Web Hosting + gestione DNS

[cancellato] · 24 giu 2023

Bella domanda, bisognerebbe chiedere ad Aruba. Se è nell'header dell'email bisognerebbe vedere chi ce lo mette e quando - confrontando i messaggi. Magari se Aruba ha più server ce n'è uno che fa casini.

bortolotti80 Il servizio di report mi dice che potrebbe essere il forwarding (inoltro) delle email,

Bisogna vedere a che forwarding si riferiscono, potrebbe essere quello tra server SMTP, non quello che fai da client. Quando un account SMTP è impostato per fare il forwarding verso altro account.

Ddamir13 · 24 giu 2023

bortolotti80 dovresti scoprire (dagli header) se le email con il from sbagliato arrivano tutte dallo stesso server. a leggere la tua descrizione del problema sembra che non abbiano attivato il masquerade correttamente su uno dei server.

bortolotti80 · 26 giu 2023

[cancellato] Magari se Aruba ha più server ce n'è uno che fa casini.

damir13 se le email con il from sbagliato arrivano tutte dallo stesso server

Grazie a entrambi, ho provato a guardare e i server che hanno inviato le due email incriminate sono differenti, oltretutto lo stesso server Aruba lo stesso giorno ha inviato un'altra email sempre verso outlook e non ha dato problemi

[cancellato] potrebbe essere quello tra server SMTP, non quello che fai da client. Quando un account SMTP è impostato per fare il forwarding verso altro account.

Pensavo lo stesso, il forwarding non manuale ma automatico, che da aruba ho impostato per un indirizzo, però inoltro tutto verso gmail e non ho problemi o segnalazioni a riguardo

Cercherò di stare più attento grazie per ipreziosi consigli

Credete possa essere un problema di client email? Perchè faccio i test sempre da PC con outlook o webmail, ma su smartphone utilizzo altri client

[cancellato] · 26 giu 2023

bortolotti80

Se i client email sono impostati per usare lo stesso server no, ma bisogna vedere come Aruba poi smista il delivery internamente. In sistemi complessi ci possono essere catene con percorsi diversi, in HA, load balancing, ecc.

bortolotti80 · 27 giu 2023

[cancellato]
Si ho ricontrollato li ho impostati correttamente, vedrò di controllare su di un periodo più lungo, perchè ora sto inviando poche email, grazie ancora

Capisco se cosi fosse per me sarebbe ancora più difficile accorgermene ora, con poche email

-Aggiunta:
Aruba non invia i rapporti DMARC, giusto?
Vedo che praticamente li invia solo Microsoft - Google e Yahoo

[cancellato] · 27 giu 2023

bortolotti80 Aruba non invia i rapporti DMARC, giusto?

I report li invia il server di destinazione dopo aver processato le informazioni. Sono pochi al momento ad inviarli, comunque richiede risorse per processarli ed inviarli. Non ho mai visto arrivare report da Aruba.

bortolotti80 · 2023-08-29T08:40:10+00:00

Da indagini sembrerebbe il problema verificarsi solo quando rispondo ad email con campi CC e/o CCN, sto provando a effettuare dei test, perchè non capita con tutte le mail con le stesse caratteristiche

CCal · 2023-08-29T09:25:55+00:00

bortolotti80 In due report tra molti di questo mese, vedo che l'email ha come campo MailFrom il server di aruba e ciò porta a far fallire SPF e mandare l'email in quarantena, mentre il campo From ha il mio dominio correttamente

Devi (o deve Aruba) configurare questo: https://en.wikipedia.org/wiki/Sender_Rewriting_Scheme

Anche se probabilmente mancano gli ip giusti nel record SPF.

E non dovresti usarlo così, ma se dmarc è configurato spesso riesce a fare override sensati di spf.

bortolotti80 · 2023-08-29T09:33:39+00:00

Cal
Farebbe fallire interamente DMARC per come funziona DKIM con aruba

Please note: Using SRS protocol fails the SPF Alignment check for your DMARC record, and it's by design. Your DMARC record can still pass with a DKIM check.

CCal · 2023-08-29T09:41:39+00:00

bortolotti80

SRS serve per inoltrare la posta che riceve il server. Quando reinvia non manda secco, ma riscrive envelope-from in modo da passare spf (usa il suo nome, non quello del mittente) e firma tutto il blocco con la sua chiave dkim (senza modificare il testo e la firma del server mittente.)

fabioferrero · 2023-08-29T12:45:25+00:00

Cal SRS e' bello sulla carta ma, dalla mia limitata esperienza, ancora poco supportato. Inoltre di implementazioni open ce ne sono poche. Forse l'unico grosso provider che lo considera e' google/gmail.

CCal · 2023-08-29T12:53:35+00:00

fabioferrero SRS è l'unica cosa che consente di avere inoltri funzionanti verso gmail, se il mittente ha indicato policy spf un po' aggressive (pensa -all invece di ~all)

fabioferrero poco supportato

Io ho cambiato l'intero stack per averlo. Altrimenti perdevo posta.
https://github.com/Mailu/Mailu/pull/1349

bortolotti80 · 2023-08-29T13:32:36+00:00

Ho provato a rileggere meglio SRS ma non mi è chiaro in questo caso, almeno credo sia utile in caso di inoltro del server, ad esempio ho provato a inoltrare le email dal server verso gmail, ma non ho problemi

Cal SRS serve per inoltrare la posta che riceve il server.

Io non sto inoltrando, nemmeno il server, sono risposte a mail con CC/CCN, mentre l'inoltro funziona senza problemi, anche lato server

Cal ma riscrive envelope-from in modo da passare spf

Ora nelle email con problematiche, si firma come server di aruba (es: smtpdh18-1.aruba.it) e non fa passare SPF, sia perchè quel server non ha SPF nel DNS, (envelope from dovrebbe avere il mio dominio), sia perchè poi cadrebbe l'allineamento DMARC per SPF, il server aruba non corrisponderebbe al mio dominio, facendo fallire DMARC e rimandandola in quarantena secondo policy

avendo envelope address <sender>@<> and <sender>@smtpdh18-1.aruba.it
il server restituisce:
Enterprise Outlook reported 'none' for the SPF authentication result of smtpdh18-1.aruba.it. This may indicate the domain did not have an SPF DNS record published.

Cal E non dovresti usarlo così, ma se dmarc è configurato spesso riesce a fare override sensati di spf.

?? non mi è chiaro
DMARC fa dei controlli, secondo l'RFC5321.MailFrom deve corrispondere al mio dominio altrimenti fallisce l'allineamento, quindi SPF fail, DKIM è sempre fail perchè aruba firma con il suo dominio, due fail è policy attiva

CCal · 2023-08-29T14:01:44+00:00

bortolotti80 mentre l'inoltro funziona senza problemi, anche lato server

allora non è questione di SRS.

bortolotti80 sia perchè quel server non ha SPF nel DNS

SPF è associato al dominio, non al server. Aruba dovrebbe darti/aggiungere da sola i record spf e dkim appropriati in modo che "smtpdh18-1.aruba.it" passi SPF e DKIM.

bortolotti80 (envelope from dovrebbe avere il mio dominio)

quello è header from.

bortolotti80 ?? non mi è chiaro

se spf non è hardfail dkim può salvarti. ma se dkim non è configurato allora addio.

SRS fa coincidere envelope from con il server smtp che la sta gestendo, invece di inoltrare tutto secco impersonando il server mittente (e fallendo SPF), ma questo vale solo per gli inoltri del server, non per quelli tuoi.

Comunque è abbastanza facile capire se SRS è attivo, basta guardare il sorgente di una mail inoltrata dal server e vedere se in mezzo c'è un indirizzo nel formato "srs0(roba)@smtpdh18-1.aruba.it"

bortolotti80 · 2023-08-29T15:02:16+00:00

Cal SPF è associato al dominio, non al server. Aruba dovrebbe darti/aggiungere da sola i record spf e dkim appropriati in modo che "smtpdh18-1.aruba.it" passi SPF e DKIM.

Il campo from, envelope from, RFC5321.MailFrom che ho messo come codice nel messaggio precedente è quello che riceve il server di destinazione e crea il problema, perchè solitamente dovrebbe essere
envelope address <sender>@miodominio.it che poi utilizza come sender il server smtpdh18-1.aruba.it, che risulta correttamente in record SPF (perchè lo aggiorna Aruba)

mentre le mail scartate hanno questo pattern:
envelope address <sender>@<> and <sender>@smtpdh18-1.aruba.it
cambia solo il codice del server quando passano i mesi, da gennaio è successo 3-4 volte

Aruba non configura DMARC, solo DKIM, perciò SPF non lo configura in automatico, detto questo ho DNS esterni, perciò ho riconfigurato tutto io, con l'aiuto di kmorwath lungo la discussione

Cal se spf non è hardfail dkim può salvarti. ma se dkim non è configurato allora addio.

SPF non l'ho in hardfail, ma softfail

Il problema con aruba è questo, dkim lo firma il loro server, la firma è su un selector id._domainkey.aruba.it, perciò la firma risulta valida, ma non allineata perchè si trova nel dominio aruba.it, quando dovrebbe essere in miodominio.it, secondo DMARC, perciò finchè SPF è allineato va tutto bene, quando non funge va in quarantena
Loro (aruba) non prevedono di cambiare ciò

Cal Comunque è abbastanza facile capire se SRS è attivo, basta guardare il sorgente di una mail inoltrata dal server e vedere se in mezzo c'è un indirizzo nel formato "srs0(roba)@smtpdh18-1.aruba.it"

Controllerò grazie

CCal · 2023-08-29T15:11:24+00:00

bortolotti80 dkim lo firma il loro server, la firma è su un selector id._domainkey.aruba.it, perciò la firma risulta valida, ma non allineata perchè si trova nel dominio aruba.it,

SPF se è allineata o meno dipende da cosa scrivi nel record, può essere diverso quanto vuole, se SMTP è nel record è nel record.

In questo momento non mi ricordo se dkim valida sul dominio envelope o header. Comunque se sei sicuro che la chiave sia lì, usarla per il tuo dominio è questione di un cname.

(Però è assurdo che Aruba ste cose non le faccia in automatico)

bortolotti80 · 7 set 2023

Cal
Credo tu stia facendo confusione, l'allineamento DMARC segue regole differenti rispetto, la verifica di SPF e DKIM, l'allineamento richiede che il dominio o sottodominio validi SPF e/o DKIM in poche parole, perciò se aruba firma DKIM con una chiave pubblica contenuta nel proprio record DNS in aruba.it, non avrò mai allineamento con qualsiasi dominio se non email spedite con dominio aruba.it

https://www.mailhardener.com/kb/dmarc

Questo è un esempio di persona che tentava di impersonificare il dominio, tramite spoofing, come si vede SPF e DKIM passano la validazione, ma ovviamente no l'allineamento richiesto da DMARC:

CCal · 7 set 2023

bortolotti80 passa spf di Gmail, e dkim per Aruba (con quale chiave?)

Nota come non soddisfi né dkim né spf per il dominio suo. "Not aligned" in quel caso significa "con che chiave stai firmando?"

Dmarc è solo un'unione dei due, non una cosa a parte.

bortolotti80 · 14 set 2023

@[cancellato]

Quando hai tempo mi piacerebbe ricevere un tuo consiglio, purtroppo ho appurato che in alcuni casi quando invio delle email, il server di destinazione ha un forward delle email, probabilmente non ben configurato, loro fanno un inoltro ma come FROM c'è sempre la mia email con mio dominio, che fa fallire DMARC e manda le email per quei destinatari sempre in quarantena

Io purtroppo non ho controllo su ciò, l'email sarebbe correttamente consegnata se potessi avere una firma DKIM con d=miodominio.it , ma sappiamo che con aruba ciò è impossibile

Il problema è che io con aruba ho attivo anche la pec su dominio ad ora, avere queste email consegnate in spam, non per colpa mia, è un vero problema

Con queste premesse, io purtroppo, come unica opzione penso di impostare la policy DMARC su none, sono a corto di idee

[cancellato] · 14 set 2023

Do un'occhiata agli ultimi messaggi per capire cosa ti sta succedendo - però DMARC con un server che si comporta come quello di Aruba è un po' un problema.