za případné rady..

[Reklama]

[mensinamlcici]

Prosím o otestování přes https://www.mail-tester.com/ ... sám tam mám 10/10 ... to mi zatim stačí ... nebo by nemělo?


to že máš "hosting" nebo "doménu" ... kdo se Ti stará o DNS?
Ještě postřeh - to, že já něco nastavím, tak znamená, že ještě musím počkat, než to zná internet ... než se to zpropaguje

jestli tvrdí, že to mají ok, tak ať dodají výpis co nastavili a zobrazuje se

[McFly]

revezrní záznamy otestovat zde https://dnschecker.org/reverse-dns.php (ipv4 i ipv6 serveru)

a prohnat to přes https://mecsa.jrc.ec.europa.eu/en/

rua a ruf v dmarc zázamu nastaven nemáte, stačí doplnit

[Filip Jirsák (forum)]

Nevypadá to, že by doména littlehill.xyz existovala. Pokud chcete poradit, je dobré uvést skutečnou doménu, abychom se na ty záznamy mohli podívat. Pokud mermomocí chcete doménu skrývat, používají se domény example.com, example.net, example.org a example.edu, aby nedocházelo k záměně se skutečnými doménami.

Tag rua slouží k zasílání přehledů/statistik o splnění/nesplnění pravidel stanovených DMARC záznamem. Používá se to pro zjištění, zda někde nemáte něco nastavené špatně, nebo zda se za vás někdo nezkouší vydávat.

Tag ruf je něco podobného, ale používá se to pro informování o jednom konkrétním chybném e-mailu.

Je dobré začít s něčím méně přísným, než je reject, sledovat tyto reporty a teprve když víte, že je vše v pořádku, politiku zpřísňovat.

S tím reverzním záznamem je to to samé – když neznáme konkrétní adresy, těžko k tomu něco napsat.

[kopevi2]

Prosím o otestování přes https://www.mail-tester.com/ ... sám tam mám 10/10 ... to mi zatim stačí ... nebo by nemělo?


to že máš "hosting" nebo "doménu" ... kdo se Ti stará o DNS?
Ještě postřeh - to, že já něco nastavím, tak znamená, že ještě musím počkat, než to zná internet ... než se to zpropaguje

jestli tvrdí, že to mají ok, tak ať dodají výpis co nastavili a zobrazuje se

Tak mám 10/10. DNS mám vlastní v rámci mail-in-a-box, u registrátora domény ultahost.com ,mám pouze glue záznamy ns1.box.littlehill.xyz a ns2.box.littlehill.xyz, které tedy odkazují na tu vps u hukotu, kde mám to miab.

revezrní záznamy otestovat zde https://dnschecker.org/reverse-dns.php (ipv4 i ipv6 serveru)

a prohnat to přes https://mecsa.jrc.ec.europa.eu/en/

rua a ruf v dmarc zázamu nastaven nemáte, stačí doplnit

Ten dns chcecker říká, že je to ok (ipv4 i ipv6)
mecsa mi píše 3x 5/5 bodů takže asi ok.

Nevypadá to, že by doména littlehill.xyz existovala. Pokud chcete poradit, je dobré uvést skutečnou doménu, abychom se na ty záznamy mohli podívat. Pokud mermomocí chcete doménu skrývat, používají se domény example.com, example.net, example.org a example.edu, aby nedocházelo k záměně se skutečnými doménami.

Tag rua slouží k zasílání přehledů/statistik o splnění/nesplnění pravidel stanovených DMARC záznamem. Používá se to pro zjištění, zda někde nemáte něco nastavené špatně, nebo zda se za vás někdo nezkouší vydávat.

Tag ruf je něco podobného, ale používá se to pro informování o jednom konkrétním chybném e-mailu.

Je dobré začít s něčím méně přísným, než je reject, sledovat tyto reporty a teprve když víte, že je vše v pořádku, politiku zpřísňovat.

S tím reverzním záznamem je to to samé – když neznáme konkrétní adresy, těžko k tomu něco napsat.

Děkuji za popis, a myslíte tedy, že ty rua/ruf záznamy mohu ignorovat?
případně, že tam mám dát něco jako

Kód: [Vybrat]

_dmarc.yourdomain.com TXT v=DMARC1; p=quarantine; rua=mailto:admin@yourdomain.com; rua=mailto:admin@yourdomain.com;
Doména littlehill.xyz samozřejmě neexistuje, je to otrocký překlad mého příjmení do angličtiny s koncovkou jakou mají obvykle organizace(org). Omlouvám se, jestli je to skutečně třeba, ale nechtěl jsem zveřejňovat (hlavně pro roboty) reálné ip a domény (přece jen jsem laik, tak se raději ptám nekonkrétně, kdyby tam byl opravdu nějaký kiks)...

[Reklama]

[Václav Ovsik]

jen takový nápad - neschází ti u těch dat za TXT uvozovky??? Možná to chybí jenom tady ve fóru, ale středník je pak v zónovém souboru komentář...

[Filip Jirsák (forum)]

Děkuji za popis, a myslíte tedy, že ty rua/ruf záznamy mohu ignorovat?

Můžete je ignorovat, ale zejména při absenci tagu rua se pak nedozvíte, že je něco špatně. Jak jsem psal, je dobré začít s tím, že uvedete rua, politiku nastavíte na none, a budete sledovat reporty, zda není někde něco špatně. Že jste si třeba neuvědomil, že se ta e-mailová adresa používá ještě někde, kde se e-maily posílají přímo, ne přes hlavní poštovní server.

V SPF máte uvedeno, že e-maily z vaší domény smí odesílat akorát servery uvedené v MX záznamech pro uvedenou doménu. Tam je uveden jen jeden záznam box.<vaše-doména>. Ten má jeden A záznam a jeden AAAA záznam a obě dvě adresy mají nastaven reverzní záznam zpět na box.<vaše-doména>. Takže pokud se e-maily posílají skutečně z těch IP adres, mělo by to být v pořádku.

Ještě bych doporučil nastavit DKIM, pokud to nemáte. Bez toho se nedají vámi odeslané e-maily rozumně přeposílat.

Ještě bych se chtěl zeptat na Váš názor na:

Kód: [Vybrat]

This box's reverse DNS is currently [Not Set], but it should be box.littlehill.xyz. Your ISP or cloud provider will have instructions on setting up reverse DNS for this box.

Odkud tahle hláška pochází? Vztahuje se skutečně k IP adrese odesílajícího poštovního serveru?

Omlouvám se, jestli je to skutečně třeba, ale nechtěl jsem zveřejňovat (hlavně pro roboty) reálné ip a domény (přece jen jsem laik, tak se raději ptám nekonkrétně, kdyby tam byl opravdu nějaký kiks)...

Minimálně vaši IPv4 adresu už roboti stejně navštívily. IPv4 adres je málo, takže pro roboty není problém navštívit všechny. A o doméně už také vědí z Certificate Transparency listu, protože na ni máte vystaven důvěryhodný TLS certifikát (což je v správně).

Pokud se přesto bojíte uvádět doménu a IP adresu rozpoznatelnou pro roboty, je dobré je uvést alespoň tak, aby to mohl čtenář dekódovat. Stačí napsat třeba example tečka com, s tím se roboti obtěžovat nebudou. A když fakt chcete tu doménu před diskutujícími udržet v utajení, používejte ty domény example, ať je na první pohled jasné, že to není skutečná doména. Navíc takhle jste sice svou doménu ochránil, ale kdyby doména littlehill.xyz byla zaregistrovaná (TLD xyz existuje), vystavil byste ji tomu, před čím jste chtěl uchránit svou doménu.

[Filip Jirsák (forum)]

jen takový nápad - neschází ti u těch dat za TXT uvozovky??? Možná to chybí jenom tady ve fóru, ale středník je pak v zónovém souboru komentář...

Nikoli, DNS server vrací celý záznam, tak jak byl uveden v prvním komentáři.

[kopevi2]

jen takový nápad - neschází ti u těch dat za TXT uvozovky??? Možná to chybí jenom tady ve fóru, ale středník je pak v zónovém souboru komentář...

to se priznam, že nevím, dns záznamy nastavuju pře webove rozhrani miab...
ještě posílám výpis z MECSA

Děkuji za popis, a myslíte tedy, že ty rua/ruf záznamy mohu ignorovat?

Můžete je ignorovat, ale zejména při absenci tagu rua se pak nedozvíte, že je něco špatně. Jak jsem psal, je dobré začít s tím, že uvedete rua, politiku nastavíte na none, a budete sledovat reporty, zda není někde něco špatně. Že jste si třeba neuvědomil, že se ta e-mailová adresa používá ještě někde, kde se e-maily posílají přímo, ne přes hlavní poštovní server.

V SPF máte uvedeno, že e-maily z vaší domény smí odesílat akorát servery uvedené v MX záznamech pro uvedenou doménu. Tam je uveden jen jeden záznam box.<vaše-doména>. Ten má jeden A záznam a jeden AAAA záznam a obě dvě adresy mají nastaven reverzní záznam zpět na box.<vaše-doména>. Takže pokud se e-maily posílají skutečně z těch IP adres, mělo by to být v pořádku.

Ještě bych doporučil nastavit DKIM, pokud to nemáte. Bez toho se nedají vámi odeslané e-maily rozumně přeposílat.

Ještě bych se chtěl zeptat na Váš názor na:

Kód: [Vybrat]

This box's reverse DNS is currently [Not Set], but it should be box.littlehill.xyz. Your ISP or cloud provider will have instructions on setting up reverse DNS for this box.

Odkud tahle hláška pochází? Vztahuje se skutečně k IP adrese odesílajícího poštovního serveru?

Omlouvám se, jestli je to skutečně třeba, ale nechtěl jsem zveřejňovat (hlavně pro roboty) reálné ip a domény (přece jen jsem laik, tak se raději ptám nekonkrétně, kdyby tam byl opravdu nějaký kiks)...

Minimálně vaši IPv4 adresu už roboti stejně navštívily. IPv4 adres je málo, takže pro roboty není problém navštívit všechny. A o doméně už také vědí z Certificate Transparency listu, protože na ni máte vystaven důvěryhodný TLS certifikát (což je v správně).

Pokud se přesto bojíte uvádět doménu a IP adresu rozpoznatelnou pro roboty, je dobré je uvést alespoň tak, aby to mohl čtenář dekódovat. Stačí napsat třeba example tečka com, s tím se roboti obtěžovat nebudou. A když fakt chcete tu doménu před diskutujícími udržet v utajení, používejte ty domény example, ať je na první pohled jasné, že to není skutečná doména. Navíc takhle jste sice svou doménu ochránil, ale kdyby doména littlehill.xyz byla zaregistrovaná (TLD xyz existuje), vystavil byste ji tomu, před čím jste chtěl uchránit svou doménu.

Děkuji, mělo by to být ok-gmail, seznam, centrum maily přijímají, a dle těch online testů to jede dobře, dkim bych nastavený měl mít:

Kód: [Vybrat]

mail._domainkey.example.com TXT v=DKIM1; h=sha256; k=rsa; s=email; p=MIIBIjANBgkqhkiG9w0BA................atd