Отправка почты по SMTP

Когда клиент шлёт почту, ему надо подтвердить что он есть отправитель. Когда сервера обмениваются почтой, отправитель соответствует тому что заявлено в письме, сервер-получатель проверяет соответствие домена сервера-отправителя.

Но это так, на пальцах. На самом деле всё сложнее.

А я могу как-то сымитировать сервер через openssl?

Я вот просто сейчас попробовал со своего сервера подключится к gmail, так он с ходу спросил аутентификацию. Я кроме EHLO myserver.com ничего вписать не успел.

А я могу как-то сымитировать сервер через openssl?

Можешь, если IP-адрес клиента, откуда ты будешь стучаться через openssl, и само письмо пройдут проверки SPF, DKIM и DMARC

он с ходу спросил аутентификацию

ты точно не путаешь capabilities, отдаваемые сервером, с требованием обязательной аутентификации?

Я вот просто сейчас попробовал со своего сервера подключится к gmail, так он с ходу спросил аутентификацию. Я кроме EHLO myserver.com ничего вписать не успел.

Ты ему представился, он проверил аусвайс SPF/DKIM/DMARC (последний, кстати, не обязателен, но крайне желателен), его что-то не устроило, он послал тебя нахер. Ну или по таймауту могло выкинуть, но не факт.

Ну SFP вроде должна автоматом добавляться, а вот DKIM и DMARC, хз как прописать в консоли.

Ну я со своего сервера пишу:
openssl s_client -connect smtp.gmail.com:25 -starttls smtp -crlf -ign_eof

Далее представляюсь своим сервером в соответствии с PTR записью:
EHLO mx.myserver.com

Далее пишу:
MAIL FROM:<admin@myserver.com>

А в ответ получаю:

530-5.7.0 Authentication Required. Learn more at 
530 5.7.0  https://support.google.com/mail/?p=WantAuthError g17sm271268lfv.34 - gsmtp

На каком этапе нужно писать DKIM?

Ты стучишься на smtp.gmail.com, а почтовики будут стучаться на адрес, указанный в MX записи gmail.com.

А они, ВНЕЗАПНО, разные!

pinkbyte@oas1 ~ $ dig MX gmail.com

; <<>> DiG 9.16.15 <<>> MX gmail.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57719
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;gmail.com.                     IN      MX

;; ANSWER SECTION:
gmail.com.              3599    IN      MX      5 gmail-smtp-in.l.google.com.
gmail.com.              3599    IN      MX      40 alt4.gmail-smtp-in.l.google.com.
gmail.com.              3599    IN      MX      30 alt3.gmail-smtp-in.l.google.com.
gmail.com.              3599    IN      MX      20 alt2.gmail-smtp-in.l.google.com.
gmail.com.              3599    IN      MX      10 alt1.gmail-smtp-in.l.google.com.

;; Query time: 42 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Чт авг 19 14:44:13 MSK 2021
;; MSG SIZE  rcvd: 161

pinkbyte@oas1 ~ $ openssl s_client -host gmail-smtp-in.l.google.com. -port 25 -starttls smtp
CONNECTED(00000003)
<skipped cert data>
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: ECDSA
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 5177 bytes and written 406 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 256 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
250 SMTPUTF8
EHLO test.pinkbyte.ru
---
<skipped ticket data>
read R BLOCK
250-mx.google.com at your service, [my_ip]
250-SIZE 157286400
250-8BITMIME
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-CHUNKING
250 SMTPUTF8
MAIL FROM:<test@test.pinkbyte.ru>
250 2.1.0 OK u15si3835122lfs.475 - gsmtp

test.pinkbyte.ru даже в DNS-е нет, так что как видишь - на этом этапе никакие проверки еще не сработали(скорее всего они стреляют после получения DATA)

Тчно! Спасибо! Всё работает. Я просто в серверах запутался. Письмо отправлено и доставлено.

GMail сказал: SPF и DKIM pass.

На каком этапе нужно писать DKIM?

Ни на каком. Это запись у домена, заранее прописанная в DNS. Как и SPF, и DMARC.
А, а та часть, что в письме, это уже заголовок письма, то есть DATA.

Ага, значит он в DATA кидает. Ясно.

Ты ему представился, он проверил аусвайс SPF/DKIM/DMARC (последний, кстати, не обязателен, но крайне желателен)

OFF

недавно менял сервер, (железо+ весь софт) ну и прописал в DNS записи SPF DKIM и DMARC с политикой none (ничего не делать) ну и понаблюдал за отчетами dmarc с гугла и mail.ru

Я правильно понимаю, что если я ужесточу политику в DMARC на reject то все кто прикидываются моим доменом (есть такие) пойдут лесом, если почтовики проверяют это, но на мою правильную почту это никак не повлияет

Во-первых SPF/DKIM/DMARC=off и их отсутствие — это не совсем одно и то же. Во-вторых off — это то же самое что их отсутствие. (%

Мысль глубокая, но я ничего не понял. :) OFF я написал что офтопик уточняю не по теме и в чужой теме. сорри у TC

у меня пока политика DMARC none (ничего не делать) понаблюдал за отчетами dmarc с гугла и mail.ru

Я правильно понимаю, что если я ужесточу политику в DMARC на reject то все кто прикидываются моим доменом (есть такие) пойдут лесом, если почтовики конечно проверяют это, но на мою правильную почту это никак не повлияет.

OFF я написал что офтопик

Я про none писал, но был поздний вечер (я не виноват что у всех остальных было раннее утро!), я протупил и написал off. (%

Мысль глубокая, но я ничего не понял. :)

Более развёрнуто: Если настроены SPF/DKIM/DMARC но в DNS прописано none — это одно, а если ничего нет, то это уже другое, к домену меньше доверия (хотя сейчас спамеры и до SPF/DKIM добрались, наличие и валидность буста не даёт). Но проверяющая сторона, увидев none, поступит так же, как если бы у тебя ничего не настроено.

Я про none писал, но был поздний вечер (я не виноват что у всех остальных было раннее утро!), я протупил

Ничего страшного, что то подобное я и подумал. Сам иногда так не по детски тупану… списываю на старость не радость.

Но проверяющая сторона, увидев none, поступит так же, как если бы у тебя ничего не настроено.

Так вот я чего спрашиваю, что сомневаться начал в этом. Настроил записи, и мне пошли отчеты, что всякие Гондурасы и тп, до 80 раз прикидывались моим доменом, с совершенно левыми ip, непонятно почему мх записи и обратные зоны, не проверяются. Но, через несколько дней содержимое отчетов координально поменялось, сейчас приходят отчеты с одной строкой, мой домен, мой ip, и проверки все pass. Гондурасов нет вообще. Ну и как бы странно, я сообщил всему миру как проверить от меня ли почта, но дал ему указявку чтоб не смотреть на это ни смотря ни на что… none и принимать от спамеров почту?!? Я же сказал ничего не делать none, а гондурасы отвалились. А мой почтовик, с помощью чего проверяет эти записи, или он лишен такой возможности? Я потому и спрашиваю, а на мою почту это никак не отразится, вернее даже не так, мой почтовик не встанет в такую жесткую позицию, записи есть, но они кривые и если я поменяю политику не реджект, то не отфутболит ли он кривые почтовики, мне приходится принимать почту от кривых как турецкая сабля почтовиков, я прикладной админ, меня к чему приложили я должен прилипнуть. Я начинаю думать что политика, что делать она для меня. Для моего почтовика

Если я несу чушь, сорри.Растолкуйте.

Ну и как бы странно, я сообщил всему миру как проверить от меня ли почта, но дал ему указявку чтоб не смотреть на это ни смотря ни на что… none и принимать от спамеров почту?!?

Ничего странного. none объявляет что любой может тобой прикидываться (и твои поддомены и левые IP… ну мало ли, админ — художник, он так видит!). И иногда это очень помогает при миграции на другой IP и/или если у тебя куча релеев.

Я же сказал ничего не делать none, а гондурасы отвалились.

none не значит что не делается никаких проверок. Просто даже если проверку не прошло, почту всё равно примет. Читай выше.

А мой почтовик, с помощью чего проверяет эти записи, или он лишен такой возможности?

OpenDKIM, postfix-policyd-spf-perl, тысячи их!

Я потому и спрашиваю, а на мою почту это никак не отразится, вернее даже не так, мой почтовик не встанет в такую жесткую позицию, записи есть, но они кривые и если я поменяю политику не реджект, то не отфутболит ли он кривые почтовики, мне приходится принимать почту от кривых как турецкая сабля почтовиков, я прикладной админ

Снова читай первый абзац.

Если тебе прям сильно нужно чтобы твоя почта доходила, то DKIM+SPF настраивать обязательно (и DMARC крайне желательно), и пока ты её настраиваешь (я всем сервисам не доверяю, обычно отправляю куда-нибудь на открытый ящик, скачиваю письма и лопачу хедеры глазами, но это я, ты можешь доверить всё сервисам, тысячи их) выставляешь в none чтобы почта доходила, и когда ты уже уверен что всё хорошо — ставишь более строгую (по вкусу или по указу начальства — в зависимости от политики тех, кого одминишь), снова чекаешь, и если всё ок, то мои поздравления. ☺

Если я несу чушь, сорри.

Не стрёмно чего-то не знать, стрёмно не стремиться узнать! ^_~

Не не. Мне тоже интересно.

Я у себя всё на reject настроил. Меня вот ещё вопрос интересует, а можно как-то узнать, рассылает мой сервер спам или нет?

Пока вроде нет, так как настроил недавно, но на будущее хотелось бы это как-то контролировать.

Ничего странного. none объявляет что любой может тобой прикидываться (и твои поддомены и левые IP… ну мало ли, админ — художник, он так видит!). И иногда это очень помогает при миграции на другой IP и/или если у тебя куча релеев

Так извиняйте я спросил у ясеня host -t mt gmail.com ясень мне ответи и дал пяток почтовиков, у них может быть еще куча своих которым релеить можно, но через гугл. Такие у меня тоже есть через vpn и в белую. Админ не художник имхо, он раб на галерах. Ну у меня не такая куча и мигрировал я редко, что то не понимаю.

OpenDKIM, postfix-policyd-spf-perl, тысячи их!

С планшета да в пятницу неудобно, но меня терзают смутные сомнения что опендким как раз и подписывает мою почту, где там настраивается отфутболивать кривые spf dkim я погуглю.

Если тебе прям сильно нужно чтобы твоя почта доходила, то DKIM+SPF настраивать обязательно (и DMARC крайне желательно), и пока ты её настраиваешь (я всем сервисам не доверяю, обычно отправляю куда-нибудь на открытый ящик, скачиваю письма и лопачу хедеры глазами

Не поверишь, я тоже из Фом неверующих, пишу себе письма в один буква получаю и лопачу хедер, но если я тут написал вопрос.. значит не получил ответа

ты уже уверен что всё хорошо — ставишь более строгую (по вкусу или по указу начальства — в зависимости от политики тех, кого одминишь), снова чекаешь, и если всё ок, то мои поздравления. ☺

Проблема в том что нашим Днс рулит контора seo и там пасаны (судя по голосу) … и я не могу, оперативно залезть и что то поменять, эти то записи замудохался обьяснять что там и как, а мне доступ дать не могут у них тариф….один на всех. Поэтому и выясняю, так теоретически на коленке

Не не. Мне тоже интересно. Я у себя всё на reject настроил. Меня вот ещё вопрос интересует, а можно как-то узнать, рассылает мой сервер спам или нет

Куча сервисов которые пробьют твой ip или мя доменное по спам спискам. Я вот старый дурак, одну цифирю в ip не ту забил, а там народу 2 человека и те ковидом хворали (поздно чухнулся) а за неделю…. «прославился» вылезал долго, и до сих пор суки татары kamaz.ru не берут почту моего почтовика а становлюсь националистом… смерть татарам! Письма постмастеру и тп… не предлогать ответа нет. ..

Админ не художник имхо

Это была ирония, близкая к сарказму. ☺

Проблема в том что нашим Днс рулит контора seo и там пасаны (судя по голосу) … и я не могу, оперативно залезть и что то поменять, эти то записи замудохался обьяснять что там и как, а мне доступ дать не могут у них тариф….один на всех. Поэтому и выясняю, так теоретически на коленке

3.14-здец. (%

Тестируем:

https://www.checktls.com

a) Сначала выбираем этот тест

TestFrom:

TLS:Successful
From:info@babai.ru
Via:185.248.101.86
TLSv1_3
SSLCipher:TLS_AES_256_GCM_SHA384
SPF_mfrom.Record:v=spf1 ip4:185.248.101.86 -all
SPF_mfrom:pass: local="babai.ru: 185.248.101.86 is authorized"
SPF_helo.Record:v=spf1 ip4:185.248.101.86 -all
SPF_helo:pass: local="mail.babai.ru: 185.248.101.86 is authorized"
DKIM:pass: signature="@babai.ru" result="pass"
DKIM_policy.sender:"o=-;r=postmater@babai.ru", location="babai.ru", result="accept"
DKIM_policy.author:"o=-;r=postmaster@babai.ru", location="babai.ru",result="accept"
DKIM_policy.ADSP:"dkim=discardable", location="babai.ru", result="accept"
DMARC_result:pass
DMARC_dkim:pass
DMARC_dkim_align:strict
DMARC_spf:pass
DMARC_spf_align:strict
DMARC_published.v:DMARC1
DMARC_published.p:reject
DMARC_published.sp:reject
DMARC_published.adkim:s
DMARC_published.aspf:s
DMARC_published.rua:mailto:info@babai.ru
DMARC_published.ruf:mailto:postmaster@babai.ru

b)

Затем выбираем этот тест

TestTo:

Должны получить итоговую оценку 121(121 max) и «ok» везде включая mta-sts и dane

Проверяем tls на почтовом сервере:

https://www.immuniweb.com/ssl/mail.babai.ru/WxGZsI4I/

Нужна оценка А+ и все четыре зелёных квадратика

Ну и разумеется на https://www.mail-tester.com/ нужно 10/10 оценку иметь.

В итоге проблем с доставляемостью почты не будет :)

Спасибки! Но не понятно с пунктом б). Кажется там должен тоже быть какой-то тест.

По поводу mail-tester, один раз видел 10 из 10, но потом стало с меня вдруг стал спамассассин снимать 1,2 балла, говорит что можно улучшить…. чего там улучшать?!?? Письмо с буквой в теме а в теле здравствуй те и бест регардс? Так шта не панацея

Это была ирония, близкая к сарказму. ☺

😊 я понял.

#всянашажизнь==3.14-здец. (%

😂

Но не понятно с пунктом б). Кажется там должен тоже быть какой-то тест.

Там результаты теста картинкой идут - сходите и запустите, минутное же дело :)

Нет, все мои умозаключения коту под хвост, получил опять отчет от mail.ru, все так же гондурас ломится, видимо было временное затишье. Надо в реджект переводить

Это получается, что для полного порядка надо отдельные сертификаты для каждого домена и, как следствие, отдельные айпи на каждый мх?
Или туплю?

Насколько я понимаю, сертификаты да, а IP можно и один.

для полного - да :)

Более того ещё и для mta-sts отдельный ip и сертификат желательно !

Вы походу с почтой недавно знакомы? Принять почту и отправить это разные правила. Долго обьяснять.

Допустим есть postfix, один ip, два домена, очень разные, wildcard не получится.
Как мне два сертификата в smtpd_tls_cert_file приделать к одному IP?

suffix

mta-sts отдельный ip и сертификат желательно

Также вопрошаю пояснения, если имеется. Непойму, как реализовать «желательно». Желательно или обязательно?

для gmail-a (после внедрения mta-sts если все остальное нормально, то в спам письма точно не попадают) крайне желательно :)