Názor k článku MTA-STS: bezpečné doručování pošty s platnými TLS certifikáty od H0ax - Na poslání mailu dneska potřebuju spf, dkim, dmarc,...

Na poslání mailu dneska potřebuju spf, dkim, dmarc, ptr, nebýt na spamlistu, nebýt na nějakým rating serveru typu return-path blbě hodnocenej, používat šifrování, aby gmail neukazoval červenej zámeček a teďka ještě webserver a další bordel do dns. Přitom ani tohle všechno mi nezaručí, že mail doručím.

Příklad z poslední doby:
vlastním celý IP prefix /22 nově přidělený od RIPE. Chci poslat mail na domény hostující u MS z některé z IPček. Mail není doručen, 550 IP banned. Celý rozsah se nenachází nikde na žádném blacklistu. Mail odpovídá požadavkům na spf, dkim. Řeším s indickou podporou 14 dní problém, kdy mi 2x oznámí, že už to jde a přesto to nejde. Nakonec včera již oznámili, že to půjde, opravdu to jde, ale maily končí v Junkfolderu. Po shlédnutí hlaviček a odfiltrování 90% sraček, který tam přidává MS exchange zjišťuju, že DKIM FAIL. Opakuji test a posílám tu samou zprávu na MS i gmail. U MS opět fail, u gmailu hlási DKIM PASS. Dočítám se, že MS často rozjebe mail tak, že dkim jde do prčic. Poslal jsem to opět do indie, ať si mají s čím hrát.
Nakonec jsem jen tak na test poslal mail z mojí soukromé domény a úplně jiné IP patřící mému housingu. IP mám od nich několit let, spam neposílám, maily většinou přijímám a odesílám jen málo. Přesto po odeslání mailu na MS končím také v Junku.

Jinak samozřejmě ani jedno z těchto opatření mě neochrání před spamem. Ten dostávám celkem pravidelně, projde to mailscannerem i rspamd. Samozřejmě spamy mají v pořádku spf i dkim.

Řešit maily je boj s větrnými mlýny, nedivím se, že lidi prostě hostujou u MS nebo G, kdo by se s tím chtěl crcat. Na druhou stranu, asi těch mailů moc nedostanou.