Chybné DMARC reporty aneb chybička se vloudila

publikováno 13. 10. 2024 v 14:27

V sobotu jsem se díval online na přednášku z letošních LinuxDays o elektronické poště, e-mailových podvodech, phishingu a SPAMu. A to byl pro mne impuls, abych si dodělal MTA-STS u zbývajích domén, kde jsem to ještě neměl nasazeno, ať to mám komplet. A přitom jsem následně zjistil nemilou věc, že mnou odesílané DMARC reporty jsou nějaké divné.

Result: <dkim>fail</dkim>

Nasadit MTA-STS nebyl žádný problém - nastavit subdomény na webovém serveru s příslušným TXT souborem, zabezpečit je LE certifikátem, vložit záznamy do DNS. Pohoda. A když už jsem to měl hotovo, začal jsem testovat komunikaci mezi svými poštovními servery. Vše OK, bez ztráty kytičky. Teda alespoň jsem si to myslel. :-) Dneska ráno mrknu na DMARC reporty, co si mezi sebou mé servery o půlnoci vyměnily a zaujalo mne, že oba hlásí, že je něco špatně s DKIM podpisem příslušné domény - DKIM result byl ve stavu fail. Divné. Když jsem si otevřel zmíněné testovací e-maily, v hlavičce vidím bezproblémové vyhodnocení Spamassassinem - DKIM podpis je přítomen a je platný. I rozšíření DKIM Verifier v Thunderbirdu hlásí vše OK. Tak proč ta chyba v DMARC reportech?

OpenDKIM + OpenDMARC a Authentication-Results

Začalo hledání jehly v kupce sena, protože jsem netušil, čeho se chytit. Člověk se v těchto věcech nehrabe každý den, takže si ne vše pamatuje. Jednou nastavíte, pak na to roky nesáhnete. :-) Po rychlém přečtení konfigurace jsem na nic špatného nepřišel. Ale našel jsem jednu podivnost v hlavičce testovacího e-mailu - chyběl zde řádek Authentication-Results s výsledkem kontroly DKIM podpisu. Našel jsem si starší přijaté e-maily, taky tam chyběl. Našel jsem si ještě starší e-maily, někdy z roku 2021. A tam už výsledek kontroly platnosti a správnosti DKIM podpisu je! Pamatoval jsem si, že by tam ta informace prostě měla být. Takže jsem bádal, proč tam není nyní a kdo ji tam vlastně vkládá. Vkládá ji OpenDMARC? Ne. Vkládá ji OpenDKIM! OpenDMARC si pouze přebírá výsledek této kontroly. A pokud tam žádný výsledek k nalezení není, v reportu zasílá u kontroly DKIM hodnotu "fail". A je to! Z nějakého důvodu - vážně si nevzpomenu proč, možná nějaké testování? - jsem musel změnit konfiguraci OpenDKIMu, kdy proměnná Mode byla nastavena na hodnotu "s" místo "sv". První volba zajišťuje podepisování DKIM podpisem, druhá zajišťuje podepisování a kontrolu. Problém vyřešen. Nyní již OpenDKIM vkládá výsledek kontroly do hlavičky a následně s ním pracuje OpenDMARC. A reporty jsou už (konečně) v pořádku.

Tweet

štítky: DKIM DMARC e-mail postfix spamassassin SPF
134x přečteno

Copyright © 2015-2024 SOCL.cz, RSS 2.0
Všechna práva vyhrazena, nebo tak nějak.