goldilocks's questions

我有一台运行多年的个人电子邮件服务器；发送邮件很少出现问题，所以我从来没有真正了解过像 SPF、DMARC 和 DKIM 这样的东西。最近，在升级系统时，我决定这样做。

SPF 非常简单，因为我使用一个固定的 IP 地址。

DMARC 几乎一样简单；我最初使用“无”的策略来接收报告并将其放置一两个星期，然后将其切换为拒绝。

我现在已经为邮件服务器实现了一个 DKIM 签名过滤器（Courier MTA，没有为此做好准备）。对于我使用的复杂位dkimpy。这也有一个简单的验证工具，它适用于整个消息，它是否有自己的查找等，这意味着它是虚拟证明，因为只有一种使用它的方法（而签名可以通过各种方式配置并且可能离开留给我把它搞砸的空间）。这传递了我认为应该传递的消息，而传递了我认为不应该传递的消息，所以我对它的工作原理感到相当满意；我已经在从服务器收到的消息上运行它。目前，为了尽量减少问题，我只签署了正文和 From 标头。

但是，我的邮件都没有通过我的测试帐户——一个是 gmail，另一个来自我的 ISP。更重要的是，虽然我现在在 DMARC 记录中同时拥有 rua 和 ruf 地址，但我没有收到任何关于它们的报告。以前，他们都像发条一样。

如果我所做的只是关闭过滤器（所以没有 DKIM sig），一切都会再次运行。我已经检查过服务器实际上在所有情况下都在尝试；失败的 DKIM 似乎会超时并关闭连接，从而导致无休止的延迟——这似乎有点奇怪，因为这意味着“被拒绝”的邮件甚至没有被检查，但删除签名就可以了让它再次被接受。我将把它归结为 Courier 日志记录中的模棱两可。

我知道这里没有人受任何法律的约束，但这是正常的政策吗？假设 DKIM 签名错误，接收服务器不应该向我发送 DMARC 报告吗？

所以我现在在一条小溪上。尽管像 MXToolbox 这样的东西给了我很好的色彩，但我还没有找到一个免费的服务来通过接收邮件来主动测试 DKIM 签名，除了一个似乎已经完成了其他服务器所做的事情——从不接受它应该测试的邮件（不知道这是否是一个潜在的线索）。

以下是来自的相关 DNS 记录dig：

• 防晒指数：cognitivedissonance.ca. 3600 IN TXT "v=spf1 ip4:138.197.150.177 -all"

• 大金：

    aporia._domainkey.cognitivedissonance.ca. 3600 IN TXT "v=DKIM1; k=rsa; h=sha256; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAosptGk+J2mdjjc7RWmcnQ3yBqx1JT/lA0bw4GJCzZ+esa0f8rjHhPiW6NnUr64Kf5h0fPEthQhYGTjjw3jAd/3EE28hGA30+jODxEK7A0+5aeI82fWa/ZZk9FvyIhf+UkkX1B0klYhCRW5r91smJ+rwYrr2B6jOrw0DReHTAZ51NACSWI7ov2mA" "UIh2l8blA8hFFBOBwxlzC+smRsYlZCKZfsSMkyS/XIm2m58QNfw/aCHp5VufSrf/hh7f6AGKTgxHfgs+8RBbYdHEM2LAMT+WYsITC3R0OYfgplzWna6PRB9lx+FFzTtT/8XClYfUJ6rwWwM4koeX0yt9gDr/03QIDAQAB"
  

  请注意，邮件服务器的 FQDN 是aporia.cognitivedissonance.ca，所以我aporia出于缺乏想象力将其用作 DKIM 选择器。电子邮件域只是cognitivedissonance.ca. 我应该改用 FQDN（即。aporia._domainkey.aporia.cognitivedissonance.ca）吗？

• DMARC：

    _dmarc.cognitivedissonance.ca. 3600 IN  TXT     "v=DMARC1;p=reject;pct=100;rua=mailto:[email protected],mailto:[email protected];ruf=mailto:[email protected],mailto:[email protected]; "
  

  我注册的 dmarc 验证服务有一些额外的 mailto。不幸的是，他们不直接测试 DKIM 签名。

最后，一个签名的例子：

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple;
 d=cognitivedissonance.ca; [email protected]; q=dns/txt;
 s=aporia; t=1650468130; h=from;
 bh=3N81YR+AxHZqpkdMAh4Jti6JpRmUrlzO5bUjUoWdGeg=;
 b=kNzUid2LG8TfHoegur3JzlcktiJT+5A1E2en+IlV/GgDMZWL0Ft/4kE02LGFzb2kTMkav
 c9jLUqd2+NCrLDzVRBxgwif++vDwoljCI1X0wvbcCqhfA3uElcCuhCAtBkl/ZNqLR0H1Gjq
 XXA801KqyVrvottuv0+PmEOvqQ8skTpBvl4Da8JjQ73Zscm3/5Mfk0dGTLlggNgapszsP9z
 nt/1Oi6gzLasX933wIdLZWVex8QNfKr8+MTx6bmpVodaeklR+281u8k1zhCBu5pWrzlavUh
 CbWjUm4j3YbeztpG98r9MZOVKbJZyHaiHWcRa1vEq3Cz8AEnRyRkQhd5WtvA==

听起来很愚蠢，我已经让 SSL 证书过期了——或者它会在接下来的 12 小时内过期。

我唯一真正关心的是邮件服务器，它被配置为侦听加密（端口 465/995）和非加密连接（端口 25）。

证书到期后会发生什么？465 失败后传入的 SSL 流量会尝试 25 吗？

作为附录，我决定在这段时间内（大约 24 小时）关闭 465，我不相信有任何损失；通常会安全的东西在端口 25 上交付。

互联网现在被这样的网站所淹没：

• https://ssl-tools.net/heartbleed-test

这很好，但是这些会立即发布易受攻击的域。我有许多可能需要重建的私人邮件服务器——它们静态链接到开放的 ssl 库，但我认为可能是 1.0.1 之前的版本。我希望能够私下检查哪些是易受攻击的，我确信有方法可以做到这一点，但现在在线搜索将这些结果隐藏在很多谷壳和公共网络工具（如上面列出的工具）之下.

我拥有一个域，其 MX 记录到目前为止指向一个商业邮件服务器，我在该服务器上拥有该域的帐户；那是唯一的帐户，打电话给它me@myplace。

我现在需要添加一些电子邮件帐户，因此我设置了自己的邮件服务器并将 MX 记录更改为指向它。但是，通过来回发送到 gmail 帐户 ( [email protected]) 对 smtp 中继进行测试后，我有点紧张：

• 如果我回复来自 gmail 帐户的消息，一切都很好。

• 如果我从与域之前存在的唯一帐户 (me@myplace) 相同的用户名向 gmail 帐户发送消息 - gmail 帐户具有历史记录- 一切都很好。

• 如果我使用新用户帐户（例如 new@myplace）向 gmail 帐户发送消息，一切似乎都从远程客户端进行，并且 smtp 服务器日志记录：

  esmtp: id=XXXXXXXXX,from=<new@myplace>,addr=<[email protected]>,size=694,success: delivered: gmail-smtp-in.l.google.com
  

  即，gmail 服务器接受了消息并告诉我的服务器一切都很好，所以我的服务器告诉远程客户端一切都很好。除了gmail 服务器在说谎，因为消息永远不会传递到[email protected]。

我担心这是一个更严重问题的迹象——一些商业邮件服务器通过中继 IP列入白名单，而不仅仅是域，并且会丢弃我的邮件，因为我不是列入白名单的商业服务器，他们会这样做谷歌显然已经这样做了：通过愉快地报告它接受了，这意味着我永远不会收到退回通知，或者无论如何都不知道我的邮件没有送达。

所以我的两部分问题是：

1. 这真的是gmail服务器的不诚实吗？即，它是说它正在接受它从未打算交付的邮件进行交付？还是我错过了一些歧义？

2. 如果是这样，我尝试运行自己的邮件服务器是否浪费时间？ 许多商业服务器是否会简单地查看中继的 IP（与域的 MX 记录匹配），然后默默地/不诚实地丢弃我的邮件，因为它不在白名单上——这实际上意味着我必须为列入白名单的商业广告付费如果我想在现代世界中发送电子邮件，服务器？

我拥有这个域名多年，它从来都不是垃圾邮件的来源，如果这很重要的话。