Vlákno názorů k článku MTA-STS: bezpečné doručování pošty s platnými TLS certifikáty od H0ax - Na poslání mailu dneska potřebuju spf, dkim, dmarc,...

Na poslání mailu dneska potřebuju spf, dkim, dmarc, ptr, nebýt na spamlistu, nebýt na nějakým rating serveru typu return-path blbě hodnocenej, používat šifrování, aby gmail neukazoval červenej zámeček a teďka ještě webserver a další bordel do dns. Přitom ani tohle všechno mi nezaručí, že mail doručím.

Příklad z poslední doby:
vlastním celý IP prefix /22 nově přidělený od RIPE. Chci poslat mail na domény hostující u MS z některé z IPček. Mail není doručen, 550 IP banned. Celý rozsah se nenachází nikde na žádném blacklistu. Mail odpovídá požadavkům na spf, dkim. Řeším s indickou podporou 14 dní problém, kdy mi 2x oznámí, že už to jde a přesto to nejde. Nakonec včera již oznámili, že to půjde, opravdu to jde, ale maily končí v Junkfolderu. Po shlédnutí hlaviček a odfiltrování 90% sraček, který tam přidává MS exchange zjišťuju, že DKIM FAIL. Opakuji test a posílám tu samou zprávu na MS i gmail. U MS opět fail, u gmailu hlási DKIM PASS. Dočítám se, že MS často rozjebe mail tak, že dkim jde do prčic. Poslal jsem to opět do indie, ať si mají s čím hrát.
Nakonec jsem jen tak na test poslal mail z mojí soukromé domény a úplně jiné IP patřící mému housingu. IP mám od nich několit let, spam neposílám, maily většinou přijímám a odesílám jen málo. Přesto po odeslání mailu na MS končím také v Junku.

Jinak samozřejmě ani jedno z těchto opatření mě neochrání před spamem. Ten dostávám celkem pravidelně, projde to mailscannerem i rspamd. Samozřejmě spamy mají v pořádku spf i dkim.

Řešit maily je boj s větrnými mlýny, nedivím se, že lidi prostě hostujou u MS nebo G, kdo by se s tím chtěl crcat. Na druhou stranu, asi těch mailů moc nedostanou.

On i gmail má máslo na hlavě. Jejich selectory mají chybnou syntaxi, nicméně z nějakého důvodu to stejně nikomu nevadí a dkim test bude pass.

Příklad:
host -t txt 20161025._doma­inkey.gmail.com

20161025._doma­inkey.gmail.com descriptive text "k=rsa; p=MIIBIjANBgkqhkiG9w0B­AQEFAAOCAQ8AMI­IBCgKCAQEAviP­GBk4ZB64UfSqWy­AicdR7lodhyta­e+EYRQVtKDhM+1mXj­EqRtP/pDT3sBhaz­kmA48n2k5NJUy­MEoO8nc2r6sUA+/Dom5jRBZp­6qDKJOwjJ5R/Op­HamlRG+YRJQqR" "tqEgSiJWG7h7ef­GYWmh4URhFM9k9+rmG/C­wCgwx7Et+c8OM­lngaLl04/bPmfpjd­EyLWyNimk761CX6Kym­zYiRDNz1MOJOJ7Oz­FaS4PFbVLn0m5mf0HVNtBpPw­WuCNvaFVflUYxE­yblbB6h/oWOPGbzoS­gtRA47SHV53SwZjIs­Vpbq4LxUW9IxA­EwYzGcSgZ4n5Q8X8­TndowsDUzoccPFGhdwI­DAQAB"

Popravde, vtipne je, ze ti co hostuji maily u MS nejen ze toho asi moc neprijmou, ale ani toho moc neposlou. Protoze samy ty stroje co odesilaji postu z tech megacloudu jsou na sh*tlistech a maji mnohdy blbe nastavene PTR zaznamy...
Ale necht je jim prano...

GMail dlhodobo zhorsuje moznost forwardovat nan maily.

Po prestudovani https://serverfault.com/a/375465/24187 sa klient rozhodol ze bude hostovat u G.

Ono je za tym skvela (aj ked vydieracska) obchodna politika: pri forwarde mailu na strane google SMTP servera odpovedat RECEIVED a na strane gmailu ten mail pre non-g-suite domenu sprosto zahodit (ani nie do spamu, proste hodit na zem a nedorucit). Tym cloveka v podstate donutia prestat pouzivat cielove gmail konto kam sa tie maily forwarduju a alebo si zaplatit tych 5€/user/mesiac za najmensi g suite.
Vacsina ludi je spokojnych s gmailom takze zaplati.

Je tam este moznost nerobit forward ale POP3 pull, ale gmail stale pritvrdzuje podmienky pre nastavenie POP3 servera s ktorym sa bude bavit takze to vidim len ako odlozenie nutnosti prejst na G suite.

Asi sa to da aj inak, ale s malymi klientami sa s tym nikomu nechce hrat.