Недавно мой почтовый сервер отклонил несколько входящих писем из-за неудачных проверок DMARC. При более внимательном рассмотрении я заметил, что в журналах упоминается, что отклонение было вызвано тем, что OpenDMARC применял мою политику вместо политики отправителя. A, слегка отредактированный, пример неудачного обмена при отправке почты от info@random.tld к random.tld@mydomain.tld было бы
postfix/smtpd[19698]: connect from mail-eopbgr80052.outbound.protection.outlook.com[40.107.8.52]
postfix/smtpd[19698]: Anonymous TLS connection established from mail-eopbgr80052.outbound.protection.outlook.com[40.107.8.52]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
policyd-spf[19706]: Pass; identity=helo; client-ip=40.107.8.52; helo=eur04-vi1-obe.outbound.protection.outlook.com; envelope-from=info@random.tld; receiver=random.tld@mydomain.tld
policyd-spf[19706]: Pass; identity=mailfrom; client-ip=40.107.8.52; helo=eur04-vi1-obe.outbound.protection.outlook.com; envelope-from=info@random.tld; receiver=random.tld@mydomain.tld
postfix/smtpd[19698]: 3578F66A0006: client=mail-eopbgr80052.outbound.protection.outlook.com[40.107.8.52]
postfix/cleanup[19707]: 3578F66A0006: message-id=<AM5PR0201MB22602B5B4998B49514A63C76B2540@AM5PR0201MB2260.eurprd02.prod.outlook.com>
opendkim[598]: 3578F66A0006: mail-eopbgr80052.outbound.protection.outlook.com [40.107.8.52] not internal
opendkim[598]: 3578F66A0006: not authenticated
opendkim[598]: 3578F66A0006: failed to parse Authentication-Results: header field
opendkim[598]: 3578F66A0006: DKIM verification successful
opendkim[598]: 3578F66A0006: s=selector1-random.tld d=random.onmicrosoft.com SSL
opendmarc[605]: implicit authentication service: mail.mydomain.tld
opendmarc[605]: 3578F66A0006 ignoring Authentication-Results at 1 from vps.mydomain.tld
opendmarc[605]: 3578F66A0006: mydomain.tld fail
postfix/cleanup[19707]: 3578F66A0006: milter-reject: END-OF-MESSAGE from mail-eopbgr80052.outbound.protection.outlook.com[40.107.8.52]: 5.7.1 rejected by DMARC policy for mydomain.tld; from=<info@random.tld> to=<random.tld@mydomain.tld> proto=ESMTP helo=<EUR04-VI1-obe.outbound.protection.outlook.com>
postfix/smtpd[19698]: disconnect from mail-eopbgr80052.outbound.protection.outlook.com[40.107.8.52] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1 commands=6/7
Обратите внимание на третью строку снизу. В этом конкретном случае у отправителя нет собственной политики DMARC. Другие электронные письма, отправленные от info@random.tld как правило, приходят нормально.
В прошлом году он также однажды потерпел неудачу при пересылке моего рабочего аккаунта и один раз при пересылке моего университетского аккаунта.
Может ли такое поведение быть вызвано определенной (неправильной) конфигурацией с обеих сторон, или это ошибка?
Я использую OpenDMARC версии 1.3.1. Со следующей конфигурацией, обрезанной для ясности:
## AuthservID (string)
## defaults to MTA name
#
AuthservID mail.mydomain.tld
PidFile /var/run/opendmarc.pid
## RejectFailures { true | false }
## default "false"
##
RejectFailures true
Syslog true
UserID opendmarc:opendmarc
PublicSuffixList /usr/share/publicsuffix/
IgnoreAuthenticatedClients true
Настроить соответствие AuthservID для всех локальных мильтеров.
Или: добавьте все свои доверенные идентификаторы в TrustedAuthServIDs в Opendmarc. Обычно достаточно просто удалить строку, так как по умолчанию используется имя MTA в обоих opendkim и Opendmarc.
AuthservID mail.mydomain.tld
ignoring Authentication-Results at 1 from vps.mydomain.tld
Opendmarc рассматривает только достоверные результаты при оценке сообщения, поэтому ignoring строка журнала. Надежные результаты идентифицируются идентификатором что обычно равно postconf myhostname.
В этом конкретном случае у отправителя нет собственной политики DMARC.
Но все равно, Opendmarc применяет вашу политику получателей - потому что вы явно сказали это. Ваша политика - отвергать неудачи (RejectFailures true). Это решение не зависит от вашего DMARC политика для исходящей почты (как определено в DNS). По умолчанию добавляется только заголовок, независимо от результата DMARC оценка.