Web Hosting + gestione DNS

[cancellato] · 24 nov 2022

bortolotti80 Ora devo pensare se c'è modo di prendere il dkim e metterlo anche nel mio dns?

Il problema IMHO è che se nell'header della mail Aruba ci mette tipo DKIM-Signature: v=1; a=rsa-sha256; d=aruba.it; la validazione di DKIM verrà fatta interrogando il DNS per il dominio aruba.it, non il tuo, a causa del tag d=. Poi fallisce perché il domino della policy è diverso da quello di DKIM, vedi:

https://serverfault.com/questions/793119/interpreting-a-dmarc-report-that-seems-to-have-conflicting-data

Per avere un DMARC che funzioni con DKIM di terze parti temo che chi fornisce il servizio di posta non possa usare una impostazione unica per tutti i domini serviti. Dovrebbe avere chiavi separate, e inserire il dominio corretto nell'header a seconda di chi invia.

bortolotti80 · 24 nov 2022

[cancellato] Il problema IMHO è che se nell'header della mail Aruba ci mette tipo DKIM-Signature: v=1; a=rsa-sha256; d=aruba.it; la validazione di DKIM verrà fatta interrogando il DNS per il dominio aruba.it, non il tuo, a causa del tag d=. Poi fallisce perché il domino della policy

Il primo pezzo è corretto mette come dominio aruba, ma di per sè non fallisce DKIM, anche perchè il messaggio non va in quarantena e controllando tramite gmail, da pass sia SPF che DKIM, non capisco perchè nel riepilogo / report, ci sia il controllo dkim al mta di aruba

Boh arriveranno altri report DMARC e vedremo

Io ora ho messo DKIM uguale ad aruba nel mio DNS, ma come hai sottolineato tu non verrà mai contattato, perchè nel header come dominio c'è aruba.it
Nonostante ciò non ha problemi google, nel header vedo tutto pass

L'unico errore l'ho nel Message-ID, SMTPIN_ADDED_MISSING, perchè aruba non mette nel header un ID per il messaggio inviato

Aruba mette:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=aruba.it;
con però anche parametro signature che reinvia al DKIM policy nel record DNS di aruba.it per il mio dominio

[cancellato] e inserire il dominio corretto nell'header a seconda di chi invia.
Se facesse DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=example.com; e nel DNS di example.com mettessi la chiave pubblica di DKIM che utilizzano per firmare gli header, probabilmente si risolverebbe anche quel disallineamento con il rua

[cancellato] Poi fallisce perché il domino della policy è diverso da quello di DKIM

Si il fulcro è questo, fallisce l'allineamento, che però non porta ad applicare la policy (quarantine), forse perchè SPF conferma che il server SMTP è autorizzato?

Stesso problema: https://www.reddit.com/r/Office365/comments/v2r8en/dkim_policy_evaluated_fails_dkim_passes/

Soluzione come la tua proposta: https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/use-dkim-to-validate-outbound-email?view=o365-worldwide

Microsoft 365 automatically sets up DKIM for its initial 'onmicrosoft.com' domains
come aruba

scorpion Rispondo domani, sono stanco, grazie

Quel servizio consigliato in reddit è fantastico

For DMARC to pass, DKIM and/or SPF checks need to pass and the domains must be in alignment.

https://www.dmarctester.com/

Scoperto l'arcano:

SPF auth result is pass and SPF domain is in alignment. DMARC SPF result is pass.
DKIM auth result is pass, but the DKIM domain is not in alignment. DMARC DKIM result is fail.

Because the SPF test passed and the domains are in alignment, the DMARC result is pass.

Chiunque abbia fatto quel sito è un santo ---> creatori https://www.uriports.com/tools

bortolotti80 · 25 nov 2022

scorpion Se non sbaglio su proprio dominio non è strettamente necessario che il servizio e-mail utilizzato "supporti" MTA-STS per utilizzarlo.

Mi è arrivato anche quel report:

"policies": [{
            "policy": {
                "policy-type": "sts",
                "policy-string": ["version: STSv1", "mode: testing", "mx: mx.example.com", "max_age: 604800"],
                "policy-domain": "example.com",
                "mx-host": ["mx.example.com"]
            },
            "summary": {
                "total-successful-session-count": 0,
                "total-failure-session-count": 1
            },
            "failure-details": [{
                    "result-type": "certificate-host-mismatch",
                    "sending-mta-ip": "209.85.XXX.XXX",
                    "receiving-ip": "62.149.XXX.XXX",
                    "receiving-mx-hostname": "mx.example.com",
                    "failed-session-count": 1
                }
            ]
        }, {
            "policy": {
                "policy-type": "no-policy-found",
                "policy-domain": "example.com"
            },
            "summary": {
                "total-successful-session-count": 1,
                "total-failure-session-count": 0
            }
        }
    ]

"result-type": "certificate-host-mismatch"

MX record mx.example.com supports STARTTLS but the hostname does not match the certificate's CN or SANs

In pratica il servizio mail hosting dovrebbe supportare il certificato con dominio example.com, perchè se lo firmano con il loro dominio, MTA-STS non funziona

Perciò SPF+DKIM+DMARC, riesco ad averli, nonostante fallisca l'allineamento DKIM, mentre per MTA-STS non ho soluzioni se non cambiare mail hosting

Ho cercato e aruba dovrebbe offrire tutto ciò alle grandi aziende e PA, ma è tutto coperto da NDA

Aggiungo che anche con DANE protocollo simile a MTA-STS, comunque si dovrebbe avere il certificato TLSA nel dominio del mail server, perciò è tutto nelle mani di aruba nel mio caso

So, third party SMTP providers that implement TLSA will place and manage the TLSA record under their own domain. The customer (which is you) should not have to perform any changes to their infrastructure.
Fonte

[cancellato] · 25 nov 2022

bortolotti80

Se nel record MX del tuo dominio ci metti direttamente l'host di Aruba?

bortolotti80 · 25 nov 2022

[cancellato]

Non sarebbe lo stesso?
Perchè il mio file di policy lo hosto io ed è firmato come *.example.com
Mentre aruba firmerà sempre il suo come *.aruba.it
Forse l'unica soluzione sarebbe che aruba hosti l'MTA-STS (però non puoi hostarne più di uno, infatti, ad ora aruba non l'ha nemmeno per sè, boh non mi vengono in mente soluzioni)

Io credo sia un limite del protocollo, forse G Suite lo supporta per 6€ al mese, ma ho paura che come microsoft il supporto per questi protocolli sia riservato solo ad aziende di grosse dimensioni, microsoft ad esempio ha guide per server exchange

Più che un "difetto" di aruba, io lo vedo come una miopia di chi ha pensato il protocollo, che ad ora va senza problemi se hai budget astronomici e puoi permetterti soluzioni in mail hosting, oppure, se ti gestisci webserver+dns+mailserver in autonomia, in pratica invogli le piccole-medie imprese a farsi un'email con gmail e utilizzarla per lavoro

Grazie per l'enorme contributo nel thread, che è molto informativo, avrebbe bisogno di più titoli, ma tanto google search fa il suo lavoro ahahah

[cancellato] · 25 nov 2022

bortolotti80 Non sarebbe lo stesso?

Boh - non so cosa succede se dichiari che il tuo MX è gestito da un altro dominio. Sinceramente non mi è mai capitato di farlo, le poche volte che l'ho fatto (il mio lavoro non è quello, sono setup miei o di laboratorio) l'ho sempre fatto con lo stack completo in-house (a parte il DNS) e quindi non te lo so dire con sicurezza.

Sscorpion · 25 nov 2022

[cancellato] bortolotti80

Si anche secondo me dovresti inserire l'host di Aruba (*.aruba.it) nella policy MTA-STS, in modo che il certificato dei loro server di posta corrisponda a quello specificato nella policy.

Se fai un reverse lookup sugli ip dei server di posta specificati da Aruba vedi che sono tutti sotto il dominio *.aruba.it (es. mxd5.aruba.it) e usano un certificato wildcard.

Il certificato che utilizzi per fornire il file di policy tramite TLS deve corrispondere a mta-sts.[dominio].[estensione] (perché il file viene fornito da quel dominio), ma IMHO non dovrebbe avere nulla a che fare con il certificato usato dal server di posta.

Poi concretamente con Aruba non l'ho mai usato (so solo che i loro server mail supportano STARTTLS) ma se non hanno implementazioni strane fuori standard dovrebbe funzionare.

bortolotti80 · 25 nov 2022

[cancellato] se dichiari che il tuo MX è gestito da un altro dominio

Nella guida aruba, consiglia di mettere mx.tuodominio.com, non fornisce un mx.aruba.it e non saprei dove trovarlo

Mentre google fornisce un ASPMX.L.GOOGLE.COM. per chi ha google workspace, quel MX è personalizzato per ogni cliente, supportano le email con tuo dominio, SPF, DKIM, DMARC supportano anche MTA-STS e S/MIME (enterprise)
In pratica configuri tutto in google workspace, imposti i DNS con quello che ti da workspace e hai tutto in hosting
Ho letto qualcosa e sembra permettano di firmare o caricare i propri certificati, quindi se un servizio non permette questo, DKIM non andrà mai in allineamento e MTA-STS è impossibile da implementare, perchè serve nel mail server il certificato firmato per *.tuodominio.com, ho controllato e infatti in transito le email verso me non vengono mai crittografate

Minimo 6€/utente al mese

https://support.google.com/a/answer/140034

Va beh che controllando molte aziende hanno spf che fallisce (softfail), dkim di aruba e dmarc che fallisce però con policy none

bortolotti80 · 25 nov 2022

scorpion Si anche secondo me dovresti inserire l'host di Aruba (*.aruba.it) nella policy MTA-STS, in modo che il certificato dei loro server di posta corrisponda a quello specificato nella policy.

Se fai un reverse lookup sugli ip dei server di posta specificati da Aruba vedi che sono tutti sotto il dominio *.aruba.it (es. mxd5.aruba.it) e usano un certificato wildcard.

Si questo è vero, potrei provare a modificare il mio file di policy mettendo *.aruba.it come MX

Ho provato un reverse e si è mxdn.aruba.it con n numero intero

Aggiunta 25-11-22 17:33

Devo mettere come valore MX però un host aruba giusto? come consigliava @[cancellato] un mxd5.aruba.it

Ed ora i test

Mi sembra vada tutto, ma ho provato ad inviare un'email da gmail a me e non vedo negli header TLS, magari devo aspettare aggiornino le policy?

Verso Gmail:
by mx.google.com with ESMTPS
(version=TLS1_2 cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128);

Verso example.com:
by mail-ed1-f52.google.com with SMTP

bortolotti80 · 26 nov 2022

@[cancellato] @scorpion

Ho i report TLS di ieri:

result-type "validation-failure"

quando ho messo MX aruba e policy con aruba

Però nella policy string google mi mostra una policy, quella vecchia, non vorrei che avesse mantenuto la policy per tutto il giorno, nonostante abbia cambiato l'id nel DNS

Perciò apetterò ancora 1-2 giorni con le attuali policy

[cancellato] · 26 nov 2022

bortolotti80

Quando fai test, abbassa max_age nella policy a 86400 (un giorno), così da assicurarti che non rimanga in cache (remota) per troppo tempo, poi entra in gioco anche il TTL del record TXT del DNS nelle varie cache. Quando è tutto a posto puoi anche riportarlo a 604800 che è una settimana.

bortolotti80 · 26 nov 2022

[cancellato]

Ho provato a mettere più record MX verso aruba, mi consigli di metterne uno solo a priorità 0 e gli altri a priorità maggiore?

O posso lasciarli tutti a priorità 0 ?

[cancellato] · 26 nov 2022

bortolotti80

Se è lo stesso server non serve a nulla. Quel meccanismo serve per avere dei mail server di fallback se quelli a priorità maggiore (numero più basso) non rispondono. Se hanno la stessa priorità, il server che invia ne sceglie uno a suo piacere.
In genere si dà una priorità perché i server di backup potrebbero non essere così efficienti come quello principale, o su altri network, e quindi da usare solo quando necessario.

bortolotti80 · 27 nov 2022

@[cancellato] @scorpion

Vi ringrazio per il prezioso aiuto, ora farò ancora qualche test e vedrò di provare enforced

Buona domenica

bortolotti80 · 7 giu 2023

@[cancellato]

Piccolo aggiornamento, la sto utilizzando come mail secondaria e non ho problemi, mentre il sito è abbastanza carino anche se non ha nessuna utilità, ora è puro esercizio

Ho provato a chiedere al servizio di Aruba se fosse possibile fare qualcosa per il DKIM, perchè firmando tutte le email con dominio=aruba.it e selector=a1, fanno fallire tutti i controlli sull'allineamento di DKIM, però non sembra interessagli, non vogliono parlarne , per ora comunque non ho problemi, tutti i server accettano le email, come ci si aspetta dalla teoria con DMARC, MTA-STS funziona e mi mostra i report, quindi probabilmente tra un pò, creerò una casella personale, dato che il costo è esiguo per dominio+mail

In modo da non essere legato a Gmail

Ti ringrazio ancora per il grande aiuto, dato ho imparato molto, se avrò qualche pazza idea scriverò ancora qui proseguendo, ma per ora non ho idee

bortolotti80 · 24 giu 2023

@[cancellato]

Scusa il disturbo ma non riesco a capire una cosa

In due report tra molti di questo mese, vedo che l'email ha come campo MailFrom il server di aruba e ciò porta a far fallire SPF e mandare l'email in quarantena, mentre il campo From ha il mio dominio correttamente

 The emails were send using envelope address <sender>@<> and <sender>@smtpcmd14162.aruba.it
 This is the RFC5321.MailFrom address, also known as the 'envelope' or 'bounce' address.
 The recipient cannot see this address in his/her email program, it is only used by the SMTP service.

Questo è per confronto il MailFrom quando va tutto bene

 The emails were send using envelope address <sender>@miodominio.it
 This is the RFC5321.MailFrom address, also known as the 'envelope' or 'bounce' address.
 The recipient cannot see this address in his/her email program, it is only used by the SMTP service.

Il servizio di report mi dice che potrebbe essere il forwarding (inoltro) delle email, ho provato a riprodurre vari forward verso la mia gmail ma gmail nel riepilogo mi da DMARC passato e i campi sono corretti, non ne ho di attivi automatici almeno non fatti da me

Secondo la tua esperienza cosa potrebbe essere?
Mi è capitato un report dove un server MailRu ha tentato di inviare con il mio dominio e DMARC ha fatto il proprio dovere, però mi sembra strano questo caso

Buon weekend, saluti

[cancellato] · 24 giu 2023

bortolotti80

Bella domanda, bisognerebbe chiedere ad Aruba. Se è nell'header dell'email bisognerebbe vedere chi ce lo mette e quando - confrontando i messaggi. Magari se Aruba ha più server ce n'è uno che fa casini.

bortolotti80 Il servizio di report mi dice che potrebbe essere il forwarding (inoltro) delle email,

Bisogna vedere a che forwarding si riferiscono, potrebbe essere quello tra server SMTP, non quello che fai da client. Quando un account SMTP è impostato per fare il forwarding verso altro account.

Ddamir13 · 24 giu 2023

bortolotti80 dovresti scoprire (dagli header) se le email con il from sbagliato arrivano tutte dallo stesso server. a leggere la tua descrizione del problema sembra che non abbiano attivato il masquerade correttamente su uno dei server.

bortolotti80 · 26 giu 2023

[cancellato] Magari se Aruba ha più server ce n'è uno che fa casini.

damir13 se le email con il from sbagliato arrivano tutte dallo stesso server

Grazie a entrambi, ho provato a guardare e i server che hanno inviato le due email incriminate sono differenti, oltretutto lo stesso server Aruba lo stesso giorno ha inviato un'altra email sempre verso outlook e non ha dato problemi

[cancellato] potrebbe essere quello tra server SMTP, non quello che fai da client. Quando un account SMTP è impostato per fare il forwarding verso altro account.

Pensavo lo stesso, il forwarding non manuale ma automatico, che da aruba ho impostato per un indirizzo, però inoltro tutto verso gmail e non ho problemi o segnalazioni a riguardo

Cercherò di stare più attento grazie per ipreziosi consigli

Credete possa essere un problema di client email? Perchè faccio i test sempre da PC con outlook o webmail, ma su smartphone utilizzo altri client

[cancellato] · 26 giu 2023

bortolotti80

Se i client email sono impostati per usare lo stesso server no, ma bisogna vedere come Aruba poi smista il delivery internamente. In sistemi complessi ci possono essere catene con percorsi diversi, in HA, load balancing, ecc.