• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Настройка DKIM на Domino и Backscatter на Proxmox Mail Gate

NetWood

Lotus Team
17.04.2008
545
93
BIT
8
Заметочка по настройке.
Если у вас Domino на правоверном Linux то для настройки DKIM в почте делаем так:
openssl genrsa -out private.pem 1024 //генерируем секретный ключ длинной 1024
openssl rsa -pubout -in private.pem -out public.pem //получаем публичный ключ из секретного
Идем в /root public.pem
Копируем оттуда ключик и вставляем в
mail._domainkey.your.tld TXT "v=DKIM1; k=rsa; t=s; p=<публичный ключ>"
 
Последнее редактирование:

aameno2

Lotus Team
27.01.2009
730
134
BIT
109
Ну так выше просто про днс и все.
То, что впилили поддержку это конечно хорошо. Но по моему опыту, еще 8ка была, домино лег на 3к писем в минуту)
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
всегда есть вопрос - обновление ключей
в домине это слишком плохо управляется - тыцать кучу формочек и производить манипуляции в БД - ну совсем не вариант
фронт для почты с возможностью CLI - это более реально
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
Ну так выше просто про днс и все.
То, что впилили поддержку это конечно хорошо. Но по моему опыту, еще 8ка была, домино лег на 3к писем в минуту)
домино по тырнет портам, кмк, только через прокси, напрямую - не жилец ;)
 
  • Нравится
Реакции: rinsk

NetWood

Lotus Team
17.04.2008
545
93
BIT
8
А на самом деле на Proxmox Mail Gate (PMG) не взлетело просто сделать паб ключ из приватного и записать селектор в DKIM - Гугл не признавал и говорил 'FAIL'.
Вот так не взлетело
Код:
lxc exec debian11 /bin/bash
cd /etc/pmg/dkim
openssl rsa -pubout -in selector.private -out selector.public

Путем изысканий с @lmike заработало так
Делаем на эмуляторе приватный ключ и заменяем им ключ селектора файла PMG (selector.private), а публичный с DKIM пишем на DNS.
Получаем заветный 'PASS'.

простите, а каким боком домино?
ну мыж ея любим.
 
Последнее редактирование:
  • Нравится
Реакции: lmike и rinsk

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
Путем изысканий с @lmike заработало так dkim proxmox mail gateway version 7
Делаем на эмуляторе https://2ip.ru/dkim/ приватный ключ и заменяем им ключ селектора файла PMG (selector.private), а публичный с DKIM пишем на DNS.
Получаем заветный 'PASS'.
да можноб было и руками сделать пральную TXT, но как упоминал (и по ссылке это указано) - (дб), а угадывать (подгонять) тупо нет смысла (раз тулза есть :) )
 

NetWood

Lotus Team
17.04.2008
545
93
BIT
8
Все же внутри Proxmox Mail Gate (PMG) есть тупо ошибка. Если шлется почта на несуществующего юзера в Domino, то обратный майл от postmaster@домен.com PMG DKIM подписывает ДОМЕНОМ ВОПРОШАЮЩЕГО!: яндексом, гуглом или другим кто отправил и письмо
Subject: DELIVERY FAILURE: User ppp (ppp@домен.com) not listed in Domino Directory
однозначно сносится в спам.

Выглядит это в потрохах письма, например, на гугле
DKIM:'FAIL', домен gmail.com
Видимо надо уходить на OpenDKIM...
 
Последнее редактирование:

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
Все же внутри Proxmox Mail Gate (PMG) есть тупо ошибка. Если шлется почта на несуществующего юзера в Domino, то обратный майл от postmaster@домен.com PMG DKIM подписывает ДОМЕНОМ ВОПРОШАЮЩЕГО!: яндексом, гуглом или другим кто отправил и письмо
Subject: DELIVERY FAILURE: User ppp (ppp@домен.com) not listed in Domino Directory
однозначно сносится в спам.

Выглядит это в потрохах письма, например, на гугле
DKIM:'FAIL', домен gmail.com
Видимо надо уходить на OpenDKIM...
подписать ПМЖ не может (другим доменом) сами и они и подписывают
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Все же внутри Proxmox Mail Gate (PMG) есть тупо ошибка. Если шлется почта на несуществующего юзера в Domino, то обратный майл от postmaster@домен.com PMG DKIM подписывает ДОМЕНОМ ВОПРОШАЮЩЕГО!: яндексом, гуглом или другим кто отправил и письмо
Subject: DELIVERY FAILURE: User ppp (ppp@домен.com) not listed in Domino Directory
однозначно сносится в спам.

Выглядит это в потрохах письма, например, на гугле
DKIM:'FAIL', домен gmail.com
Видимо надо уходить на OpenDKIM...
Проверяйте наличие пользователя сразу на гейте - и при его отсутствии обрубайте SMTP-сессию с 500-й ошибкой. Backscatter - зло.
 
  • Нравится
Реакции: NetWood

NetWood

Lotus Team
17.04.2008
545
93
BIT
8
Воистину "Не бывает плохого ПО. Бывают пользователи, использующие его не по назначению, либо не использующие его по назначению."
Не надо мучить SMTP и роутер. Для этого есть LDAP и, действительно, проверка юзера прямо на гейте PMG.

Вот тут Борьба со SPAM -ом вынужден поправить @lmike.
Просто LDAP и Verify Resivers не работают.

Для PMG нашелся замечательный толмач по проверке через LDAP.

На выходе получаем вместо стандартного
DELIVERY FAILURE: User (ppp@домен.com) not listed in Domino Directory
Собственную настройку.

Или можно не указывать в правиле акшон LDAP [DELIVERY FAILURE] Unknown Recipient и будет просто блок без backscatter.
---------------

[DELIVERY FAILURE] to: ppp@домен.com Subject: no verify​

We sorry to have to inform you that your message could not be delivered,
because: <ppp@домен.com> didn't listed in our email servers.

So, please check whether the email address you typed is correct.
----------------
1679126013476.png


1679126171378.png


1679124153069.png


1679123734240.png


1679126856667.png


1679085197831.png


1679085051806.png


1679126241920.png
 
Последнее редактирование:
  • Нравится
Реакции: rinsk, savl и Мыш

NetWood

Lotus Team
17.04.2008
545
93
BIT
8
Еще одна тонкость. Назначенный для юзера алиас email в поле shortname через LDAP PMG не видит. Надо делать отдельное правило выше режекта на эти майлы. Может в LDAP надо что-то поднастроить?
 
Последнее редактирование:

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Еще одна тонкость. Назначенный для юзера алиас email в поле shortname через LDAP PMG не видит. Надо делать отдельное правило выше режекта на эти майлы. Может в LDAP надо что-то поднастроить?
А нет возможности задать в PMG что-то типа LDAP query filter?
 

NetWood

Lotus Team
17.04.2008
545
93
BIT
8
А нет возможности задать в PMG что-то типа LDAP query filter?
О! Японцы тоже на эту тему заморочились отдельным правилом

Нашел. Чтобы не делать отдельное правило для алиаcов майлов, в настройку LDAP PMG надо добавить атрибут uid кроме mail и тогда им не будет режекта.

Настройки атрибутов сервера LDAP в DOMINO

1679596302689.png


Настройки менеджера LDAP в PMG для алиасов майлов DOMINO

1679596938885.png


1679599191666.png
 
Последнее редактирование:
  • Нравится
Реакции: Мыш

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
О! Японцы тоже на эту тему заморочились отдельным правилом

Нашел. Чтобы не делать отдельное правило для алиаcов майлов, в настройку LDAP PMG надо добавить атрибут uid кроме mail и тогда им не будет режекта.

Настройки атрибутов сервера LDAP в DOMINO

Посмотреть вложение 67765

Настройки менеджера LDAP в PMG для алиасов майлов DOMINO

Посмотреть вложение 67769

Посмотреть вложение 67770
ну да, так и описывал (про фильтр тупо не помню)https://codeby.net/attachments/1516899540995-png.15216/
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!