Назад | Перейти на главную страницу

DKIM проверяется, но mxtoolbox сообщает как «DKIM-подпись не проверена»?

Я пытаюсь понять, почему не доходит много писем с одного из моих сайтов (в частности, sky.com и gmail.com).

С моим сервером у нас есть инструмент, который генерирует для нас записи DNS:

RECORD            TTL         TYPE      VALUE
------            ---         ----      -----
_domainkey        3600   IN   TXT      "t=y; o=~;"
mail._domainkey   3600   IN   TXT      "k=rsa; p=xxxx"

(xxx - полный ключ)

Это то, что у меня есть DNS-запись TXT записи:

mail-tester.com возвращается с этим (что все выглядит хорошо);

...все же mxtoolbox возвращается с:

Раздражает то, что если я проверю исходный адрес электронной почты в своей учетной записи gmail.com, он возвращается как действительный DKIM:

Что DKIM-Signature Not Verified ошибка сообщая мне? Я нахожусь в конце концов, пытаясь повысить доставляемость (я пробовал тестировать через GlockApps, и он все еще возвращается с множеством отказов по какой-либо причине). Я, должно быть, что-то упускаю

ОБНОВЛЕНИЕ 2: К сожалению, MXToolbox все еще считает это проблемой. Однако любой другой инструмент говорит, что все в порядке, поэтому мне интересно, не является ли это ложным срабатыванием. Используя GlockApps, я теперь вижу только те материалы Gmail, которые вылетели из их тестов:

Я читал об этом - и похоже, что мы, возможно, прострелили себе ногу, когда рассказывали людям о дерьмовых материалах GDPR, которые появились некоторое время назад. Мы отправили всем электронное письмо (до того, как оно пришло), чтобы сообщить им, что мы не сможем связаться с ними, если они не дадут нам разрешения. Возможно, фильтры gmails восприняли это как спам (поскольку довольно много наших пользователей используют Gmail) и наказали нас за это. О, ирония! Итак, теперь кажется, что единственный способ обойти это - попросить людей поставить отметку в поле "СПАМ" (и пометить как "не спам")

не доверяйте MXtoolbox для этой конкретной проверки DKIM. Я лично несколько раз видел такие ложные срабатывания в MX toolbox

  1. вернуть политику DMARC в состояние "нет" на некоторое время
  2. используйте Glock Apps, чтобы улучшить содержание сообщений, чтобы отключить спам-фильтры Gmail
  3. использовать одну из систем обработки отчетов DMARC (EasyDMARC, DMARC Analyzer, Dmarcian), чтобы определить все легитимные системы и сделать их совместимыми с DMARC и только после этого рассмотреть вопрос о переходе политики домена в режим «отклоняет»

Для начала: ваша запись TXT неверна.

Если вы отправляете почту с домена example.com с ключом по имени mykey (он же селектор), то синтаксис следующий:

mykey._domainkey.example.com     IN TXT    "v=DKIM1; p=xxx"

Вы также можете добавить t=s.

Если вы уверены, что подписание и проверка ключей работают, я бы порекомендовал вам добавить DMARC и ADSP запись ресурса, потому что она информирует принимающий почтовый сервер о том, что он должен делать, если он получает письмо без подписи или с использованием неправильного ключа.

Синтаксис достаточно простой (исходя из настроек моего собственного почтового сервера):

_adsp._domainkey.example.com  IN TXT  "dkim=all"
_dmarc.example.com            IN TXT  "v=DMAR1; p=quarantine;  sp=reject; pct=100; adkim=s; aspf=s; rua=mailto:mail@example.com; ruf=mailto:mail@example.com; rf=afrf; ri=86400; fo=1

ОБНОВИТЬ

Если вы отправите тестовое письмо, например, на учетную запись Gmail, то есть простой способ проверить, работают ли DKIM и DMARC.

Я включил DKIM для своего домена molgaard.eu, поэтому, среди прочего, письмо от меня в Gmail будет содержать следующие заголовки:

Authentication-Results: mx.google.com;
       dkim=pass header.i=@molgaard.eu header.s=mar2018 header.b=db8+ExPV;
       spf=pass (google.com: domain of ... as permitted sender) smtp.mailfrom=...;
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=molgaard.eu

<SNIP>

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=molgaard.eu; 
h=content-language:x-mailer:content-type:content-type:mime-version
:message-id:date:date:subject:subject:from:from; s=mar2018; t=1583565649; 
x=1585380050; bh=...; b=...

Селектор для моих писем называется mar2018, так как это месяц и год, в которых я сделал ключ. :-)

И, как вы можете видеть из результатов проверки подлинности, оба DKIM и DMARC проходят (и SPF тоже), что означает, что письма с моего почтового сервера должны попадать в почтовый ящик людей, а не в папку для спама. :-)

И на самом деле моя политика немного более строгая, поскольку я заявил в своей записи DMARC, что любое письмо, не подписанное или подписанное неправильным ключом, должно быть выброшено, а не помещено в любую папку у получателя. :-)