Paul's questions

Eu tenho um servidor Ubuntu 18.04 com Postfix configurado para enviar através de uma retransmissão de correio de rede local.

Somente quando uma mensagem é gerada por cronela inclui o seguinte no From:cabeçalho:

From: [email protected] (Cron Daemon)

Todas as outras mensagens do servidor são as esperadas:

From: [email protected]

Isso está causando um problema para a assinatura DKIM de retransmissão e parece estar fora de conformidade com a RFC 5322. Minha leitura de 3.4 e Apêndice A.5 é que o endereço provavelmente deveria ser:

From: <[email protected]> (Cron Daemon)

No entanto, posso estar entendendo mal o RFC e há algum outro problema.

Aqui está a configuração atual, que é praticamente apenas a configuração "satélite" padrão criada pelo postfixpacote:

postconf -n:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
compatibility_level = 2
inet_interfaces = loopback-only
inet_protocols = ipv4
mailbox_size_limit = 0
mydestination = $myhostname, relayclient.example.com, localhost.example.com, localhost
myhostname = relayclient.example.com
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost = 192.0.2.85
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes

cat /etc/aliases:

# See man 5 aliases for format
postmaster:    root
root:          [email protected]

cat /etc/mailname:

relayclient.example.com

Existe um requisito técnico (por exemplo, RFC) para atender a uma resposta 404?

Ou algum outro problema surge se as solicitações não encontradas forem descartadas ou as respostas vazias?

Se eu enviar um e-mail de [email protected]com [email protected]o registro DMARC de subdomain.example.com, é necessário criar um registro TXT de relatórios DMARC (por exemplo, subdomain.example.com._report._dmarc.example.com TXT "v=DMARC1")?

Recentemente, habilitei relatórios RUF para aqueles que os solicitaram e ocorreu-me que, se alguém quisesse, poderia forçar meu servidor a gerar muitos relatórios RUF para vários domínios.

Supondo que meu servidor esteja configurado corretamente, é provável que eu ganhe uma reputação negativa se alguém direcionou o servidor para forçá-lo a enviar relatórios RUF excessivos?

Para o SpamAssassin 3.4.2, adicionei o conjunto de regras de configuração abaixo local.cfcom a intenção de fornecer uma pontuação de spam para testes DMARC com falha.

Os cabeçalhos DMARC e SPF Authentication-Results são criados por opendmarce o cabeçalho DKIM Authentication-Results por opendkim.

A saída esperada é uma pontuação para todos os três resultados de cabeçalho adicionados ao cabeçalho X-Spam-Report.

A saída real é apenas para um domínio que tem p=rejectou p=nonecom a pontuação apropriada adicionada ao cabeçalho X-Spam-Report, mas p=quarantinenada é adicionado ao cabeçalho X-Spam-Report, mesmo que os cabeçalhos DMARC, DKIM e SPF Authentication-Results foram adicionados conforme o esperado.

Adicionado a /etc/spamassassin/local.cf:

ifplugin Mail::SpamAssassin::Plugin::AskDNS
askdns __DMARC_POLICY_NONE _dmarc._AUTHORDOMAIN_ TXT /^v=DMARC1;.*\bp=none;/
askdns __DMARC_POLICY_QUAR _dmarc._AUTHORDOMAIN_ TXT /^v=DMARC1;.*\bp=quarantine;/
askdns __DMARC_POLICY_REJECT _dmarc._AUTHORDOMAIN_ TXT /^v=DMARC1;.*\bp=reject;/

meta DMARC_REJECT !(DKIM_VALID_AU || SPF_PASS) && __DMARC_POLICY_REJECT
score DMARC_REJECT 10
meta DMARC_QUAR !(DKIM_VALID_AU || SPF_PASS) && __DMARC_POLICY_QUAR
score DMARC_QUAR 5
meta DMARC_NONE !(DKIM_VALID_AU || SPF_PASS) && __DMARC_POLICY_NONE
score DMARC_NONE 0.1
endif # Mail::SpamAssassin::Plugin::AskDNS

O que há de errado com a configuração?

Configuração relevante:

ssl_protocols TLSv1.2;

Quando testo o servidor no SSL Labs, o teste informa que o TLS 1.3 está disponível e lista as cifras padrão e outros resultados como se TLSv1.3estivessem incluídos no meu config.

Ubuntu Server 18.04.1, OpenSSL 1.1.1 11 de setembro de 2018, Nginx 1.14.1 construído com OpenSSL 1.1.0g

Como posso desabilitar o TLSv1.3?