Назад | Перейти на главную страницу

DMARC не работает при пересылке писем без DKIM

Я использую почтовый сервер (postfix) на VPS, который настроен для пересылки всей почты, отправленной на адрес в моем частном домене, на адрес GMail. SPF, SRS, DKIM и DMARC настроены для моего почтового сервера и работают нормально для большинства писем, т.е. переадресованные письма, оснащенные SPF, DKIM и DMARC, доставляются в мой почтовый ящик GMail, а серверы GMail сообщают, что они проходят SPF, DKIM. и DMARC.

Однако есть отправители, которые отправляют письма только с SPF и DMARC, но без DKIM, например deutschepost.de. У этого конкретного отправителя также реализована политика отклонения DMARC, что приводит к проблемам: когда мой сервер пересылает почту, SRS перезаписывает отправителя конверта, так что SPF все еще проходит, когда сообщение приходит в GMail. Переписанный отправитель конверта, однако, приводит к сбою проверки согласования SPF DMARC, в результате чего сообщение отклоняется GMail.

Как я понял из это объяснение, такого поведения следовало ожидать. Но есть ли способ справиться с этим на моей стороне (то есть на стороне экспедитора)?

TL; DR Как пересылать почту с SPF и DMARC, но без DKIM, не нарушая DMARC?

РЕДАКТИРОВАТЬ: Согласно комментарию Джейкоба, можно было бы переписать заголовок From в мой домен. Можно ли сделать это с постфиксом только для почты с SPF и DMARC, но без DKIM? Потому что те, у кого есть DKIM, не пройдут проверку выравнивания после перезаписи.

Без DKIM вы можете использовать заголовок «Reply-To», чтобы ответы отправлялись исходному отправителю.

Есть два способа пересылки сообщения. Нормальный способ пользователи пересылка электронных писем осуществляется путем создания нового сообщения, которое включает текст (и любые вложения) старого сообщения. Нормальный способ серверы пересылка электронной почты осуществляется путем ретрансляции сообщения, поэтому добавление любых заголовков и отправка сообщения на другой сервер.

DMARC специально разработан для подделанных сообщений первой остановки. Если вы настроили свой почтовый сервер для отправки сообщения, которое выглядит подделанным, то DMARC помогает нам идентифицировать его. Вот для чего это нужно.

Итак, что вы действительно хотите сделать, это отправить новое сообщение для вашего пользователя, который исходит из вашего домена (поэтому применяются ваши собственные политики SPF и DKIM), но имеет "Reply-To", установленный для исходного отправителя.

Я не использую Postfix, но для меня это звучит как список рассылки (хотя и с одним членом).

Что вам нужно сделать, так это использовать схему перезаписи отправителя (SRS). Это не то, что находится в PostFix по умолчанию, но вы можете установить Демон схемы перезаписи отправителя Postfix, подобный этому чтобы помочь с проблемой.

Вы можете оформить заказ эта почта с администратором, у которого такая же проблема, и который использует тот же демон для решения проблемы.