Добрый день, Уважаемые!Помогите разобраться с ситуацией. Настроена почта postfix+opendkim+dovecot
Всё работает, dns настроены, spf, dkim проприсан, dmarc указан, mxtoolbox сообщает, что всё ок.
Тест при отсылке на gmail - говорит всё ок, в заголовках dkim=pass
При отсылке на mail.ru - также всё ок.
При отсылке на другой мой частный почтовик с проверкой dkim'а - также всё ок.
А вот при отсылке на яндекс, письмо идёт в спам с пометкой о невалидной dkim подписи и предположении, что письмо было изменено после отправки.Скажите пожалуйста ваши предположения о том, как эту ситуацию продиагностировать и может даже победить?
До этого момента я считал гуглопочту самой замороченной и проблемной, но тут с ней всё отлично, а вот яндекс недоволен.
Проверка DKIM происходит автоматически на стороне получателя. Если домен в письме не авторизован для отправки сообщений, то письмо может быть помечено подозрительным или помещено в спам, в зависимости от политики получателя.
> Проверка DKIM происходит автоматически на стороне получателя. Если домен в письме не
> авторизован для отправки сообщений, то письмо может быть помечено подозрительным или
> помещено в спам, в зависимости от политики получателя.Добрый день!
Домен не авторизован - это что значит? В днс всё от птр, мх, sfp, до dkim и dmarc'а прописано.
Яндекс конкретно вешает плашку с причиной: "Невалидная dkim подпись"
При щелчке на замок у отправителя в веб-интерфейсе пишет всё ок, кроме dkim, там пишет: "Письмо изменено после отправки"Письмо шлётся с ip-камеры, через почтовый сервер с авторизацией. При указании отослать на гугл или другие почтовики - туда приходит "чистое" письмо, без проблем. А при указании яндекс-почты, приходит как описано выше.
Я немного не могу понять как это может происходить.
> Я немного не могу понять как это может происходить.Слово "немного", по-моему, здесь лишнее ;-)
Один из возможных сценариев.
Для связки postfix+opendkim достаточно частая ошибка, когда перечень заголовков, которые подлежат защите DKIM удваивается. Выглядит это вот так:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ххххххх.ru; h=content-type:content-type:from:from:subject:subject:to:to....Различные реализации проверки DKIM по разному реагируют на ошибки оформления. Некоторые почтовики нормально пропускают такое. Некоторые отбрасывают как не валидную.
Проверь. Может быть и у тебя такое.
> Один из возможных сценариев.
> Для связки postfix+opendkim достаточно частая ошибка, когда перечень заголовков, которые
> подлежат защите DKIM удваивается. Выглядит это вот так:
> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ххххххх.ru; h=content-type:content-type:from:from:subject:subject:to:to....
> Проверь. Может быть и у тебя такое.Добрый день!
Заголовки я проверял. Вот с письма данные:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=domen.ru; s=relay;
t=1760419087; bh=КАКАЯ_ТО_ХЕШ_ПОДПИСЬ;
h=From:To:Date:Subject;
b=КАКАЯ_ТО_ХЕШ_ПОДПИСЬ
это означает, что заголовки письма меняются уже после того, как оно подписывается сертификатом сервера
это означает, что некоторые не умеют правильно настраивать postfix+opendkim
есть ли в настройках postfix header_checks?
> есть ли в настройках postfix header_checks?Добрый день!
Да, в настройках есть замена заголовка, чтобы данные об ip отправителя убирал.
/^Received: from .*?\(Authenticated sender: [^)]+\)[[:space:]]+(by.*)/ REPLACE Received: ${1}
/^Received: from .*?\(.*\[[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+\]\)/ REPLACE Received: by mx.domen.ru
Я про это уже думал и замену заголовка Received отключал. Сейчас вот ещё раз сделал, проверил - так же яндекс отправил с той же резолюцией в спам, а заголовок Received в письме без каких-либо правок.
Да и более того в подписи dkim этот заголовок у меня не участвуетDKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=domen.ru; s=relay;
t=1760419814; bh=_КАКОЙ_ТО_ХЕШ_;
h=From:To:Date:Subject;
b=_КАКОЙ_ТО_ХЕШ_
И больше всего меня смущает то, что другие-то почтовики говорят, что dkim=pass. Не могут же многие почтовики ошибаться, а один яндекс - д'Артаньяном быть?
а в dns какие записи вы сделали насчёт dkim? имеется ввиду режим только подписанные или могут быть неподписанные или discardable?
значения полей from и reply-to совпадают в письмах?
Проверьте, что домен, указанный в поле FROM: ваших писем, совпадает с доменом из SPF-записи или DKIM-подписи с точностью до домена верхнего уровня.Яндекс кроме dkim также обязательно проверяет spf
Может потребоваться до 72 часов, чтобы DNS-серверы в интернете обменялись данными о новых DNS-записях.
Еще версия для проверки.>h=From:To:Date:Subject;
Это не совсем стандартный сокращенный перечень заголовков для подписывания.
В RFC 6376 (DKIM) по поводу заголовков сказано:
signing fields present in the message such as Date, Subject, Reply-To, Sender, and all MIME header fields are highly advised.
Может в Яндексе "highly advised" воспринимают как "обязательно"?
>[оверквотинг удален]
> При отсылке на mail.ru - также всё ок.
> При отсылке на другой мой частный почтовик с проверкой dkim'а - также
> всё ок.
> А вот при отсылке на яндекс, письмо идёт в спам с пометкой
> о невалидной dkim подписи и предположении, что письмо было изменено после
> отправки.
> Скажите пожалуйста ваши предположения о том, как эту ситуацию продиагностировать и может
> даже победить?
> До этого момента я считал гуглопочту самой замороченной и проблемной, но тут
> с ней всё отлично, а вот яндекс недоволен.Не проверял как мои письма приходят на яндекс, но очень много писем от яндекса падают в спам (не все, но многие) из-зи того, что не проходят проверку dkim. Грешил на свой почтовый сервер, но решил проверить - и результат сервисы проверки пишет что DKIM письма некорректный: DKIM-Result: fail (bad signature). Походу у яндекса кривая реализация dkim, что в ту, что в другую сторону