Perguntas[email](server)

Quais são as causas potenciais para a configuração de verificação de e-mails recebidos(!) do OpenDKIM dkim=permerrorno Authentication-Resultscabeçalho de cada e-mail recebido? Isso inclui aqueles e-mails que passam se eu os enviar para outra caixa de correio administrada por algum provedor que define dkim=passpara eles. Então eu sei que apenas meu OpenDKIM pensa que esses e-mails de alguma forma não passam, e isso afeta todos os remetentes de todos os lugares.

Estou com dificuldade para encontrar informações na internet sobre as diferentes causas permerrordisso.

E o que poderia fazer com que o motivo exato do erro fosse omitido? Estranhamente, não há parênteses adicionados, o que vejo mencionado na internet às vezes, como permerror (no key), mas meu OpenDKIM não parece fazer isso por algum motivo.

A configuração do OpenDKIM que eu uso é bem curta:

PidFile   /var/run/opendkim/opendkim.pid

SignHeaders   From,Sender,To,CC,Subject,Message-Id,Date

OversignHeaders   From,Sender,To,CC,Subject,Message-Id,Date

AlwaysAddARHeader   yes

Mode   sv

UserID   opendkim

ExternalIgnoreList   <myemaildomain here>, localhost

InternalHosts   <myemaildomain here>

KeyTable   /etc/opendkim/KeyTable.txt

SigningTable   refile:/etc/opendkim/SigningTable.txt

Omiti os arquivos da tabela de chaves e da tabela de assinaturas, pois o e-mail de saída funciona perfeitamente de qualquer maneira. O problema são apenas as verificações do que os outros me enviam.

Embora eu esteja interessado em uma resposta genérica, esta é a versão específica do OpenDKIM que eu uso:

# opendkim -V
opendkim: OpenDKIM Filter v2.11.0
    Compiled with OpenSSL 3.3.2 3 Sep 2024
    SMFI_VERSION 0x1000001
    libmilter version 1.0.1
    Supported signing algorithms:
        rsa-sha1
        rsa-sha256
        ed25519-sha256
    Supported canonicalization algorithms:
        relaxed
        simple
    libopendkim 2.11.0:

Estou tentando entender a abordagem correta para oferecer suporte a e-mail via Postfix/Dovecot para usuários autenticados em rede e vários serviços de rede, como o Gitlab.

Meu servidor de autenticação de rede é o Ubuntu 22.04, usando OpenLDAP e Kerberos. Todos os meus usuários autenticados em rede herdam das classes posixAccountde PostfixBookMailAccountobjeto e enquanto minhas contas de serviço herdam apenas da última. Esta é uma tentativa de permitir login em várias máquinas apenas dos meus usuários, mas não das contas de serviço, mas para dar suporte a e-mail para ambos.

Tentei configurar o Dovecot para usar o pamdriver que funcionou para o e-mail do usuário, mas o Gitlab não funcionou. Modifiquei as configurações do PAM (que utilizavam Kerberos, mas não LDAP) adicionando LDAP antes do Kerberos. Isso incluiu configurar o PAM LDAP para pesquisar com base em mailEnabledem vez de posixAccountpara pesquisa do usuário, mas algo pode estar errado, pois ainda funcionou para usuários, mas não para serviços.

Também tentei configurar o Dovecot para usar o ldapdriver e fazer uma busca semelhante, mailEnabledmas algo também está errado, pois não funcionou para nenhuma conta.

Parece que eu poderia capitular e simplesmente criar contas de usuário para serviços como o Gitlab, mas isso desperta minha paranoia de segurança.

Antes de girar minhas rodas muito mais longe ou ir na direção errada, eu gostaria primeiro de entender se faz sentido distinguir essas duas fontes de e-mail ou se estou apenas pensando demais. Se eu deveria distinguir, alguém pode me indicar materiais de referência que descrevam essa abordagem ou fornecer algumas dicas se houver / quais considerações fazer ao configurar Postfix/Dovecot. Até agora, não tenho nenhuma combinação que se adapte a ambos os tipos de conta. Minha pesquisa na web não revelou nada sobre qual abordagem adotar e, portanto, nenhum material relevante.

Meu 10-auth.confcontém:

auth_krb5_keytab = /etc/dovecot/dovecot.keytab
auth_mechanisms = plain login gssapi

onde o keytab foi preenchido com imap, nslcde smtpprincipais.

Quando configurado para PAM, meu auth-network.conf.extse parece com:

passdb {
  driver = pam
}
userdb {
  driver = passwd
  args = uid=vmail gid=vmail home=/srv/vmail/%u mail=maildir:/srv/vmail/%u/Maildir
}

e quando configurado para LDAP é:

passdb {
  args = /etc/dovecot/dovecot-ldap.conf.ext
  driver = ldap
}
userdb {
  driver = prefetch
}
userdb {
  args = /etc/dovecot/dovecot-ldap.conf.ext
  driver = ldap
}

Tenho um servidor Ubuntu 20.04 e um domínio example.com onde instalei o Postfix e o Opendkim via apt.

Em /etc/opendkim.confeu tenho

Socket local:/run/opendkim/opendkim.sock

O arquivo existe.

$ ls -l /run/opendkim/opendkim.sock
ls: cannot access '/run/opendkim/opendkim.sock': Permission denied
$ sudo ls -l /run/opendkim/opendkim.sock
srwxrwx--- 1 opendkim opendkim 0 Oct  4 21:19 /run/opendkim/opendkim.sock

Adicionei o postfix ao grupo opendkim.

$ groups postfix
postfix : postfix opendkim

Eu também tentei reiniciar por sudo reboot.

Quando eu faço isso

echo "This is the body of the email." | mail -s "Subject of the Email" [email protected]

Mas recebi esse erro.

Oct 04 23:58:24 ubuntu postfix/cleanup[52998]: 
warning: connect to Milter service local:/run/opendkim/opendkim.sock: No such file or directory

Eu olhei mais de perto

$ ps -p 52998 -o pid,comm,user,%cpu,%mem,stime,tty
    PID COMMAND         USER     %CPU %MEM STIME TT
  52998 cleanup         postfix   0.0  0.2 00:00 ?

O usuário é postfix e deveria ter acesso ao arquivo de socket, mas o diário do sistema diz que não.

um usuário na minha empresa tem o erro de que há e-mails presos na caixa de saída, que não permitem que eles se excluam. Eu reconheci que, quando eu conecto a caixa de correio compartilhada como uma conta e envio e-mails diretamente da conta, os e-mails também ficam presos na caixa de saída e não saem da caixa de saída - ou deixam que eles sejam excluídos, movidos ou arquivados. MAS quando eu removo a caixa de correio compartilhada como uma conta e envio e-mails com o botão "enviar de", os novos e-mails enviados não ficam presos na caixa de saída. De qualquer forma, os e-mails na caixa de saída da caixa de correio compartilhada ainda estão lá, e eu não consigo tirá-los e estou ficando sem ideias. O que eu tentei:

Removi o perfil e limpei todos os Caches, várias vezes. Tentei remover os Mails com MFCMAPI Conectado para remover os Mails da minha conta, PC separado - Não vi nenhum mail na caixa de saída. Removi as permissões na caixa de correio compartilhada e a habilitei novamente - não funcionou. Alguma ideia, o que eu também poderia tentar?

THX!

Tenho tentado melhorar uma configuração DNS já funcional para entrega de e-mail e descobri que, por algum motivo, não entendo que preciso ter uma entrada mail.domainxxx.com para que minha configuração MX funcione, mesmo que não faça qualquer referência a mail.domainxxx.com em qualquer lugar.

Eu estava tentando remover mail.domainxxx.com e deixar apenas entradas para domainxxx.com, mas por algum motivo aquela entrada mail.domainxxx.com específica era necessária (é claro, entradas MX correspondentes).

Existe algo documentado em algum RFC ou documento de especificação semelhante que eu não conheço.

Atualização: outra pista para o erro, quando uso um servidor SMTP AWS SES, recebo o seguinte erro de entrega

Relatórios-MTA: DNS; axx-xx.smtp-out.amazonses.com

Ação: falha no destinatário final: rfc822; [email protegido] Código de diagnóstico: smtp; 550 4.4.7 Mensagem expirada: não foi possível entregar em 840 minutos.<421 4.4.1 Falha ao estabelecer conexão> Status: 4.4.7

Ao investigar os relatórios do DMARC, percebi que realmente não entendo alguns aspectos do email. Estou tentando ter certeza de que os conceitos relacionados ao SPF e DMARC estão corretos.

Se uma mensagem de e-mail passar por vários nós intermediários...

1. Cada conexão entre servidores passa em um envelope com valor "MAIL FROM:" estabelecido durante o handshake SMTP inicial pelo MUA do remetente. O valor de "MAIL FROM:" não muda à medida que a mensagem viaja pela rede. O MTA final pode adicionar um cabeçalho "Return-Path:" baseado em "MAIL FROM:".
2. O elemento "<header_from>" nos relatórios DMARC é baseado no cabeçalho "From:" da mensagem, que é definido pelo cliente do remetente.
3. O MTA final da cadeia implementa as verificações SPF e DMARC. O SPF verifica o endereço IP de origem do nó conectado a ele. Não é o endereço IP de origem de origem.
4. Os nós intermediários não realizam verificação de SPF. Eles retransmitem principalmente o e-mail sem alterar as informações do envelope.
5. Dado o ponto três, o registro SPF TXT do meu DNS deve incluir o endereço IP de cada nó intermediário possível que possa se conectar diretamente ao MTA do destinatário.

Portanto, uma vez que os nós intermediários não desempenham nenhum papel no SPF. Se eu pudesse garantir que e-mails falsos fossem injetados no meio da cadeia; antes do nó fazer a conexão com o MTA final. Então o SPF passaria? Também deve ser possível falsificar "MAIL FROM:" e "From:"; então o DMARC também passaria?

O que foi dito acima está correto ou há algum outro ponto que perdi?

Há várias semanas que estou procurando uma resposta para o meu problema atual, por isso estou perguntando aqui na esperança de que alguém possa lançar alguma luz ou me indicar a direção certa.

Estou tentando configurar o Postfix de forma que:

1. A correspondência recebida [email protected]é entregue em /some/custom/MailDir/.
2. A correspondência recebida [email protected]é entregue em /different/custom/MailDir/.
3. O correio de saída pode ser enviado de qualquer usuário/domínio.
4. [email protected]e [email protected]deve ter Maildirs personalizados separados, ou seja, /custom/user3/domain1/mail//diferente/user3/domain2/mail/`

Não consegui encontrar uma explicação clara de como conseguir isso online.

Até agora, como cada domínio requer um nome de caminho de diretório personalizado, acredito que precisarei usar várias instâncias do postfix. Eu estive investigando postmulti. Tenho 2 instâncias do postfix em execução, usando o postmulti, mas não está claro para mim como atingir meus objetivos acima usando o postmulti.

Estou pensando que possivelmente preciso ter uma única instância escutando mensagens externas. Com base no endereço do destinatário do email recebido, essa instância encaminha o email para uma instância interna separada. Essa instância tem seu próprio mail_spool_directory, que posso configurar para entregar onde eu desejar.

Estou executando o bash no Ubuntu. Meu postfix é a versão 3.9.0. Eu tenho uma única instância configurada com sucesso para entregar/receber mensagens em um diretório personalizado.

O nome do host do servidor de e-mail do qual você envia e-mails sempre deve ter um rDNS (tipo PTR) com o mesmo nome?

Pergunto porque notei que o nome do meu servidor de e-mail não tem o mesmo nome que o registro PTR para seu endereço IP, mas sim o nome do host do registro MX.

Nesse caso, é melhor alterar o nome do meu servidor de e-mail ou pedir ao meu ISP para alterar o PTR do seu endereço para que sejam iguais?

Eu tenho um arquivo body_checks para postfix.

Infelizmente raramente, mas às vezes e-mails importantes não são recebidos, porque são rejeitados pelos body_checks, embora não deva haver correspondência. Aqui está meu arquivo body_checks:

body_checks = pcre:/etc/postfix/body_checks

/xxlady/                               REJECT
/Aktfotos/                             REJECT
/betrogen/                             REJECT
/Anlageempfehlung/                     REJECT
/Porno/                                REJECT
/Pornovideo/                           REJECT
/Pfund/                                REJECT
/Wohltatigkeitsorganisation/           REJECT
/TronTee/                              REJECT
/90offbags/                            REJECT
/90offsunglasses/                      REJECT
/porn/                                 REJECT
/masturbieren/                         REJECT
/CPF\s057\s200\s664\s645/              REJECT
/CPF\s057\sxxx\sxxx\s645/              REJECT
/CPF\sO57\s2OO\s664\s645\./            REJECT
/Pu\$\$y/                              REJECT
/S#x/                                  REJECT
/Bitcoin-Wallet/                       REJECT
/track-paket-149/                      REJECT
/dhl-paket-track/                      REJECT
/asfona\.net/                          REJECT
/Ihr\sDHL-Team/                        REJECT
/Stockwell-London/                     REJECT
/Ray\sBan\sSunglasses\s2023\sStyle/    REJECT
/Bored\sApe/                           REJECT
/www\.85off-lv\.com/                   REJECT
/https:\/\/www\.85off-lv\.com/         REJECT
/Temps\sde\slecture/                   REJECT
/Spendencode/                          REJECT
/Viagra\sPrice/                        REJECT
/McAfeefor/                            REJECT
/McAfee/                               REJECT
/breercecet/                           REJECT
/WANCZYK/                              REJECT
/tinyurl/                              REJECT
/pessinastefano986/                    REJECT

A mensagem de erro que recebo é:

2024-04-08T10:33:45.983819+02:00 admin postfix/cleanup[1414013]: 37595320177: reject: body ImTpT+mI0EwcUpHvMLuJSvUWb7mYBmN1zQpOrN0o7X6ipZgpUna92TxyHzObekdTa8IwZkqmS9fO from o4.transactional.digitecgalaxus.ch[168.245.116.150]; from=<bounces+12270525-14cf-kontakt=rafaelbetz.de@em1070.notifications.galaxus.de> to=<[email protected]> proto=ESMTP helo=<o4.transactional.digitecgalaxus.ch>: 5.7.1 message content rejected

Não entendo o que é esse corpo criptografado ImTpT+mI0EwcUpHvMLuJSvUWb7mYBmN1zQpOrN0o7X6ipZgpUna92TxyHzObekdTa8IwZkqmS9fO e por que ele foi rejeitado. Mas a correspondência era definitivamente legítima.

Meu e-mail está hospedado em um servidor, IP xxxx

Estou usando o domínio example.com para exibir um site. Meu domínio é IP aaaa

Configurações atuais:

A     mail.example.com    x.x.x.x
A     webmail.example.com    x.x.x.x
A     example.com         y.y.y.y
MX    example.com         mx4.blabla.com
MX    example.com         mx3.blabla.com
MX    example.com         mx2.blabla.com
MX    example.com         mx1.blabla.com
TXT   example.com         v=spf1 include:spf.blabla.com -all 

O status atual do e-mail é: não funciona.

Preciso manter example.com em yyyy e email hospedado em xxxx

Como posso resolver o problema?