bortolotti80 Non sarebbe lo stesso?
Boh - non so cosa succede se dichiari che il tuo MX è gestito da un altro dominio. Sinceramente non mi è mai capitato di farlo, le poche volte che l'ho fatto (il mio lavoro non è quello, sono setup miei o di laboratorio) l'ho sempre fatto con lo stack completo in-house (a parte il DNS) e quindi non te lo so dire con sicurezza.
Si anche secondo me dovresti inserire l'host di Aruba (*.aruba.it) nella policy MTA-STS, in modo che il certificato dei loro server di posta corrisponda a quello specificato nella policy.
Se fai un reverse lookup sugli ip dei server di posta specificati da Aruba vedi che sono tutti sotto il dominio *.aruba.it (es. mxd5.aruba.it) e usano un certificato wildcard.
Il certificato che utilizzi per fornire il file di policy tramite TLS deve corrispondere a mta-sts.[dominio].[estensione] (perché il file viene fornito da quel dominio), ma IMHO non dovrebbe avere nulla a che fare con il certificato usato dal server di posta.
Poi concretamente con Aruba non l'ho mai usato (so solo che i loro server mail supportano STARTTLS) ma se non hanno implementazioni strane fuori standard dovrebbe funzionare.
[cancellato] se dichiari che il tuo MX è gestito da un altro dominio
Nella guida aruba, consiglia di mettere mx.tuodominio.com, non fornisce un mx.aruba.it e non saprei dove trovarlo
Mentre google fornisce un ASPMX.L.GOOGLE.COM. per chi ha google workspace, quel MX è personalizzato per ogni cliente, supportano le email con tuo dominio, SPF, DKIM, DMARC supportano anche MTA-STS e S/MIME (enterprise)
In pratica configuri tutto in google workspace, imposti i DNS con quello che ti da workspace e hai tutto in hosting
Ho letto qualcosa e sembra permettano di firmare o caricare i propri certificati, quindi se un servizio non permette questo, DKIM non andrà mai in allineamento e MTA-STS è impossibile da implementare, perchè serve nel mail server il certificato firmato per *.tuodominio.com, ho controllato e infatti in transito le email verso me non vengono mai crittografate
Minimo 6€/utente al mese
https://support.google.com/a/answer/140034
Va beh che controllando molte aziende hanno spf che fallisce (softfail), dkim di aruba e dmarc che fallisce però con policy none 
scorpion Si anche secondo me dovresti inserire l'host di Aruba (*.aruba.it) nella policy MTA-STS, in modo che il certificato dei loro server di posta corrisponda a quello specificato nella policy.
Se fai un reverse lookup sugli ip dei server di posta specificati da Aruba vedi che sono tutti sotto il dominio *.aruba.it (es. mxd5.aruba.it) e usano un certificato wildcard.
Si questo è vero, potrei provare a modificare il mio file di policy mettendo *.aruba.it come MX
Ho provato un reverse e si è mxdn.aruba.it con n numero intero
Aggiunta 25-11-22 17:33
Devo mettere come valore MX però un host aruba giusto? come consigliava @[cancellato] un mxd5.aruba.it
Ed ora i test
Mi sembra vada tutto, ma ho provato ad inviare un'email da gmail a me e non vedo negli header TLS, magari devo aspettare aggiornino le policy?
Verso Gmail:
by mx.google.com with ESMTPS
(version=TLS1_2 cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128);
Verso example.com:
by mail-ed1-f52.google.com with SMTP
@[cancellato] @scorpion
Ho i report TLS di ieri:
result-type "validation-failure"
quando ho messo MX aruba e policy con aruba
Però nella policy string google mi mostra una policy, quella vecchia, non vorrei che avesse mantenuto la policy per tutto il giorno, nonostante abbia cambiato l'id nel DNS
Perciò apetterò ancora 1-2 giorni con le attuali policy
Quando fai test, abbassa max_age nella policy a 86400 (un giorno), così da assicurarti che non rimanga in cache (remota) per troppo tempo, poi entra in gioco anche il TTL del record TXT del DNS nelle varie cache. Quando è tutto a posto puoi anche riportarlo a 604800 che è una settimana.
Ho provato a mettere più record MX verso aruba, mi consigli di metterne uno solo a priorità 0 e gli altri a priorità maggiore?
O posso lasciarli tutti a priorità 0 ?
Se è lo stesso server non serve a nulla. Quel meccanismo serve per avere dei mail server di fallback se quelli a priorità maggiore (numero più basso) non rispondono. Se hanno la stessa priorità, il server che invia ne sceglie uno a suo piacere.
In genere si dà una priorità perché i server di backup potrebbero non essere così efficienti come quello principale, o su altri network, e quindi da usare solo quando necessario.
@[cancellato] @scorpion
Vi ringrazio per il prezioso aiuto, ora farò ancora qualche test e vedrò di provare enforced
Buona domenica 
@[cancellato]
Piccolo aggiornamento, la sto utilizzando come mail secondaria e non ho problemi, mentre il sito è abbastanza carino anche se non ha nessuna utilità, ora è puro esercizio
Ho provato a chiedere al servizio di Aruba se fosse possibile fare qualcosa per il DKIM, perchè firmando tutte le email con dominio=aruba.it e selector=a1, fanno fallire tutti i controlli sull'allineamento di DKIM, però non sembra interessagli, non vogliono parlarne 
, per ora comunque non ho problemi, tutti i server accettano le email, come ci si aspetta dalla teoria con DMARC, MTA-STS funziona e mi mostra i report, quindi probabilmente tra un pò, creerò una casella personale, dato che il costo è esiguo per dominio+mail
In modo da non essere legato a Gmail
Ti ringrazio ancora per il grande aiuto, dato ho imparato molto, se avrò qualche pazza idea scriverò ancora qui proseguendo, ma per ora non ho idee 
@[cancellato]
Scusa il disturbo ma non riesco a capire una cosa
In due report tra molti di questo mese, vedo che l'email ha come campo MailFrom il server di aruba e ciò porta a far fallire SPF e mandare l'email in quarantena, mentre il campo From ha il mio dominio correttamente
The emails were send using envelope address <sender>@<> and <sender>@smtpcmd14162.aruba.it
This is the RFC5321.MailFrom address, also known as the 'envelope' or 'bounce' address.
The recipient cannot see this address in his/her email program, it is only used by the SMTP service.Questo è per confronto il MailFrom quando va tutto bene
The emails were send using envelope address <sender>@miodominio.it
This is the RFC5321.MailFrom address, also known as the 'envelope' or 'bounce' address.
The recipient cannot see this address in his/her email program, it is only used by the SMTP service.Il servizio di report mi dice che potrebbe essere il forwarding (inoltro) delle email, ho provato a riprodurre vari forward verso la mia gmail ma gmail nel riepilogo mi da DMARC passato e i campi sono corretti, non ne ho di attivi automatici almeno non fatti da me
Secondo la tua esperienza cosa potrebbe essere?
Mi è capitato un report dove un server MailRu ha tentato di inviare con il mio dominio e DMARC ha fatto il proprio dovere, però mi sembra strano questo caso
Buon weekend, saluti
Bella domanda, bisognerebbe chiedere ad Aruba. Se è nell'header dell'email bisognerebbe vedere chi ce lo mette e quando - confrontando i messaggi. Magari se Aruba ha più server ce n'è uno che fa casini.
bortolotti80 Il servizio di report mi dice che potrebbe essere il forwarding (inoltro) delle email,
Bisogna vedere a che forwarding si riferiscono, potrebbe essere quello tra server SMTP, non quello che fai da client. Quando un account SMTP è impostato per fare il forwarding verso altro account.
bortolotti80 dovresti scoprire (dagli header) se le email con il from sbagliato arrivano tutte dallo stesso server. a leggere la tua descrizione del problema sembra che non abbiano attivato il masquerade correttamente su uno dei server.
[cancellato] Magari se Aruba ha più server ce n'è uno che fa casini.
damir13 se le email con il from sbagliato arrivano tutte dallo stesso server
Grazie a entrambi, ho provato a guardare e i server che hanno inviato le due email incriminate sono differenti, oltretutto lo stesso server Aruba lo stesso giorno ha inviato un'altra email sempre verso outlook e non ha dato problemi
[cancellato] potrebbe essere quello tra server SMTP, non quello che fai da client. Quando un account SMTP è impostato per fare il forwarding verso altro account.
Pensavo lo stesso, il forwarding non manuale ma automatico, che da aruba ho impostato per un indirizzo, però inoltro tutto verso gmail e non ho problemi o segnalazioni a riguardo
Cercherò di stare più attento grazie per ipreziosi consigli
Credete possa essere un problema di client email? Perchè faccio i test sempre da PC con outlook o webmail, ma su smartphone utilizzo altri client
Se i client email sono impostati per usare lo stesso server no, ma bisogna vedere come Aruba poi smista il delivery internamente. In sistemi complessi ci possono essere catene con percorsi diversi, in HA, load balancing, ecc.
[cancellato]
Si ho ricontrollato li ho impostati correttamente, vedrò di controllare su di un periodo più lungo, perchè ora sto inviando poche email, grazie ancora
Capisco se cosi fosse per me sarebbe ancora più difficile accorgermene ora, con poche email
-Aggiunta:
Aruba non invia i rapporti DMARC, giusto?
Vedo che praticamente li invia solo Microsoft - Google e Yahoo
bortolotti80 Aruba non invia i rapporti DMARC, giusto?
I report li invia il server di destinazione dopo aver processato le informazioni. Sono pochi al momento ad inviarli, comunque richiede risorse per processarli ed inviarli. Non ho mai visto arrivare report da Aruba.
Da indagini sembrerebbe il problema verificarsi solo quando rispondo ad email con campi CC e/o CCN, sto provando a effettuare dei test, perchè non capita con tutte le mail con le stesse caratteristiche
bortolotti80 In due report tra molti di questo mese, vedo che l'email ha come campo MailFrom il server di aruba e ciò porta a far fallire SPF e mandare l'email in quarantena, mentre il campo From ha il mio dominio correttamente
Devi (o deve Aruba) configurare questo: https://en.wikipedia.org/wiki/Sender_Rewriting_Scheme
Anche se probabilmente mancano gli ip giusti nel record SPF.
E non dovresti usarlo così, ma se dmarc è configurato spesso riesce a fare override sensati di spf.
Cal
Farebbe fallire interamente DMARC per come funziona DKIM con aruba
Please note: Using SRS protocol fails the SPF Alignment check for your DMARC record, and it's by design. Your DMARC record can still pass with a DKIM check.
Informativa privacy
-
Informativa cookie
-
Termini e condizioni
-
Regolamento
-
Disclaimer
-
🏳️🌈
P.I. IT16712091004 - info@fibraclick.it
♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile