Snažím se porozumět celému tomuto ověřovacímu řetězu, podmínkám a vyvodit z toho pravidla , jaké proměnné mají být v DNS, EHLO, dál co v případě ,když odesílání mailu je delegováno na jiné "mailingové služby"( takové ty smartemailingy). Samozřejmě takové ty klíčové věci, jako že (TCP)komunikuje vždy IP adresa (a ne doména) nebo protokol SMTP nebo nutné záznamy v DNS a i princip SPF znám (tam trochu váhám, jestli platí striktní definice, že se kontroluje IP adresa komunikující strany v TCP spojení. Někde jsem četl že prý kontroluje i Envelope sender a že se doporujčuje i kontrolovat HELO).
Jako chtěl jsem si to vypátrat sám, ale má to dva háčky: jednak množství subjektů, které to mají
správně je jak zrnko v poušti (ostatně stačí se podívat po pravici ) a za druhé bych musel někde zchrastit "tcpdump" komunikace někde (pro přečtení EHLO).
Dokonce i nepřímou komunikaci(myslím, že server MX dělá souběžný doménový lookup, RBL check...)
Narazil jsem na toto:
Obecně je potřeba držet se následujícího:
* Čistá IP co není na blacklistu,
* ani IP z /24 rozsahu nebo /64 prefixu nesmí být na blacklistu,
** * reverzní záznam na této IP, **
** * doména z reverzního záznamu musí být v EHLO hlavičce, **
* správně nastavené DKIM,
* správně nastavené SPF,
* odesílání pošty schované za ověřováním,
* neposílat emaily moc rychle,
* kontrolovat délku fronty,
* kontrolovat do narazí na limity.
Předpokládám že tím se myslel
jako objekt počítač (tedy konkrétní IP adresa) jakožto zdroj mailového provozu (oproti uživateli,doméně)
Tam mi nesedí že doména z reverzního záznamu musí být v EHLO.(Ano už se říkalo že jde o nesmyslnou buzeraci):
Pokud máš neexistující/špatné HELO/EHLO uvítání, třeba náš poštovní server tě odmítne. Je potřeba, aby minimálně existoval A záznam k HELO/EHLO. Nejlepší situace je mít v HELO/EHLO existující A záznam (+ odpovídající PTR záznam pro IP serveru). Jinak SPF záznam na HELO/EHLO máme nastaveno taky - SpamAssassin tě za to malinko odmění. :-)
Zrovna nyní řeším s jednou větší firmou, že jeden jejich server je "neoptimálně" nastavený - špatný PTR (neexistující A), taky chybné HELO/EHLO a třešnička na dortu je striktní SPF záznam, který ale neodpovídá tomu serveru, takže sami říkají, ať jejich poštu rovnou zahodíme... tak zahazujeme.
Tam mi nesedí že doména z reverzního záznamu musí být v EHLO.(Ano už se říkalo že jde o nesmyslnou buzeraci) .
Není to moc přehnaný požadavek?Jsou tu údaje: ip adresa, ze které mail odchází ("to si nevybereš", to se musíš přesunout k jinému počítači - hodnota určená ip protokolem) a "textová hodnota" za MAIL FROM ("papír snese všechno"-tam lze napsat arbitrární hodnotu)
Z toho lze odvodit:
-z ("živé")ip adresy lze vyvodit PTR .
-z MAILFROM části za @ lze
vyvodit vyhledat ip adresu a z ní následně druhé PTR.
Takže celkem 5 hodnot.
Prozatím ani neuvažujeme SPF! Mailfrom je jasné. A co se tedy má s čím rovnat?
Hlavně pak bych chtěl rozebrat tu shodu HELO, MAIL FROM (část za @).
Mimojiné, DKIM záznam ležící přímo na doména.cz je asi špatně že? (Má být
selektor._domainkey.domena.cz)
52 Odpovědí
27066 Zhlédnutí