Я пересылаю почту со своего домена leif@example.org на leifex@gmail.com.
Я следил за этим: Почему Google отклоняет почту, пересылаемую с моего сервера Postfix?
Установите pfix-srs.
Создайте запись spf для моего домена почтовых серверов, разрешив отправлять мои IP4 и IP6.
(Например, v = spf1 ip4: 1.1.1.1 ip6: abcd: abc: 123: 4567 :: 8 ~ all)
Создайте запись rdns для моего домена почтовых серверов, указав его IP.
Моя разница в том, что я использую postsrsd вместо того pfix-srs и я использую доменное имя моего сервера вместо перечисления адресов ipv4 и ipv6. У меня есть rdns для ipv4 и ipv6.
Gmail отклоняет почту с
550-5.7.1 Unauthenticated email from netflix.com is not accepted due to domain's
550-5.7.1 DMARC policy.
Как будто Gmail не смотрит на адреса, перезаписанные SRS, согласно журналам адреса ДОЛЖНЫ быть перезаписаны. Что мне не хватает?
Я использую MailScanner, поэтому идентификаторы сообщений в журнале меняются с полученного на отправленный.
Jan 17 22:09:10 mail postfix/smtpd[9438]: connect from a41-48.smtp-out.amazonses.com[54.240.41.48]
Jan 17 22:09:11 mail postfix/smtpd[9438]: 3396B328CF: client=a41-48.smtp-out.amazonses.com[54.240.41.48]
Jan 17 22:09:11 mail postsrsd[9443]: srs_forward: <010001685da56f5d-8bfccbd3-896e-4700-b9a0-66e94467cab3-000000@mailer.netflix.com> rewritten as
<SRS0=YrTC=PZ=mailer.netflix.com=010001685da56f5d-8bfccbd3-896e-4700-b9a0-66e94467cab3-000000@example.org>
Jan 17 22:09:11 mail postfix/cleanup[9442]: 3396B328CF: hold: header
Received: from a41-48.smtp-out.amazonses.com (a41-48.smtp-out.amazonses.com [54.240.41.48])??
by mail.example.org (Postfix) with ESMTPS id 3396B328CF??for <leif@example.org>; Thu, 17 Jan 2019 22:09:11 +0100
from a41-48.smtp-out.amazonses.com[54.240.41.48];
from=<srs0=yrtc=pz=mailer.netflix.com=010001685da56f5d-8bfccbd3-896e-4700-b9a0-66e94467cab3-000000@example.org>
to=<leif@example.org> proto=ESMTP helo=<a41-48.smtp-out.amazonses.com>
Jan 17 22:09:11 mail postfix/cleanup[9442]: 3396B328CF: message-id=<010001685da56f5d-8bfccbd3-896e-4700-b9a0-66e94467cab3-000000@email.amazonses.com>
Jan 17 22:09:11 mail opendkim[812]: 3396B328CF: a41-48.smtp-out.amazonses.com [54.240.41.48] not internal
Jan 17 22:09:11 mail opendkim[812]: 3396B328CF: not authenticated
Jan 17 22:09:12 mail opendkim[812]: 3396B328CF: message has signatures from netflix.com, amazonses.com
Jan 17 22:09:12 mail opendkim[812]: 3396B328CF: signature=c9tTKm4w domain=netflix.com selector=emotixlbezkp6gpvmko5lunmgwd5syff result="no signature error";
signature=VmSNlFSx domain=amazonses.com selector=ug7nbtf4gccmlpwj322ax3p6ow6yfsug result="no signature error"
Jan 17 22:09:12 mail opendkim[812]: 3396B328CF: DKIM verification successful
Jan 17 22:09:12 mail opendkim[812]: 3396B328CF: s=emotixlbezkp6gpvmko5lunmgwd5syff d=netflix.com SSL
Jan 17 22:09:13 mail MailScanner[31292]: Requeue: 3396B328CF.A0D92 to C662E32963
Jan 17 22:09:13 mail postfix/qmgr[9218]: C662E32963: from=<srs0=yrtc=pz=mailer.netflix.com=010001685da56f5d-8bfccbd3-896e-4700-b9a0-66e94467cab3-000000@example.org>,
size=89685, nrcpt=1 (queue active)
Jan 17 22:09:13 mail MailScanner[31292]: Uninfected: Delivered 1 messages
Jan 17 22:09:13 mail MailScanner[31292]: Deleted 1 messages from processing-database
Jan 17 22:09:13 mail postfix/qmgr[9218]: 97B26328CF: from=<srs0=yrtc=pz=mailer.netflix.com=010001685da56f5d-8bfccbd3-896e-4700-b9a0-66e94467cab3-000000@example.org>,
size=90760, nrcpt=1 (queue active)
Jan 17 22:09:13 mail postfix/smtp[9497]: Trusted TLS connection established to gmail-smtp-in.l.google.com[2a00:1450:400c:c02::1b]:25:
TLSv1.2 with cipher ECDHE-RSA-CHACHA20-POLY1305 (256/256 bits)
Jan 17 22:09:14 mail postfix/smtp[9497]: 97B26328CF: to=<leifex@gmail.com>, orig_to=<leif@example.org>, relay=gmail-smtp-in.l.google.com[2a00:1450:400c:c02::1b]:25,
delay=0.5, delays=0.01/0/0.26/0.23, dsn=5.7.1, status=bounced
(host gmail-smtp-in.l.google.com[2a00:1450:400c:c02::1b] said:
550-5.7.1 Unauthenticated email from netflix.com is not accepted due to domain's
550-5.7.1 DMARC policy. Please contact the administrator of netflix.com domain
550-5.7.1 if this was a legitimate mail. Please visit
550-5.7.1 https://support.google.com/mail/answer/2451690 to learn about the
550 5.7.1 DMARC initiative. j17si56462544wri.283 - gsmtp (in reply to end of DATA command))
Jan 17 22:09:14 mail postsrsd[9443]: srs_forward: <""> not rewritten: No at sign in sender address
Jan 17 22:09:14 mail postsrsd[9444]:
srs_reverse: <srs0=yrtc=pz=mailer.netflix.com=010001685da56f5d-8bfccbd3-896e-4700-b9a0-66e94467cab3-000000@example.org>
rewritten as <010001685da56f5d-8bfccbd3-896e-4700-b9a0-66e94467cab3-000000@mailer.netflix.com>
Jan 17 22:09:14 mail postsrsd[9444]: srs_reverse:
<srs0=yrtc=pz=mailer.netflix.com=010001685da56f5d-8bfccbd3-896e-4700-b9a0-66e94467cab3-000000@example.org>
rewritten as <010001685da56f5d-8bfccbd3-896e-4700-b9a0-66e94467cab3-000000@mailer.netflix.com>
Jan 17 22:09:14 mail postfix/cleanup[9442]: 20BA932965: message-id=<20190117210914.20BA932965@mail.example.org>
Jan 17 22:09:14 mail postfix/bounce[9596]: 97B26328CF: sender non-delivery notification: 20BA932965
Jan 17 22:09:14 mail postfix/qmgr[9218]: 20BA932965: from=<>, size=6444, nrcpt=1 (queue active)
Jan 17 22:09:14 mail postfix/qmgr[9218]: 97B26328CF: removed
Jan 17 22:09:14 mail postfix/smtp[9497]: Trusted TLS connection established to feedback-smtp.us-east-1.amazonses.com[72.21.206.91]:25:
TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Jan 17 22:09:15 mail postfix/smtp[9497]: 20BA932965: to=<010001685da56f5d-8bfccbd3-896e-4700-b9a0-66e94467cab3-000000@mailer.netflix.com>,
orig_to=<srs0=yrtc=pz=mailer.netflix.com=010001685da56f5d-8bfccbd3-896e-4700-b9a0-66e94467cab3-000000@example.org>,
relay=feedback-smtp.us-east-1.amazonses.com[72.21.206.91]:25, delay=1.4, delays=0.01/0/0.93/0.5, dsn=2.0.0, status=sent (250 Ok XCS73MIlZ28B7iH7tzWF-1)
Jan 17 22:09:15 mail postfix/qmgr[9218]: 20BA932965: removed
Jan 17 22:09:34 mail postfix/smtpd[9438]: disconnect from a41-48.smtp-out.amazonses.com[54.240.41.48] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
SRS помогает, позволяя переписать To: адрес и добавляет Mail From: заголовок, но не меняет исходный From:
В приведенном выше примере, когда сообщение поступает на серверы Google, они видят исходный From: в сообщении и обработайте DMARC, SPF и DKIM в соответствии с политикой доменного имени, используемого в адресе отправителя. Это, скорее всего, нарушит политику SPF и / или DMARC исходного доменного имени и, следовательно, приведет к тому, что Gmail Google отклонит сообщение.
Решение - реализовать Полученная цепочка с проверкой подлинности (ARC), RFC 8617.
ARC помогает решить эту проблему, предоставляя промежуточным серверам возможность подписывать результаты проверки исходного сообщения. Даже если проверка SPF и DKIM не удалась, служба-получатель может выбрать проверку ARC. Если ARC указывает, что исходное сообщение прошло проверки SPF и DKIM, и единственные модификации были сделаны посредниками, которым доверяет служба-получатель, служба-получатель может принять решение о принятии сообщения электронной почты.
Вы можете использовать milter OpenARC для MTA sendmail и postfix, чтобы подписывать электронные письма с помощью ARC перед их ретрансляцией. Это дает принимающему почтовому серверу возможность проверить, подтвердил ли ваш ретрансляционный сервер результаты SPF и DKIM, прежде чем ретранслировать сообщение. Теперь получающий почтовый сервер может проверить подпись ARC, добавленную вашим сервером ретрансляции, а затем предпринять любые действия в зависимости от его конфигурации.
В конечном итоге никто не может контролировать сторонний получающий почтовый сервер. Все, что мы можем сделать, это попытаться сделать нашу электронную почту максимально надежной. Добавляя допустимые заголовки ARC, мы можем, по крайней мере, предоставить принимающему почтовому серверу еще одну точку данных, чтобы доказать легитимность сообщений, но все еще нет абсолютной гарантии, что сообщение будет принято, доставлено и не помечено как спам.