Web Hosting + gestione DNS

bortolotti80 · 22 nov 2022

[cancellato] fa una richiesta DNS MX per quel dominio esterno. Questa richiesta restituisce uno o più host, in ordine di priorità, dove trovare il mail server di destinazione

infatti avevo provato con un lookup e restituisce gli indirizzi IP del record A

[cancellato] via client SMTP

Ecco perchè aruba fa impostare imaps.aruba.it

Ora mi è più chiaro, pensavo io entrando nella web mail dovessi fare richieste ai miei DNS

[cancellato] i record MX possono puntare solo a record A, non CNAME

Si CNAME ho solo il sito di prova e ora mta-sts che ho voluto provare

[cancellato] Non capisco la distinzione per IMAP/POP/SMTP se usi TLS o no. In realtà nel primo caso puoi usare ad esempio imap.<tuodominio>.<ext> nella configurazione IMAP, nel secondo no. Comunque nei DNS non c'è alcuna indicazione se un host usa TLS o no

Non saprei proprio, io ho scelto imaps perchè utilizzo quello, molte guide aruba sono confusionarie, anche perchè anche nell'email di lavoro che è gestita sempre con aruba, ma da un'azienda esterna utilizziamo sempre imaps.aruba.it con i client di posta, mai con il dominio

[cancellato] e se Aruba lo cambia tu non devi toccare nulla

Avevo ragionato anch'io come te ahahah, anche perchè la mia paura era che quella subnet fosse utilizzata per altro, probabilmente aruba l'ha riservata per i mail server e quindi la considera sicura? Boh

C'è modo di capire se funziona _spf.aruba.it ? banalmente ho provato con un lookup, su tuo consiglio ho rimesso quarantine e vedrò se arriveranno i report

Lookup: _spf.aruba.it
Reply
Server:  my.server
Address:  x.x.x.x

Nome:    _spf.aruba.it

[cancellato] Sì, sono rimasti fermi a vent'anni fa

Potrebbero valorizzarsi meglio, anche perchè si perdono in banalità, ora ho un ticket pronto per DNSSEC ahahah

[cancellato] Attenzione però che tu non controlli il certificato del server di Aruba

Stavo leggendo in google-developers, io comunque per curiosità per ora l'ho impostato in testing, anche perchè ero curioso di creare un sottodominio solo per mta-sts e gestire correttamente il DNS, loro sottolineano il certificato dominio e mail server devono coincidere

Sono riuscito almeno a configurare il dns e il dominio correttamente

[cancellato] se hanno la pazienza di leggersi tutto, ah ah

Ahahahah intendevo proprio questo, le risposte sono più dettagliate e lunghe in questo thread

[cancellato] Non so se c'è un libro che non sia scritto per uno specifico sistema

Grazie comunque, per ora la fonte che apprezzo di più è https://support.google.com/a/answer/9276419, trovo trattate molte cose anche cloudflare

bortolotti80 · 22 nov 2022

bortolotti80 C'è modo di capire se funziona _spf.aruba.it

Sono riuscito con questo servizio:

https://www.mailhardener.com/tools/spf-validator

(Deleted Code for Privacy)

[cancellato] · 22 nov 2022

bortolotti80

Sì, stavo per dirtelo che ci sono vari servizi web che ti testano SPF/DKIM/DMARC/MTA-STS - almeno ti fanno un controllo formale che tutto sia configurato da specifiche. Occhio che forse hai lasciato qualche dominio che vorresti mascherare nell'output.

bortolotti80 utilizziamo sempre imaps.aruba.it con i client di posta, mai con il dominio

Probabilmente potresti impostare anche record A per questi nel tuo dominio, magari anche come CNAME per quelli di Aruba, ma alla fine cambia poco, tanto sempre su quei server vai.

bortolotti80 Potrebbero valorizzarsi meglio,

Sì, non hanno DNS IPv6, non supportano DDNS... tant'è che ho un dominio .cloud comprato da loro che uso per test vari per il quale uso i DNS di HE che mi permettono molta più libertà e con i quali posso fare un po' di prove varie. Solo che essendo un servizio free oggi c'è, domani chissà - quindi per il dominio principale con il quale non faccio giochetti lascio su Aruba e via - anche perché personalmente sono un po' contrario a questo estremo accentramento su Cloudflare/GitHub e poco altro - Internet è nato decentralizzato e stiamo ri-centralizzando tutto. Comunque quello di Aruba è un approccio un po' "all'italiana" che farebbero bene a cambiare. Ma magari il mercato low-end gli interessa poco, ormai.

bortolotti80 · 23 nov 2022

[cancellato] vorresti mascherare nell'output.

Grazie, per sicurezza ho cancellato tutto anche perchè non è utile a chi leggerà poi

Vorrei lasciare dei servizi utili:
https://dnssec-debugger.verisignlabs.com | DNSSEC DEBUGGER
https://dnsviz.net | DNSSEC DEBUGGER più approfondito
https://www.mailhardener.com | TOOLS & Best practice email

Del ultimo, sezione Knowledge base, ieri sera provai a mettere in sicurezza i sottodomini non utilizzati per le email, ho notato che utilizzando la rfc7505 ho risposte quasi istantanee dai client di posta se si sbaglia il dominio email

[cancellato] Probabilmente potresti impostare anche record A per questi nel tuo dominio

Un cname che fa ad esempio: CNAME - - imaps.example.com - - imaps.aruba.it ?

[cancellato] Ma magari il mercato low-end gli interessa poco

Può essere, a me piace molto il servizio clienti e il servizio d'assistenza, ad esempio ieri fino le 24 mi hanno risposto per attivare DNSSEC e dopo qualche conferma lo hanno eseguito

[cancellato] questo estremo accentramento

Purtroppo da un lato cloudflare, google... , creano standard o collaborano e sono i primi ad implementarli, aruba da parte sua per clienti grossi magari li implementa, anche perchè per il poco che ho avuto a che fare con loro sembrano molto preparati, per i piccoli clienti no (ad esempio per DNSSEC mi hanno detto se ha server NS esterni lo attiviamo altrimenti non si può)

Aruba ha la fortuna di proporre un'infinità di servizi, penso ad esempio alla fibra, se facessero uno sconto per chi ha più servizi con loro, mettiamo anche di 1-2€ (come gli ISP fanno con mobile + fisso), la farei subito, invece di proporre sconti per 6-12 mesi, in questo modo attirerebbero i piccoli clienti (se remunerativo)

Gli auguro di migliorare

[cancellato] Solo che essendo un servizio free oggi c'è, domani chissà

Secondo me per piccoli clienti, occupano cosi poche risorse che li considerano come servizi demo, utilizzano noi per testare i servizi , anche perchè è tutto automatizzato

Aggiunta 23-11-22 13:40

Ho provato per curiosità ad inviare un'email dal mio dominio a una gmail e vedo :

Crittografia standard (TLS)
Proveniente da: example.com
Firmato da: aruba.it

Sembrerebbe funzionare MTA-STS nonostante non abbia controllo del certificato aruba, o mi sfugge qualcosa?

Filippo94 · 23 nov 2022

Per quanto riguarda spf se utilizzi il sistema di posta di Aruba, quella stringa è esatta. Anche io la uso

[cancellato] · 23 nov 2022

bortolotti80 Un cname che fa ad esempio: CNAME - - imaps.example.com - - imaps.aruba.it ?

Il problema è che l'hostname/dominio nel certificato poi è diverso. Mi sa che è per questo motivo che Aruba se usi TLS non ti chiede di creare hostname nel tuo dominio, poi il certificato è per un host Aruba.

bortolotti80 Può essere, a me piace molto il servizio clienti e il servizio d'assistenza

Sì, ma gli basterebbe veramente poco per essere un poco più "appetibili" e attirarsi facili critiche, senza un grosso investimento.

bortolotti80 ad esempio per DNSSEC mi hanno detto se ha server NS esterni lo attiviamo altrimenti non si può

È perché il loro sistema DNS è ormai veramente antiquato Se proprio vogliono limitarlo un po' per costringere gli utenti a comprarsi dei server per fare da DNS, potrebbero mettere magari qualche limite sul numero di record e/o sottodomini - se non vogliono dedicarci troppe risorse.

bortolotti80 Ho provato per curiosità ad inviare un'email dal mio dominio a una gmail e vedo :

MTA-STS funziona quando ricevi, non quando invii. Devi scriverti da GMail e poi aspettare il report che ti invia Google su quanto rilevato. Questo è un esempio di reporta da Google:

{
	"organization-name": "Google Inc.",
	"date-range": {
		"start-datetime": "2022-04-18T00:00:00Z",
		"end-datetime": "2022-04-18T23:59:59Z"
	},
	"contact-info": "smtp-tls-reporting@google.com",
	"report-id": "2022-04-18T00:00:00Z_<redacted>.it",
	"policies": [
		{
			"policy": {
				"policy-type": "sts",
				"policy-string": [
					"version: STSv1\r",
					"mode: testing\r",
					"mx: mail.<redacted>.it\r",
					"max_age: 604800\r"
				],
				"policy-domain": "<redacted>.it"
			},
			"summary": {
				"total-successful-session-count": 1,
				"total-failure-session-count": 0
			}
		}
	]
}

Segnala che ha inviato un messaggio e che è riuscito ad inviarlo via TLS, Comunque il modo è "testing" e avrebbe invaito comunque. I report sono creati giornalmente alla mezzanotte e poi inviati.

bortolotti80 · 23 nov 2022

[cancellato] poi il certificato è per un host Aruba

Secondo te è possibile che aruba scegliendo di impostare NS esterni, firmi il certificato per example.com e lo firmi a suo nome?

E' possibile avere più certificati se i server sono differenti?
Ad esempio se un utente naviga in example.com ho certificato Let's Encrypt, se un server di posta contatta mx.example.com un'altro certificato firmato da Aruba

Il problema in questo caso è se si fa un controllo incrociato tra example.com e mx.example.com e trovi due certificati per lo stesso dominio (*example.com e example.com) ma firmati da due aziende differenti

[cancellato] per costringere gli utenti a comprarsi dei server per fare da DNS

Può essere il loro mercato sia principalmente grandi e medie aziende

[cancellato] MTA-STS funziona quando ricevi, non quando invii

Ecco non avevo proprio capito allora , ho provato

Ho provato a rileggermi la spiegazione per MTA-STS e ho trovato un riepilogo:

Mi verrebbe da pensare che non è obbligatorio avere lo stesso certificato sia sul webserver che nel mailserver

Loro offrono un servizio hosted e dicono è sufficiente cambiare pochi parametri nel proprio DNS affinchè funzioni, è incluso a partire da 199€/anno
https://www.mailhardener.com/blog/introducing-hosted-mta-sts

Va beh che ora non mi resta che aspettare un giorno e vedere i report

è necessario avere email di report differenti o posso mettere una sola mail ?, es. mailreport@example.com per DMARC rua,ruf e SMTP TLS reporting, io pensavo potessi farlo nonostante tutti consiglino di separarle

Buon pomeriggio

[cancellato] · 23 nov 2022

bortolotti80 Secondo te è possibile che aruba scegliendo di impostare NS esterni, firmi il certificato per example.com e lo firmi a suo nome?

Mah, non credo proprio... dovrebbe gestire una moltitudine di certificati con tutti i rischi del caso. E se Aruba potesse creare certificati come vuole per il tuo dominio può anche intercettare tutto il tuo traffico.

bortolotti80 E' possibile avere più certificati se i server sono differenti?

Sì, ma il server deve presentare il certificato corretto per la richiesta. Se sono server differenti - es posta e web server possono tranquillamente avere certificati differenti, anche firmati da CA differenti, ma devono essere in grado di presentare quello giusto per la richiesta. Se contatti mail.example.org, il common name o uno dei subject alternative name deve essere per mail.example.org, non può essere per mail.aruba.com - altrimenti la verifica del certificato fallisce. I certificati servono sia per la cifratura che l'autenticazione. La prima senza la seconda serve a poco, perché non puoi garantire di parlare con l'endpoint giusto. Se posso fare man-in-the-middle con qualsiasi certificato, la cifratura serve a nulla.

bortolotti80 Mi verrebbe da pensare che non è obbligatorio avere lo stesso certificato sia sul webserver che nel mailserver

Infatti. Io faccio generare a Let's Encrypt certificati diversi per i due siti che hosto sul mio VPS, e per il mail server.

bortolotti80 Loro offrono un servizio hosted e dicono è sufficiente cambiare pochi parametri nel proprio DNS affinchè funzioni, è incluso a partire da 199€/anno

Sì, vabbé, 200 euro l'anno mi ci pago abbondantemente un VPS con il web server e i certificati li faccio generare da Let's Encrypt... se proprio non hai la minima idea di come fare allora sì, paghi qualcuno che lo faccia per te, perché no? Poi vabbé, a quel prezzo ti processano anche i report e te li visualizzano in una comoda interfaccia web.

bortolotti80 è necessario avere email di report differenti o posso mettere una sola mail ?

Puoi anche mettere una sola mail. Dipende dal traffico che fa il mail server, e chi controlla i report, e se li processi automaticamente o no. Tieni sempre presente che DMARC verifica gli invii, MTA-STS le ricezioni.

bortolotti80 · 23 nov 2022

[cancellato] E se Aruba potesse creare certificati come vuole per il tuo dominio può anche intercettare tutto il tuo traffico

Devo leggermi qualcosa sui certificati

Mettendomi nei panni di aruba, io ho un server mail con IP 62.149.128.151, dove gestisco le mail di più clienti, è possibile riconoscere le richieste in arrivo per ogni cliente e associare il certificato del cliente? (certificato fornito dal cliente)

Dal poco che ho capito penso di no, ma non ne sono sicuro, perchè il server ricevente potrebbe leggere il campo to del header

[cancellato] il common name o uno dei subject alternative name deve essere per mail.example.org, non può essere per mail.aruba.com

Si questo credo di averlo capito

[cancellato] Io faccio generare a Let's Encrypt certificati diversi per i due siti che hosto sul mio VPS, e per il mail server.

Capito, quindi tu il MTA-STS policy file lo hosti sul webserver con il certificato per *.example.com e hai il certificato per mail.example.com nel mail server?

Hai mai avuto problemi con il rinnovo automatico del certificato con let's encrypt?

[cancellato] a quel prezzo ti processano anche i report e te li visualizzano in una comoda interfaccia web

Esatto a me interessava la versione free per visualizzare i report, perchè ora li leggo nella posta ahahah
e per capire che l'MTA-STS policy file lo posso hostare da qualsiasi parte

[cancellato] DMARC verifica gli invii, MTA-STS le ricezioni

Ok quindi se utilizzo questa mail come principale verrò subissato di report

Ho attivato DNSSEC, stavo facendo dei controlli ma non capisco perchè molte aziende come google non lo utilizzino, capisco la paura di esporre i sottodomini quindi tutte le proprie zone, forse il problema serio è per DDoS Reflection/amplification
l'unica che lo utilizza è cloudflare ...
google, microsoft, apple, hurricane, amazon , no

Fonti lette: 1 2

Mi consiglieresti un IDE per scrivere le pagine web?
Perchè ho il problema di non poter visualizzare le pagine in locale se utilizzo path assoluti, se riesco utilizzo i relativi cosi non si rompe tutto in locale, ma per certe pagine non posso

Buonasera

[cancellato] · 23 nov 2022

bortolotti80 è possibile riconoscere le richieste in arrivo per ogni cliente e associare il certificato del cliente?

Sì, ci sono mail server che possono gestire più domini contemporaneamente, ma devono essere configurati per ogni dominio servito separatamente. Non so come Aruba gestisca il mail server, ma se è come il DNS....

bortolotti80 Capito, quindi tu il MTA-STS policy file lo hosti sul webserver con il certificato per *.example.com

Io ho un certificato per il sito principale che nei Subject Alternative Names ha www. e mta-sts. Poi ho un certificato separato per il mail server. Si può fare anche in altri modi, dipende da quanti certificati vuoi gestire e come. Io ho fatto così perché la gestione dei certificati del web server è diversa da quella del mail server.

bortolotti80 Hai mai avuto problemi con il rinnovo automatico del certificato con let's encrypt?

Si era bloccato una volta lo script schedulato... ma in genere è molto affidabile, specialmente se usi Certbot su Linux.

bortolotti80 Ok quindi se utilizzo questa mail come principale verrò subissato di report

Mah, non sono molti i server che inviano report, e comunque di solito li aggregano in uno giornaliero. Poi dipende da quanto traffico fa il server di posta, e verso quali domini.

bortolotti80 Mi consiglieresti un IDE per scrivere le pagine web?

Qui non posso aiutarti - lo sviluppo web lo lascio volentieri ad altri, mi spiace. Per i miei siti uso WordPress, Drupal o altri prodotti per scopi specifici. Per lo sviluppo locale però converrebbe avere un web server locale, così che i link se corretti funzionino comunque.

bortolotti80 · 24 nov 2022

[cancellato] Sì, ci sono mail server che possono gestire più domini contemporaneamente

Interessante
quando avrò tempo proverò a contattare l'assistenza, magari lo supportano, anche se spulciando il listino ho visto che per le grandi aziende ad esempio consigliano il server in cui gestire il proprio dns

[cancellato] è molto affidabile, specialmente se usi Certbot su Linux

Capito, ho visto una guida di digital ocean a riguardo, non sembrava complicato, se riesco a sistemare un pò decentemente quello che sto facendo proverò una vps

[cancellato] Mah, non sono molti i server che inviano report, e comunque di solito li aggregano in uno giornaliero

Si vero ho appena ricevuto google per dmarc e smtp tls, avevo provato anche con altre mail ma non inviano report allora

[cancellato] Per lo sviluppo locale però converrebbe avere un web server locale, così che i link se corretti funzionino comunque

Capisco grazie comunque, ho preferito bootstrap perchè consigliatomi, wordpress dovrei stare più attento agli aggiornamenti, nel firewall è pieno di bot che cercano estensioni e informazioni su wordpress

Una domanda, tu hai dominio + dns con aruba e una vps per webserver se ho capito, il mail server lo gestisci tu sempre in vps o ti rivolgi a un servizio esterno?

Aggiunta 24/11/22 h:14.20

  <policy_published>
    <domain>***redacted***</domain>
    <adkim>s</adkim>
    <aspf>s</aspf>
    <p>quarantine</p>
    <sp>quarantine</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>***redacted***</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>***redacted***</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>aruba.it</domain>
        <result>pass</result>
        <selector>***redacted***</selector>
      </dkim>
      <spf>
        <domain>***redacted***</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

Non mi è chiara una cosa, se ho capito bene il messaggio è stato fatto passare da google (politica <disposition>none</disposition>)
Ma perchè nel record, row, sezione in cui ci sarebbe l'IP di mta-aruba, dkim è fail?
mentre poi nel auth result è tutto positivo

[cancellato] · 24 nov 2022

bortolotti80 wordpress dovrei stare più attento agli aggiornamenti, nel firewall è pieno di bot che cercano estensioni e informazioni su wordpress

Sì, oggi Wordpress si aggiorna da solo (se ha i permessi per farlo) ma occorre fare molta attenzione ai plug-in. Da quel punto di vista Drupal è più rognoso perché va aggiornato a mano, con composer è un po' più semplice, ma ogni tanto si incarta, specie quando passi di versione. Io uso un Wordpress piuttosto semplice, se devi farci qualcosa di complesso bisogna sapere cosa stai facendo.

bortolotti80 l mail server lo gestisci tu sempre in vps o ti rivolgi a un servizio esterno?

Io ho anche il mio mail server - per motivi di privacy, sicurezza e controllo dello spam.

bortolotti80 Ma perchè nel record, row, sezione in cui ci sarebbe l'IP di aruba, dkim è fail?

Da quello che vedo singolarmente SPF e DKIM passano, ma poi c'è un mismatch fra i domini, perché uno è aruba.it e l'altro è il tuo. Hai provato a fare un test del record DMARC con i vari tool online?

bortolotti80 · 24 nov 2022

[cancellato] oggi Wordpress si aggiorna da solo (se ha i permessi per farlo) ma occorre fare molta attenzione ai plug-in

Capisco, infatti molti hosting lo vendono come servizio "premium"

[cancellato] Io ho anche il mio mail server

Perchè mi chiedevo, esiste un mail hosting con dominio proprio che permetta MTA-STS?

[cancellato] Hai provato a fare un test del record DMARC con i vari tool online?

Ho provato ma fanno solo un'analisi formale sul record DMARC

Ho provato a informarmi su quel selector dove c'è il dominio aruba e ho trovato:

È una variabile stringa che aiuta a puntare verso la chiave pubblica DKIM nel DNS del tuo dominio mentre autentichi i tuoi messaggi usando il protocollo di autenticazione DKIM.

Perciò penso inizialmente fa un check dkim sul dominio MX (che non ha dkim perchè lo ha aruba) poi contatta mta-aruba e fa il check dkim che passa con selector per il mio dominio nel loro DNS (aruba.it)
Ora devo pensare se c'è modo di prendere il dkim e metterlo anche nel mio dns?
(l'ho trovata, ci provo)

Sscorpion · 24 nov 2022

bortolotti80 Perchè mi chiedevo, esiste un mail hosting con dominio proprio che permetta MTA-STS?

Se non sbaglio su proprio dominio non è strettamente necessario che il servizio e-mail utilizzato "supporti" MTA-STS per utilizzarlo.
Dovrebbe essere sufficiente aggiungere il corrispondente record TXT (per indicare che il dominio lo supporta) e ospitare su un proprio webserver il file contenente le proprie policy, all'url:
https://mta-sts.[dominio].[estensione]/.well-known/mta-sts.txt

Sta poi al server che invia l'e-mail controllare che il dominio del destinatario supporti MTA-STS, recuperare le relative policy e agire di conseguenza.

Al massimo il provider e-mail può semplificarne la gestione, ospitando il file di policy per conto del proprietario del dominio e/o generando report dettagliati sugli errori relativi al TLS.

[cancellato] · 24 nov 2022

bortolotti80 Ora devo pensare se c'è modo di prendere il dkim e metterlo anche nel mio dns?

Il problema IMHO è che se nell'header della mail Aruba ci mette tipo DKIM-Signature: v=1; a=rsa-sha256; d=aruba.it; la validazione di DKIM verrà fatta interrogando il DNS per il dominio aruba.it, non il tuo, a causa del tag d=. Poi fallisce perché il domino della policy è diverso da quello di DKIM, vedi:

https://serverfault.com/questions/793119/interpreting-a-dmarc-report-that-seems-to-have-conflicting-data

Per avere un DMARC che funzioni con DKIM di terze parti temo che chi fornisce il servizio di posta non possa usare una impostazione unica per tutti i domini serviti. Dovrebbe avere chiavi separate, e inserire il dominio corretto nell'header a seconda di chi invia.

bortolotti80 · 24 nov 2022

[cancellato] Il problema IMHO è che se nell'header della mail Aruba ci mette tipo DKIM-Signature: v=1; a=rsa-sha256; d=aruba.it; la validazione di DKIM verrà fatta interrogando il DNS per il dominio aruba.it, non il tuo, a causa del tag d=. Poi fallisce perché il domino della policy

Il primo pezzo è corretto mette come dominio aruba, ma di per sè non fallisce DKIM, anche perchè il messaggio non va in quarantena e controllando tramite gmail, da pass sia SPF che DKIM, non capisco perchè nel riepilogo / report, ci sia il controllo dkim al mta di aruba

Boh arriveranno altri report DMARC e vedremo

Io ora ho messo DKIM uguale ad aruba nel mio DNS, ma come hai sottolineato tu non verrà mai contattato, perchè nel header come dominio c'è aruba.it
Nonostante ciò non ha problemi google, nel header vedo tutto pass

L'unico errore l'ho nel Message-ID, SMTPIN_ADDED_MISSING, perchè aruba non mette nel header un ID per il messaggio inviato

Aruba mette:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=aruba.it;
con però anche parametro signature che reinvia al DKIM policy nel record DNS di aruba.it per il mio dominio

[cancellato] e inserire il dominio corretto nell'header a seconda di chi invia.
Se facesse DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=example.com; e nel DNS di example.com mettessi la chiave pubblica di DKIM che utilizzano per firmare gli header, probabilmente si risolverebbe anche quel disallineamento con il rua

[cancellato] Poi fallisce perché il domino della policy è diverso da quello di DKIM

Si il fulcro è questo, fallisce l'allineamento, che però non porta ad applicare la policy (quarantine), forse perchè SPF conferma che il server SMTP è autorizzato?

Stesso problema: https://www.reddit.com/r/Office365/comments/v2r8en/dkim_policy_evaluated_fails_dkim_passes/

Soluzione come la tua proposta: https://learn.microsoft.com/en-us/microsoft-365/security/office-365-security/use-dkim-to-validate-outbound-email?view=o365-worldwide

Microsoft 365 automatically sets up DKIM for its initial 'onmicrosoft.com' domains
come aruba

scorpion Rispondo domani, sono stanco, grazie

Quel servizio consigliato in reddit è fantastico

For DMARC to pass, DKIM and/or SPF checks need to pass and the domains must be in alignment.

https://www.dmarctester.com/

Scoperto l'arcano:

SPF auth result is pass and SPF domain is in alignment. DMARC SPF result is pass.
DKIM auth result is pass, but the DKIM domain is not in alignment. DMARC DKIM result is fail.

Because the SPF test passed and the domains are in alignment, the DMARC result is pass.

Chiunque abbia fatto quel sito è un santo ---> creatori https://www.uriports.com/tools

bortolotti80 · 25 nov 2022

scorpion Se non sbaglio su proprio dominio non è strettamente necessario che il servizio e-mail utilizzato "supporti" MTA-STS per utilizzarlo.

Mi è arrivato anche quel report:

"policies": [{
            "policy": {
                "policy-type": "sts",
                "policy-string": ["version: STSv1", "mode: testing", "mx: mx.example.com", "max_age: 604800"],
                "policy-domain": "example.com",
                "mx-host": ["mx.example.com"]
            },
            "summary": {
                "total-successful-session-count": 0,
                "total-failure-session-count": 1
            },
            "failure-details": [{
                    "result-type": "certificate-host-mismatch",
                    "sending-mta-ip": "209.85.XXX.XXX",
                    "receiving-ip": "62.149.XXX.XXX",
                    "receiving-mx-hostname": "mx.example.com",
                    "failed-session-count": 1
                }
            ]
        }, {
            "policy": {
                "policy-type": "no-policy-found",
                "policy-domain": "example.com"
            },
            "summary": {
                "total-successful-session-count": 1,
                "total-failure-session-count": 0
            }
        }
    ]

"result-type": "certificate-host-mismatch"

MX record mx.example.com supports STARTTLS but the hostname does not match the certificate's CN or SANs

In pratica il servizio mail hosting dovrebbe supportare il certificato con dominio example.com, perchè se lo firmano con il loro dominio, MTA-STS non funziona

Perciò SPF+DKIM+DMARC, riesco ad averli, nonostante fallisca l'allineamento DKIM, mentre per MTA-STS non ho soluzioni se non cambiare mail hosting

Ho cercato e aruba dovrebbe offrire tutto ciò alle grandi aziende e PA, ma è tutto coperto da NDA

Aggiungo che anche con DANE protocollo simile a MTA-STS, comunque si dovrebbe avere il certificato TLSA nel dominio del mail server, perciò è tutto nelle mani di aruba nel mio caso

So, third party SMTP providers that implement TLSA will place and manage the TLSA record under their own domain. The customer (which is you) should not have to perform any changes to their infrastructure.
Fonte

[cancellato] · 25 nov 2022

bortolotti80

Se nel record MX del tuo dominio ci metti direttamente l'host di Aruba?

bortolotti80 · 25 nov 2022

[cancellato]

Non sarebbe lo stesso?
Perchè il mio file di policy lo hosto io ed è firmato come *.example.com
Mentre aruba firmerà sempre il suo come *.aruba.it
Forse l'unica soluzione sarebbe che aruba hosti l'MTA-STS (però non puoi hostarne più di uno, infatti, ad ora aruba non l'ha nemmeno per sè, boh non mi vengono in mente soluzioni)

Io credo sia un limite del protocollo, forse G Suite lo supporta per 6€ al mese, ma ho paura che come microsoft il supporto per questi protocolli sia riservato solo ad aziende di grosse dimensioni, microsoft ad esempio ha guide per server exchange

Più che un "difetto" di aruba, io lo vedo come una miopia di chi ha pensato il protocollo, che ad ora va senza problemi se hai budget astronomici e puoi permetterti soluzioni in mail hosting, oppure, se ti gestisci webserver+dns+mailserver in autonomia, in pratica invogli le piccole-medie imprese a farsi un'email con gmail e utilizzarla per lavoro

Grazie per l'enorme contributo nel thread, che è molto informativo, avrebbe bisogno di più titoli, ma tanto google search fa il suo lavoro ahahah

[cancellato] · 25 nov 2022

bortolotti80 Non sarebbe lo stesso?

Boh - non so cosa succede se dichiari che il tuo MX è gestito da un altro dominio. Sinceramente non mi è mai capitato di farlo, le poche volte che l'ho fatto (il mio lavoro non è quello, sono setup miei o di laboratorio) l'ho sempre fatto con lo stack completo in-house (a parte il DNS) e quindi non te lo so dire con sicurezza.

Sscorpion · 25 nov 2022

[cancellato] bortolotti80

Si anche secondo me dovresti inserire l'host di Aruba (*.aruba.it) nella policy MTA-STS, in modo che il certificato dei loro server di posta corrisponda a quello specificato nella policy.

Se fai un reverse lookup sugli ip dei server di posta specificati da Aruba vedi che sono tutti sotto il dominio *.aruba.it (es. mxd5.aruba.it) e usano un certificato wildcard.

Il certificato che utilizzi per fornire il file di policy tramite TLS deve corrispondere a mta-sts.[dominio].[estensione] (perché il file viene fornito da quel dominio), ma IMHO non dovrebbe avere nulla a che fare con il certificato usato dal server di posta.

Poi concretamente con Aruba non l'ho mai usato (so solo che i loro server mail supportano STARTTLS) ma se non hanno implementazioni strane fuori standard dovrebbe funzionare.

bortolotti80 · 25 nov 2022

[cancellato] se dichiari che il tuo MX è gestito da un altro dominio

Nella guida aruba, consiglia di mettere mx.tuodominio.com, non fornisce un mx.aruba.it e non saprei dove trovarlo

Mentre google fornisce un ASPMX.L.GOOGLE.COM. per chi ha google workspace, quel MX è personalizzato per ogni cliente, supportano le email con tuo dominio, SPF, DKIM, DMARC supportano anche MTA-STS e S/MIME (enterprise)
In pratica configuri tutto in google workspace, imposti i DNS con quello che ti da workspace e hai tutto in hosting
Ho letto qualcosa e sembra permettano di firmare o caricare i propri certificati, quindi se un servizio non permette questo, DKIM non andrà mai in allineamento e MTA-STS è impossibile da implementare, perchè serve nel mail server il certificato firmato per *.tuodominio.com, ho controllato e infatti in transito le email verso me non vengono mai crittografate

Minimo 6€/utente al mese

https://support.google.com/a/answer/140034

Va beh che controllando molte aziende hanno spf che fallisce (softfail), dkim di aruba e dmarc che fallisce però con policy none

bortolotti80 · 25 nov 2022

scorpion Si anche secondo me dovresti inserire l'host di Aruba (*.aruba.it) nella policy MTA-STS, in modo che il certificato dei loro server di posta corrisponda a quello specificato nella policy.

Se fai un reverse lookup sugli ip dei server di posta specificati da Aruba vedi che sono tutti sotto il dominio *.aruba.it (es. mxd5.aruba.it) e usano un certificato wildcard.

Si questo è vero, potrei provare a modificare il mio file di policy mettendo *.aruba.it come MX

Ho provato un reverse e si è mxdn.aruba.it con n numero intero

Aggiunta 25-11-22 17:33

Devo mettere come valore MX però un host aruba giusto? come consigliava @[cancellato] un mxd5.aruba.it

Ed ora i test

Mi sembra vada tutto, ma ho provato ad inviare un'email da gmail a me e non vedo negli header TLS, magari devo aspettare aggiornino le policy?

Verso Gmail:
by mx.google.com with ESMTPS
(version=TLS1_2 cipher=ECDHE-ECDSA-AES128-GCM-SHA256 bits=128/128);

Verso example.com:
by mail-ed1-f52.google.com with SMTP

bortolotti80 · 26 nov 2022

@[cancellato] @scorpion

Ho i report TLS di ieri:

result-type "validation-failure"

quando ho messo MX aruba e policy con aruba

Però nella policy string google mi mostra una policy, quella vecchia, non vorrei che avesse mantenuto la policy per tutto il giorno, nonostante abbia cambiato l'id nel DNS

Perciò apetterò ancora 1-2 giorni con le attuali policy

[cancellato] · 26 nov 2022

bortolotti80

Quando fai test, abbassa max_age nella policy a 86400 (un giorno), così da assicurarti che non rimanga in cache (remota) per troppo tempo, poi entra in gioco anche il TTL del record TXT del DNS nelle varie cache. Quando è tutto a posto puoi anche riportarlo a 604800 che è una settimana.

bortolotti80 · 26 nov 2022

[cancellato]

Ho provato a mettere più record MX verso aruba, mi consigli di metterne uno solo a priorità 0 e gli altri a priorità maggiore?

O posso lasciarli tutti a priorità 0 ?

[cancellato] · 26 nov 2022

bortolotti80

Se è lo stesso server non serve a nulla. Quel meccanismo serve per avere dei mail server di fallback se quelli a priorità maggiore (numero più basso) non rispondono. Se hanno la stessa priorità, il server che invia ne sceglie uno a suo piacere.
In genere si dà una priorità perché i server di backup potrebbero non essere così efficienti come quello principale, o su altri network, e quindi da usare solo quando necessario.

bortolotti80 · 27 nov 2022

@[cancellato] @scorpion

Vi ringrazio per il prezioso aiuto, ora farò ancora qualche test e vedrò di provare enforced

Buona domenica

bortolotti80 · 7 giu 2023

@[cancellato]

Piccolo aggiornamento, la sto utilizzando come mail secondaria e non ho problemi, mentre il sito è abbastanza carino anche se non ha nessuna utilità, ora è puro esercizio

Ho provato a chiedere al servizio di Aruba se fosse possibile fare qualcosa per il DKIM, perchè firmando tutte le email con dominio=aruba.it e selector=a1, fanno fallire tutti i controlli sull'allineamento di DKIM, però non sembra interessagli, non vogliono parlarne , per ora comunque non ho problemi, tutti i server accettano le email, come ci si aspetta dalla teoria con DMARC, MTA-STS funziona e mi mostra i report, quindi probabilmente tra un pò, creerò una casella personale, dato che il costo è esiguo per dominio+mail

In modo da non essere legato a Gmail

Ti ringrazio ancora per il grande aiuto, dato ho imparato molto, se avrò qualche pazza idea scriverò ancora qui proseguendo, ma per ora non ho idee

bortolotti80 · 24 giu 2023

@[cancellato]

Scusa il disturbo ma non riesco a capire una cosa

In due report tra molti di questo mese, vedo che l'email ha come campo MailFrom il server di aruba e ciò porta a far fallire SPF e mandare l'email in quarantena, mentre il campo From ha il mio dominio correttamente

 The emails were send using envelope address <sender>@<> and <sender>@smtpcmd14162.aruba.it
 This is the RFC5321.MailFrom address, also known as the 'envelope' or 'bounce' address.
 The recipient cannot see this address in his/her email program, it is only used by the SMTP service.

Questo è per confronto il MailFrom quando va tutto bene

 The emails were send using envelope address <sender>@miodominio.it
 This is the RFC5321.MailFrom address, also known as the 'envelope' or 'bounce' address.
 The recipient cannot see this address in his/her email program, it is only used by the SMTP service.

Il servizio di report mi dice che potrebbe essere il forwarding (inoltro) delle email, ho provato a riprodurre vari forward verso la mia gmail ma gmail nel riepilogo mi da DMARC passato e i campi sono corretti, non ne ho di attivi automatici almeno non fatti da me

Secondo la tua esperienza cosa potrebbe essere?
Mi è capitato un report dove un server MailRu ha tentato di inviare con il mio dominio e DMARC ha fatto il proprio dovere, però mi sembra strano questo caso

Buon weekend, saluti

[cancellato] · 24 giu 2023

bortolotti80

Bella domanda, bisognerebbe chiedere ad Aruba. Se è nell'header dell'email bisognerebbe vedere chi ce lo mette e quando - confrontando i messaggi. Magari se Aruba ha più server ce n'è uno che fa casini.

bortolotti80 Il servizio di report mi dice che potrebbe essere il forwarding (inoltro) delle email,

Bisogna vedere a che forwarding si riferiscono, potrebbe essere quello tra server SMTP, non quello che fai da client. Quando un account SMTP è impostato per fare il forwarding verso altro account.

Ddamir13 · 24 giu 2023

bortolotti80 dovresti scoprire (dagli header) se le email con il from sbagliato arrivano tutte dallo stesso server. a leggere la tua descrizione del problema sembra che non abbiano attivato il masquerade correttamente su uno dei server.

bortolotti80 · 26 giu 2023

[cancellato] Magari se Aruba ha più server ce n'è uno che fa casini.

damir13 se le email con il from sbagliato arrivano tutte dallo stesso server

Grazie a entrambi, ho provato a guardare e i server che hanno inviato le due email incriminate sono differenti, oltretutto lo stesso server Aruba lo stesso giorno ha inviato un'altra email sempre verso outlook e non ha dato problemi

[cancellato] potrebbe essere quello tra server SMTP, non quello che fai da client. Quando un account SMTP è impostato per fare il forwarding verso altro account.

Pensavo lo stesso, il forwarding non manuale ma automatico, che da aruba ho impostato per un indirizzo, però inoltro tutto verso gmail e non ho problemi o segnalazioni a riguardo

Cercherò di stare più attento grazie per ipreziosi consigli

Credete possa essere un problema di client email? Perchè faccio i test sempre da PC con outlook o webmail, ma su smartphone utilizzo altri client

[cancellato] · 26 giu 2023

bortolotti80

Se i client email sono impostati per usare lo stesso server no, ma bisogna vedere come Aruba poi smista il delivery internamente. In sistemi complessi ci possono essere catene con percorsi diversi, in HA, load balancing, ecc.

bortolotti80 · 27 giu 2023

[cancellato]
Si ho ricontrollato li ho impostati correttamente, vedrò di controllare su di un periodo più lungo, perchè ora sto inviando poche email, grazie ancora

Capisco se cosi fosse per me sarebbe ancora più difficile accorgermene ora, con poche email

-Aggiunta:
Aruba non invia i rapporti DMARC, giusto?
Vedo che praticamente li invia solo Microsoft - Google e Yahoo

[cancellato] · 27 giu 2023

bortolotti80 Aruba non invia i rapporti DMARC, giusto?

I report li invia il server di destinazione dopo aver processato le informazioni. Sono pochi al momento ad inviarli, comunque richiede risorse per processarli ed inviarli. Non ho mai visto arrivare report da Aruba.

bortolotti80 · 2023-08-29T08:40:10+00:00

Da indagini sembrerebbe il problema verificarsi solo quando rispondo ad email con campi CC e/o CCN, sto provando a effettuare dei test, perchè non capita con tutte le mail con le stesse caratteristiche

CCal · 2023-08-29T09:25:55+00:00

bortolotti80 In due report tra molti di questo mese, vedo che l'email ha come campo MailFrom il server di aruba e ciò porta a far fallire SPF e mandare l'email in quarantena, mentre il campo From ha il mio dominio correttamente

Devi (o deve Aruba) configurare questo: https://en.wikipedia.org/wiki/Sender_Rewriting_Scheme

Anche se probabilmente mancano gli ip giusti nel record SPF.

E non dovresti usarlo così, ma se dmarc è configurato spesso riesce a fare override sensati di spf.

bortolotti80 · 2023-08-29T09:33:39+00:00

Cal
Farebbe fallire interamente DMARC per come funziona DKIM con aruba

Please note: Using SRS protocol fails the SPF Alignment check for your DMARC record, and it's by design. Your DMARC record can still pass with a DKIM check.

CCal · 2023-08-29T09:41:39+00:00

bortolotti80

SRS serve per inoltrare la posta che riceve il server. Quando reinvia non manda secco, ma riscrive envelope-from in modo da passare spf (usa il suo nome, non quello del mittente) e firma tutto il blocco con la sua chiave dkim (senza modificare il testo e la firma del server mittente.)