(SO spam filtresi sorunu nedeniyle bazı isimler değiştirildi)
Arka plan: küçük bir sunucumuz var (aşağıdaki günlüklerde metalab.ifmoru olarak adlandırılan yaklaşık 50 kullanıcı), harici hizmetlere, örneğin gmailcom'a yönlendirmeye izin veriyoruz. Yine de, iki sunuculu bir kurulum kullanıyoruz: Microsoft Exchange 2013'ü kullanarak Edge (doğrudan İnternet'e bağlı) ve Posta Kutusu (güvenlik duvarının arkasında). Posta testinde 10 puanla 10 SPF ve DKIM kayıtlarına sahibiz. Gerçek hayattaki durumlar için giden teslimat iyi, başka hiçbir şey rapor edilmedi ...
Sorun: Bazı dış gönderenler (aşağıdaki günlüklerde mailru, bu listede Yahoo) da sıkı DMARC ilkesi kullanıyor ve sunucumuz aracılığıyla yönlendirme, aşağıdaki gibi tipik bir hata iletisiyle reddedildi:
mx.google.com bir hata mesajı döndürür:
Etki alanının DMARC politikası nedeniyle kimliği doğrulanmayan e-posta yoluyla gönderilen e-postalar kabul edilmedi. Bu meşru bir posta ise, lütfen mailru alanın yöneticisiyle iletişime geçin. Lütfen DMARC girişimi hakkında bilgi edinmek için google’ın bağlantısını ziyaret edin . 62si7948506lfu.198 - gsmtp
Araştırma: dmarc.org'dan tanım gereği
Bir DMARC politikası, bir göndericinin, mesajlarının SPF ve / veya DKIM tarafından korunduğunu göstermesine izin verir ve alıcıya, bu doğrulama yöntemlerinden hiçbiri geçilmezse ne yapması gerektiğini söyler - örneğin, önemsiz veya mesajı reddetme gibi.
SPF ve DKIM'i bir kez daha kontrol etmek için google gelen kutuma bir mesaj gönderiyorum. İyi görünüyor, hepsinde var:
Authentication-Results: mx.google.com;
dkim=pass header.i=@metalab.ifmoru;
spf=pass (google.com: domain of XXXXXXX@metalab.ifmoru designates 77.234.203.179 as permitted sender) smtp.mailfrom=XXXXXXXX@metalab.ifmoru;
dmarc=pass (p=NONE dis=NONE) header.from=metalab.ifmoru
Tamam, yöneltilen iletinin başlığını sıkı bir DMARC politikası olmadan diğer sunuculardan kontrol edelim . Bazen de iyi görünüyorsa:
Received-SPF: pass (google.com: domain of noreply@github.com designates 192.30.252.199 as permitted sender) client-ip=192.30.252.199;
Authentication-Results: mx.google.com;
dkim=pass (test mode) header.i=@github.com;
spf=pass (google.com: domain of noreply@github.com designates 192.30.252.199 as permitted sender) smtp.mailfrom=noreply@github.com;
dmarc=pass (p=NONE dis=NONE) header.from=github.com
Ancak, bazen GETİRMEDİĞİ nedeniyle DKIM kısmına:
Authentication-Results: mx.google.com;
dkim=pass header.i=@metalab.ifmoru;
dkim=neutral (body hash did not verify) header.i=@gmailcom;
spf=pass (google.com: domain of XXXXXXXXXX@metalab.ifmoru designates 77.234.203.179 as permitted sender) smtp.mailfrom=XXXXXXXXXXXX@metalab.ifmoru;
dmarc=fail (p=NONE dis=NONE) header.from=gmailcom
Deney:
1) Kurulum sunucumuzdan (metalab.ifmoru) gmailcom'a google yönlendirmesi
2) Kur, Zimbra sunucusundan (başka bir adres) google'a gmailcom'a yönlendir
3) Mailru'dan yukarıda belirtilen adrese yazılan tek bir mektup gönderin From
.
Sonuç: Sunucumuz üzerinden yönlendirme reddedilir, Zimbra'dan geçen yönlendirme iyi gider. SMTP başlıklarını kontrol ederken aynı başlık bloğunu 1) sunucumuzdaki gelen kutusundaki mesajda 2) Zimbra sunucusundaki 3) yönlendirilen mesajdaki Zimbra'dan buldum. İşte burada:
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mailru; s=mail2;
h=References:In-Reply-To:Content-Type:Message-ID:Reply-To:Date:MIME-Version:Subject:Cc:To:From; bh=rZNB __cut__ znAs=;
b=pIZR __cut__ A8aE=;
Received: from [84.204.20.115] (ident=mail)
by f96.i.mailru with local (envelope-from <XXXXXXXXX@mailru>)
id 1byY2P-0005Ep-6D; Mon, 24 Oct 2016 08:43:09 +0300
Received: from [84.204.20.115] by e.mailru with HTTP;
Mon, 24 Oct 2016 08:43:09 +0300
From: =?UTF-8? __cut__ 0=?= <XXXXXXXXXXXXX@mailru>
To: =?UTF-8? __cut__ =?= <XXXXXXXXXXXXX@metalab.ifmoru>
Cc: =?UTF-8? __cut__ =?= <XXXXXXXXXXXXX@corp.ifmoru>
Subject: =?UTF-8 __cut__ =?=
MIME-Version: 1.0
X-Mailer: mailru Mailer 1.0
X-Originating-IP: [84.204.20.115]
Date: Mon, 24 Oct 2016 08:43:09 +0300
Reply-To: =?UTF-8?B?0JDQudGA0Y0=?= <XXXXXXXXXXXXX@mailru>
X-Priority: 3 (Normal)
Message-ID: <147 __cut__ 947@f96.i.mailru>
Content-Type: multipart/alternative;
boundary="--ALT--biYZ __cut__ 7789"
X-95568C8E: 26815A __cut__ 65AEC6
X-E1FCDC63: 1787D815 __cut__ 84B93
X-E1FCDC64: FAAF71 __cut__ 93F4C0D9
X-Mailru-Sender: D211C __cut__ DD1EA8939684724DAF05A372A3159
X-Mras: OK
X-Spam: undefined
In-Reply-To: <CADQB __cut__ u2f3A@mail.gmailcom>
References: <CADQ __cut__ 3A@mail.gmailcom>
reddedilen iletiye gelince, aynı kısım çok farklı görünüyor - sıra değiştirildi, bazıları başlıklı UTF-8, bazıları koi-8 kodlamasına döndü, x-etiketleri yazımı Camel-Case'den aşağıya, vb. olarak değiştirildi.
From: =?koi8-r? __cut__ =?= <XXXXXXXXXXXXX@mailru>
To: Kon __cut__ nko <XXXXXXXXXXXXX@metalab.ifmoru>
CC: Kon __cut__ nko <XXXXXXXXXXXXX@corp.ifmoru>
Subject: =?koi8-r? __cut__ ?=
Thread-Topic: =?koi8-r?B __cut__ ?=
Thread-Index: AQHSLb __cut__ 65w==
Date: Mon, 24 Oct 2016 05:43:09 +0000
Message-ID: <0c14 __cut__ c21@post.metalab.ifmoru>
References: <CADQB __cut__ 2f3A@mail.gmailcom>
In-Reply-To: <CADQB __cut__ 2f3A@mail.gmailcom>
Reply-To: =?koi8-r? __cut__ ==?= <XXXXXXXXXXXXX@mailru>
X-MS-Has-Attach:
X-MS-Exchange-Inbox-Rules-Loop: XXXXXXXXXXXXX@metalab.ifmoru
X-MS-TNEF-Correlator:
dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mailru;
s=mail2;
h=References:In-Reply-To:Content-Type:Message-ID:Reply-To:Date:MIME-Version:Subject:Cc:To:From;
bh=rZNBy4 __cut__ nAs=;
b=pIZRm8 __cut__ IA8aE=;
x-mailer: mailru Mailer 1.0
x-originating-ip: [84.204.20.115]
authentication-results: f96.i.mailru; auth=pass smtp.auth=XXXXXXXXXXXXX@mailru
smtp.mailfrom=XXXXXXXXXXXXX@mailru
x-95568c8e: 26815 __cut__ 5AEC6
x-e1fcdc63: 1787 __cut__ 4B93
x-e1fcdc64: FAA __cut__ C0D9
x-mailru-sender: D2 __cut__ 3159
x-mras: OK
x-spam: undefined
MS Exchange'in başlıkları yeniden yazarak DKIM'i kırdığı görülüyor. Öyleyse soru şudur: MS Echange aracılığıyla yönlendirme sırasında başlıkların yeniden yazılmasını nasıl önleyebilirim?
İlk girişimler:
1) Gönderenin DKIM imzası bir Exchange Server 2013 ortamında kırıldı, sorunu çözmesi gereken 6 PB'dir. Yardımcı olmuyor. Şu anda CU9 kullanarak.
2) ms-Exch-Send-Headers-Routing
Gönderen konektörlere ekleyin . Alınan başlıkların mesajlardaki korunmasını kontrol eder. Yardımcı olmuyor.
Şununla kontrol edildi:
PS C:\Windows\system32> Get-SendConnector | Get-ADPermission | where {$_.ExtendedRights -like "*routing*"} | fl user, extendedrights
Ekleme linkleri Mesaj göndermeye yetmedi Arama için anahtar kelimeler
- Üstbilgi güvenlik duvarı Exchange 2013
- Exchange'deki başlıklardan dahili yönlendirme bilgileri nasıl kaldırılır
- Exchange 2013: Başlık güvenlik duvarı uygulama
- Exchange Server ile Üstbilgi Yeniden Yazmayı Kullanma
- Edge Transport sunucularında adres yeniden yazma