Najpierw w tym wpisie o DKIMie podałem reguły sprawdzające czy w mailu jest DKIM (min onet). Wychodziło na to ze onet używa tej technologii. Po kilku wpisach w komentarzach ze dobre maile łapią się na reguły (sam tez byłem ofiarą tego) wycofałem się z tego w w tym wpisie. Zawsze staram się podawać rzetelne informacje a tu pierwsza wtopa.
Ostatnio testując noœa regułę dotyczacą DKIM znalazłem rozwiązanie tej zagadki. Otóż z domeny poczta.onet.pl nie są podpisywane wszystkie maile!. To dość dziwne co powoduje, że praktycznie technologia ta staje się bezużyteczna.W nagłówkach maila nie ma podpisu (sprawdzałem aby nie okazało, ze coś z serwerem jest nie ok). Oczywiście test SPF mail przechodzi. Z moich dość szybkich sprawdzeń wychodzi, że maili nie podpisuje np serwer 213.180.142.184 przedstawiający się jako smtpo53.poczta.onet.pl. Inne serwery może też nie podpisują.
Onet obsługuje wiele domen które nie są podpisywane. Może stąd ten błąd.
ani SPF ani DKIM nie sa autorytatywne jesli nie otrzyma sie podpisu !
pisalem juz o tym na tym forum, ze oznaczania spamu gdy nie ma informacji o spf/dkim NIE oznacza ze jest to spam. a jedynie zmeczenie NDSu ! i nic wiecej
dlatego NADAL uwazam zawarte tutaj reguly z espeefem za bledne – o czym teraz sam sie przekonywujesz, chociaz wyciagasz bledny wniosek, ze jest to wina oznaczen w onecie
spf i dkim dzialaja de facto na tej samej zasadzie – wpisu w dns. od ktorego zalezy dalszy rozwoj oznaczen, a dnsy raz na iles razy daja NIEpelna informacje – bardzo czesto wlasnie pomijaja wpisy TXT, od ktorych zalezy spf/dkim
Dlatego tez wymyslono kolejny DMARC, ktory jakby zawiera/bada oba rozwiazania, ale jednoczesnie oczekuje wiecej w ustawieniach domeny, no ale dmarc stosowany jest jeszcze bardzo sporadycznie; przykladowo w instytucjach finansowych w PL (jak wiesz temat obecnie testuje), w zaledwie kilku i to co ciekawe nie w tych najwiekszych
Przy onetowym DKIMie przechodzi SPF. List nie ma ZADNEGO podpisu. Nie ma nic do rzeczy DNS. Nie chodzi o blad ze zle/niemoznosc odczytanie z DNSu rekordu TXT. Chodzi o brak rzeczywisty podpisu. Skoro jest zdefiniowany ze ma byc DKIM a go nei ma znaczy ze mail nie idzie z danego serwera. Jak jeszcze SPF przechodzi to znaczy ze serwer ma cos nie tak z konfiguracja.
Podkreslam jeszcze raz: nie chodzi o niemoznosc weryfikacji podpisu tylko o jego brak!!!
Jest to napisane w tekscie ze onet nie podpisuje maili a nie ze ma problemy z DNSem.
Powod takiego zachowania? zle skoniguorany serwer?? Zly load balancer(nei powinien rzucac na ten serwer maile idace z poczta.onet.pl). Nie wiem. Trudno zgadywac. Generalnie coś nie bangla. I to nie pierwszy raz i nie ostatni wpis kiedy maja cos nei do konca dobrze z serwisami
zastanow sie co piszesz – cytuje
:nie ma zadnego podpisu:
dlaczego > przeciez jak kilka razy zapytasz recznie dns;a to on widzi txt … spf ..
b z d u r y piszesz Waść !
tak samo sie upierasz przy regule ZABOJCASPAMU_SPF_REQ a nie tylko ja zwracalem Ci uwage – ze ubija poprawne maile
Nie rozumiem za bardzo tego co napisales. Nie ma podpisu bo serwer wysylajac nie podpisal wiadomosci.
Tak w DNSie jest SPF jak i DKIM. Klucz jest pokazywany w DNSIe, Selector jest zdefiniowany w mailu.
Obecny selector onet 2011 czyli wpis w dnsie
Wiec nie pisze bzdur tylko przedstawiam fakty. Gdzie wg Ciebie ma byc wpisany klucz do sprawdzenia?
host -t txt 2011._domainkey.poczta.onet.pl
2011._domainkey.poczta.onet.pl descriptive text „t=y\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1PST9t1PDCOaIn6vTJ5v1755QoiN1nwGKdq08Y692ti35kBfWkP9xWe9xH01OjJ9bcntJlQhoY91tBkjpjRggRu6gnMnJHPrgTlmWnCiCGNtNgJ+S9LIx8r8zdzi31R5v5uFRh1aJR2PfzlbPcRTjPFW3f+H74hlJjzrc+TvhNQIDAQAB”
faktycznie nadajemy na roznych falach
masz tu prosty skrypt: – zmien sciezke dostepu do host jesli inna
=============
/usr/bin/host -a google.com | grep ‚spf1’ > /dev/null
if [ $? != 0 ]
then
echo „$(date) google ” >> /test_named.log
fi
=============
i wstaw to do crona aby szedl co 1 minute przez tydzien
Wedlug Ciebie po tygodniu plik /test_named.log bedzie pusty
wedlug mnie NIE bedzie pusty, bo juz to sprawdzilem
Testowalem na 2 roznych komputerach, znajdujacych sie w roznych sieciach, po tygodniu – czyli po okolo 900 ? probach mam ze 1-2% zapytan bylo blednych
daj mi znac za tydzien czy Twoj plik bedzie pusty, jesli tak no to masz super i mozesz sobie zakladac te teorie ktore snujesz oraz badac SPF tak jak badasz,
jesli jednak bedziesz mial chocby 1 wpis – to znaczy ze ? no co to wg Ciebie znaczyc bedzie ?
Nie musze pisac – ze nie a sensu wykonywac 1000 prob co sekunde – bo to nic nie znaczy i bylo by to to samo co 1 zapytanie z cache, chodzi o test na jak najdluzszym przedziale czasowym
zachecam tez inne osoby do tego prostego testu i podzielenie sie wynikami, poniewaz strona wcina cudzyslowy wiec prostsza wersja bedzie taka
/usr/bin/host -a google.com | grep spf1
if [ $? != 0 ]
then
echo „$(date) google ” >> /test_named.log
fi
## a do crona mozna tak dodac
* * * * * root /test_named
ma byc
/usr/bin/host -a google.com | grep spf1 > /dev/null
#!/bin/bash
/usr/local/bin/host -a gmail.com | grep spf1 > /dev/null
if [ $? != 0 ]
then
/etc/init.d/named restart > /dev/null
# /etc/init.d/named status
echo „$(date) gmail” >> /test_named.log
fi
SPF? Piszemy o DKIM
Myślę, że jeśli serwer ma zdefiniowany dkim, a faktycznie brak mu tego klucza lub ma, ale błędny nie jest powodem, aby rezygnować z dkim w naszych filtrach antyspamowych i obniżania punktacji.
Napiszcie do nich o tym problemie i że ich wiadomości będą trafiać do spamu jeśli tego nie poprawią. Zajmie wam to tyle samo czasu co narzekanie tutaj, a pożytek z tego będzie większy.
Tylko gdzie napisac?:) probowalem znalezc maila czy jakis kontakt ale srednio da sie przebic. Ale bede probowal
https://poczta.onet.pl/oferta/artykul.html – tutaj są telefony do nich, nie wiem jednak jak z kontaktem jest w rzeczywistości. Tak na marginesie to ostatnio coraz więcej firm utrudnia kontakt ze sobą, bo albo ukrywają telefony albo zajmują się tym niekumaci ludzie w takich dziwnych krajach jak indie lub pakistan. U nas może mniej ale na zachodzie dużo firm tak robi, w Polsce myślę to może coraz mocniej iść właśnie w tym kierunku. Także lepiej raczej nie będzie.
Odnośnie samego DKIM jeszcze, to reguły zabójcy spamu to mały pikuś. Dość mocno ciśnie z tym Google i wcale nie zdziwiłbym się, jak by maile z onetu, któregoś cudownego dnia w ogóle do nich przestały docierać.
Napisalem , powiedzieli, ze sie zajma. jak cos bede wiedział napiszę