Web Hosting + gestione DNS

bortolotti80 · 25 nov 2022

scorpion Si anche secondo me dovresti inserire l'host di Aruba (*.aruba.it) nella policy MTA-STS, in modo che il certificato dei loro server di posta corrisponda a quello specificato nella policy.

Se fai un reverse lookup sugli ip dei server di posta specificati da Aruba vedi che sono tutti sotto il dominio *.aruba.it (es. mxd5.aruba.it) e usano un certificato wildcard.

Si questo è vero, potrei provare a modificare il mio file di policy mettendo *.aruba.it come MX

Ho provato un reverse e si è mxdn.aruba.it con n numero intero

Aggiunta 25-11-22 17:33

Devo mettere come valore MX però un host aruba giusto? come consigliava @[cancellato] un mxd5.aruba.it

Ed ora i test

Mi sembra vada tutto, ma ho provato ad inviare un'email da gmail a me e non vedo negli header TLS, magari devo aspettare aggiornino le policy?

Verso Gmail:
by mx.google.com with ESMTPS
(version=TLS1_2 cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128);

Verso example.com:
by mail-ed1-f52.google.com with SMTP

bortolotti80 · 26 nov 2022

@[cancellato] @scorpion

Ho i report TLS di ieri:

result-type "validation-failure"

quando ho messo MX aruba e policy con aruba

Però nella policy string google mi mostra una policy, quella vecchia, non vorrei che avesse mantenuto la policy per tutto il giorno, nonostante abbia cambiato l'id nel DNS

Perciò apetterò ancora 1-2 giorni con le attuali policy

[cancellato] · 26 nov 2022

bortolotti80

Quando fai test, abbassa max_age nella policy a 86400 (un giorno), così da assicurarti che non rimanga in cache (remota) per troppo tempo, poi entra in gioco anche il TTL del record TXT del DNS nelle varie cache. Quando è tutto a posto puoi anche riportarlo a 604800 che è una settimana.

bortolotti80 · 26 nov 2022

[cancellato]

Ho provato a mettere più record MX verso aruba, mi consigli di metterne uno solo a priorità 0 e gli altri a priorità maggiore?

O posso lasciarli tutti a priorità 0 ?

[cancellato] · 26 nov 2022

bortolotti80

Se è lo stesso server non serve a nulla. Quel meccanismo serve per avere dei mail server di fallback se quelli a priorità maggiore (numero più basso) non rispondono. Se hanno la stessa priorità, il server che invia ne sceglie uno a suo piacere.
In genere si dà una priorità perché i server di backup potrebbero non essere così efficienti come quello principale, o su altri network, e quindi da usare solo quando necessario.

bortolotti80 · 27 nov 2022

@[cancellato] @scorpion

Vi ringrazio per il prezioso aiuto, ora farò ancora qualche test e vedrò di provare enforced

Buona domenica

bortolotti80 · 7 giu 2023

@[cancellato]

Piccolo aggiornamento, la sto utilizzando come mail secondaria e non ho problemi, mentre il sito è abbastanza carino anche se non ha nessuna utilità, ora è puro esercizio

Ho provato a chiedere al servizio di Aruba se fosse possibile fare qualcosa per il DKIM, perchè firmando tutte le email con dominio=aruba.it e selector=a1, fanno fallire tutti i controlli sull'allineamento di DKIM, però non sembra interessagli, non vogliono parlarne , per ora comunque non ho problemi, tutti i server accettano le email, come ci si aspetta dalla teoria con DMARC, MTA-STS funziona e mi mostra i report, quindi probabilmente tra un pò, creerò una casella personale, dato che il costo è esiguo per dominio+mail

In modo da non essere legato a Gmail

Ti ringrazio ancora per il grande aiuto, dato ho imparato molto, se avrò qualche pazza idea scriverò ancora qui proseguendo, ma per ora non ho idee

bortolotti80 · 24 giu 2023

@[cancellato]

Scusa il disturbo ma non riesco a capire una cosa

In due report tra molti di questo mese, vedo che l'email ha come campo MailFrom il server di aruba e ciò porta a far fallire SPF e mandare l'email in quarantena, mentre il campo From ha il mio dominio correttamente

 The emails were send using envelope address <sender>@<> and <sender>@smtpcmd14162.aruba.it
 This is the RFC5321.MailFrom address, also known as the 'envelope' or 'bounce' address.
 The recipient cannot see this address in his/her email program, it is only used by the SMTP service.

Questo è per confronto il MailFrom quando va tutto bene

 The emails were send using envelope address <sender>@miodominio.it
 This is the RFC5321.MailFrom address, also known as the 'envelope' or 'bounce' address.
 The recipient cannot see this address in his/her email program, it is only used by the SMTP service.

Il servizio di report mi dice che potrebbe essere il forwarding (inoltro) delle email, ho provato a riprodurre vari forward verso la mia gmail ma gmail nel riepilogo mi da DMARC passato e i campi sono corretti, non ne ho di attivi automatici almeno non fatti da me

Secondo la tua esperienza cosa potrebbe essere?
Mi è capitato un report dove un server MailRu ha tentato di inviare con il mio dominio e DMARC ha fatto il proprio dovere, però mi sembra strano questo caso

Buon weekend, saluti

[cancellato] · 24 giu 2023

bortolotti80

Bella domanda, bisognerebbe chiedere ad Aruba. Se è nell'header dell'email bisognerebbe vedere chi ce lo mette e quando - confrontando i messaggi. Magari se Aruba ha più server ce n'è uno che fa casini.

bortolotti80 Il servizio di report mi dice che potrebbe essere il forwarding (inoltro) delle email,

Bisogna vedere a che forwarding si riferiscono, potrebbe essere quello tra server SMTP, non quello che fai da client. Quando un account SMTP è impostato per fare il forwarding verso altro account.

Ddamir13 · 24 giu 2023

bortolotti80 dovresti scoprire (dagli header) se le email con il from sbagliato arrivano tutte dallo stesso server. a leggere la tua descrizione del problema sembra che non abbiano attivato il masquerade correttamente su uno dei server.

bortolotti80 · 26 giu 2023

[cancellato] Magari se Aruba ha più server ce n'è uno che fa casini.

damir13 se le email con il from sbagliato arrivano tutte dallo stesso server

Grazie a entrambi, ho provato a guardare e i server che hanno inviato le due email incriminate sono differenti, oltretutto lo stesso server Aruba lo stesso giorno ha inviato un'altra email sempre verso outlook e non ha dato problemi

[cancellato] potrebbe essere quello tra server SMTP, non quello che fai da client. Quando un account SMTP è impostato per fare il forwarding verso altro account.

Pensavo lo stesso, il forwarding non manuale ma automatico, che da aruba ho impostato per un indirizzo, però inoltro tutto verso gmail e non ho problemi o segnalazioni a riguardo

Cercherò di stare più attento grazie per ipreziosi consigli

Credete possa essere un problema di client email? Perchè faccio i test sempre da PC con outlook o webmail, ma su smartphone utilizzo altri client

[cancellato] · 26 giu 2023

bortolotti80

Se i client email sono impostati per usare lo stesso server no, ma bisogna vedere come Aruba poi smista il delivery internamente. In sistemi complessi ci possono essere catene con percorsi diversi, in HA, load balancing, ecc.

bortolotti80 · 27 giu 2023

[cancellato]
Si ho ricontrollato li ho impostati correttamente, vedrò di controllare su di un periodo più lungo, perchè ora sto inviando poche email, grazie ancora

Capisco se cosi fosse per me sarebbe ancora più difficile accorgermene ora, con poche email

-Aggiunta:
Aruba non invia i rapporti DMARC, giusto?
Vedo che praticamente li invia solo Microsoft - Google e Yahoo

[cancellato] · 27 giu 2023

bortolotti80 Aruba non invia i rapporti DMARC, giusto?

I report li invia il server di destinazione dopo aver processato le informazioni. Sono pochi al momento ad inviarli, comunque richiede risorse per processarli ed inviarli. Non ho mai visto arrivare report da Aruba.

bortolotti80 · 2023-08-29T08:40:10+00:00

Da indagini sembrerebbe il problema verificarsi solo quando rispondo ad email con campi CC e/o CCN, sto provando a effettuare dei test, perchè non capita con tutte le mail con le stesse caratteristiche

CCal · 2023-08-29T09:25:55+00:00

bortolotti80 In due report tra molti di questo mese, vedo che l'email ha come campo MailFrom il server di aruba e ciò porta a far fallire SPF e mandare l'email in quarantena, mentre il campo From ha il mio dominio correttamente

Devi (o deve Aruba) configurare questo: https://en.wikipedia.org/wiki/Sender_Rewriting_Scheme

Anche se probabilmente mancano gli ip giusti nel record SPF.

E non dovresti usarlo così, ma se dmarc è configurato spesso riesce a fare override sensati di spf.

bortolotti80 · 2023-08-29T09:33:39+00:00

Cal
Farebbe fallire interamente DMARC per come funziona DKIM con aruba

Please note: Using SRS protocol fails the SPF Alignment check for your DMARC record, and it's by design. Your DMARC record can still pass with a DKIM check.

CCal · 2023-08-29T09:41:39+00:00

bortolotti80

SRS serve per inoltrare la posta che riceve il server. Quando reinvia non manda secco, ma riscrive envelope-from in modo da passare spf (usa il suo nome, non quello del mittente) e firma tutto il blocco con la sua chiave dkim (senza modificare il testo e la firma del server mittente.)

fabioferrero · 2023-08-29T12:45:25+00:00

Cal SRS e' bello sulla carta ma, dalla mia limitata esperienza, ancora poco supportato. Inoltre di implementazioni open ce ne sono poche. Forse l'unico grosso provider che lo considera e' google/gmail.

CCal · 2023-08-29T12:53:35+00:00

fabioferrero SRS è l'unica cosa che consente di avere inoltri funzionanti verso gmail, se il mittente ha indicato policy spf un po' aggressive (pensa -all invece di ~all)

fabioferrero poco supportato

Io ho cambiato l'intero stack per averlo. Altrimenti perdevo posta.
https://github.com/Mailu/Mailu/pull/1349