Настройка DKIM на Domino и Backscatter на Proxmox Mail Gate

NetWood · 25.02.2023

Заметочка по настройке.
Если у вас Domino на правоверном Linux то для настройки DKIM в почте делаем так:
openssl genrsa -out private.pem 1024 //генерируем секретный ключ длинной 1024
openssl rsa -pubout -in private.pem -out public.pem //получаем публичный ключ из секретного
Идем в /root public.pem
Копируем оттуда ключик и вставляем в
mail._domainkey.your.tld TXT "v=DKIM1; k=rsa; t=s; p=<публичный ключ>"

aameno2 · 26.02.2023

простите, а каким боком домино?

savl · 27.02.2023

aameno2 сказал(а):
простите, а каким боком домино?

в 1202 сделали поддержку DKIM.

Ссылка скрыта от гостей

aameno2 · 27.02.2023

Ну так выше просто про днс и все.
То, что впилили поддержку это конечно хорошо. Но по моему опыту, еще 8ка была, домино лег на 3к писем в минуту)

lmike · 04.03.2023

всегда есть вопрос - обновление ключей
в домине это слишком плохо управляется - тыцать кучу формочек и производить манипуляции в БД - ну совсем не вариант
фронт для почты с возможностью CLI - это более реально

lmike · 04.03.2023

aameno2 сказал(а):
Ну так выше просто про днс и все.
То, что впилили поддержку это конечно хорошо. Но по моему опыту, еще 8ка была, домино лег на 3к писем в минуту)

домино по тырнет портам, кмк, только через прокси, напрямую - не жилец

aameno2 · 04.03.2023

lmike сказал(а):
только через прокси

монашка, свечка)
имхо все связанное с внешним миром выносится на всякие постфиксы

NetWood · 06.03.2023

А на самом деле на Proxmox Mail Gate (PMG) не взлетело просто сделать паб ключ из приватного и записать селектор в DKIM - Гугл не признавал и говорил 'FAIL'.
Вот так не взлетело

Код:

lxc exec debian11 /bin/bash
cd /etc/pmg/dkim
openssl rsa -pubout -in selector.private -out selector.public

Путем изысканий с @lmike заработало так

Ссылка скрыта от гостей

Делаем на эмуляторе

Ссылка скрыта от гостей

приватный ключ и заменяем им ключ селектора файла PMG (selector.private), а публичный с DKIM пишем на DNS.
Получаем заветный 'PASS'.

aameno2 сказал(а):
простите, а каким боком домино?

ну мыж ея любим.

lmike · 07.03.2023

NetWood сказал(а):
Путем изысканий с @lmike заработало так dkim proxmox mail gateway version 7
Делаем на эмуляторе https://2ip.ru/dkim/ приватный ключ и заменяем им ключ селектора файла PMG (selector.private), а публичный с DKIM пишем на DNS.
Получаем заветный 'PASS'.

да можноб было и руками сделать пральную TXT, но как упоминал (и по ссылке это указано) -

Ссылка скрыта от гостей

(дб), а угадывать (подгонять) тупо нет смысла (раз тулза есть

)

aameno2 · 07.03.2023

NetWood сказал(а):
ну мыж ея любим

поэтому наружу не пускаем)
ограничение длинны txt в днс 256 символов в роде, разбить строку и все

lmike · 07.03.2023

aameno2 сказал(а):
поэтому наружу не пускаем)
ограничение длинны txt в днс 256 символов в роде, разбить строку и все

угу, только это уже делает сайт

NetWood · 16.03.2023

Все же внутри Proxmox Mail Gate (PMG) есть тупо ошибка. Если шлется почта на несуществующего юзера в Domino, то обратный майл от postmaster@домен.com PMG DKIM подписывает ДОМЕНОМ ВОПРОШАЮЩЕГО!: яндексом, гуглом или другим кто отправил и письмо
Subject: DELIVERY FAILURE: User ppp (ppp@домен.com) not listed in Domino Directory
однозначно сносится в спам.

Выглядит это в потрохах письма, например, на гугле

DKIM:	'FAIL', домен gmail.com

Видимо надо уходить на OpenDKIM...

lmike · 16.03.2023

NetWood сказал(а):
Все же внутри Proxmox Mail Gate (PMG) есть тупо ошибка. Если шлется почта на несуществующего юзера в Domino, то обратный майл от postmaster@домен.com PMG DKIM подписывает ДОМЕНОМ ВОПРОШАЮЩЕГО!: яндексом, гуглом или другим кто отправил и письмо
Subject: DELIVERY FAILURE: User ppp (ppp@домен.com) not listed in Domino Directory
однозначно сносится в спам.

Выглядит это в потрохах письма, например, на гугле

DKIM: 'FAIL', домен gmail.com

Видимо надо уходить на OpenDKIM...

подписать ПМЖ не может (другим доменом) сами и они и подписывают

Мыш · 16.03.2023

NetWood сказал(а):
Все же внутри Proxmox Mail Gate (PMG) есть тупо ошибка. Если шлется почта на несуществующего юзера в Domino, то обратный майл от postmaster@домен.com PMG DKIM подписывает ДОМЕНОМ ВОПРОШАЮЩЕГО!: яндексом, гуглом или другим кто отправил и письмо
Subject: DELIVERY FAILURE: User ppp (ppp@домен.com) not listed in Domino Directory
однозначно сносится в спам.

Выглядит это в потрохах письма, например, на гугле

DKIM: 'FAIL', домен gmail.com

Видимо надо уходить на OpenDKIM...

Проверяйте наличие пользователя сразу на гейте - и при его отсутствии обрубайте SMTP-сессию с 500-й ошибкой. Backscatter - зло.

NetWood · 17.03.2023

Воистину "Не бывает плохого ПО. Бывают пользователи, использующие его не по назначению, либо не использующие его по назначению."
Не надо мучить SMTP и роутер. Для этого есть LDAP и, действительно, проверка юзера прямо на гейте PMG.

Вот тут Борьба со SPAM -ом вынужден поправить @lmike.
Просто LDAP и Verify Resivers не работают.

Для PMG нашелся замечательный толмач

Ссылка скрыта от гостей

по проверке через LDAP.

На выходе получаем вместо стандартного
DELIVERY FAILURE: User (ppp@домен.com) not listed in Domino Directory
Собственную настройку.

Или можно не указывать в правиле акшон LDAP [DELIVERY FAILURE] Unknown Recipient и будет просто блок без backscatter.
---------------

[DELIVERY FAILURE] to: ppp@домен.com Subject: no verify

We sorry to have to inform you that your message could not be delivered,
because: <ppp@домен.com> didn't listed in our email servers.

So, please check whether the email address you typed is correct.
----------------

NetWood · 23.03.2023

Еще одна тонкость. Назначенный для юзера алиас email в поле shortname через LDAP PMG не видит. Надо делать отдельное правило выше режекта на эти майлы. Может в LDAP надо что-то поднастроить?

Мыш · 23.03.2023

NetWood сказал(а):
Еще одна тонкость. Назначенный для юзера алиас email в поле shortname через LDAP PMG не видит. Надо делать отдельное правило выше режекта на эти майлы. Может в LDAP надо что-то поднастроить?

А нет возможности задать в PMG что-то типа LDAP query filter?

Ссылка скрыта от гостей

NetWood · 23.03.2023

Мыш сказал(а):
А нет возможности задать в PMG что-то типа LDAP query filter?
Ссылка скрыта от гостей

О! Японцы тоже на эту тему заморочились отдельным правилом

Ссылка скрыта от гостей

Нашел. Чтобы не делать отдельное правило для алиаcов майлов, в настройку LDAP PMG надо добавить атрибут uid кроме mail и тогда им не будет режекта.

Настройки атрибутов сервера LDAP в DOMINO

Настройки менеджера LDAP в PMG для алиасов майлов DOMINO

lmike · 23.03.2023

NetWood сказал(а):
О! Японцы тоже на эту тему заморочились отдельным правилом
Ссылка скрыта от гостей

Нашел. Чтобы не делать отдельное правило для алиаcов майлов, в настройку LDAP PMG надо добавить атрибут uid кроме mail и тогда им не будет режекта.

Настройки атрибутов сервера LDAP в DOMINO

Посмотреть вложение 67765

Настройки менеджера LDAP в PMG для алиасов майлов DOMINO

Посмотреть вложение 67769

Посмотреть вложение 67770

ну да, так и описывал (про фильтр тупо не помню)https://codeby.net/attachments/1516899540995-png.15216/

st060557 · 18.04.2023

Кому-нибудь удалось группы синхронизировать?

Все сервисы Codeby

Поиск

Поиск

Настройка DKIM на Domino и Backscatter на Proxmox Mail Gate

NetWood

aameno2

savl

aameno2

lmike

нет, пердело совершенство

lmike

нет, пердело совершенство

aameno2

NetWood

lmike

нет, пердело совершенство

aameno2

lmike

нет, пердело совершенство

NetWood

lmike

нет, пердело совершенство

Мыш

NetWood

[DELIVERY FAILURE] to: ppp@домен.com Subject: no verify

NetWood

Мыш

NetWood

lmike

нет, пердело совершенство

st060557

Настройка DKIM на Domino и Backscatter на Proxmox Mail Gate

нет, пердело совершенство

нет, пердело совершенство

нет, пердело совершенство

нет, пердело совершенство

нет, пердело совершенство

[DELIVERY FAILURE] to: ppp@домен.com Subject: no verify​

нет, пердело совершенство

[DELIVERY FAILURE] to: ppp@домен.com Subject: no verify