Существует множество руководств о том, как настроить OpenDMARC на ваш любимый вариант Linux, но все они сосредоточены на конфигурациях с одним сервером. Моя цель состояла в том, чтобы сохранить резервные вторичные серверы MX, но обеспечить RejectFailures true
, чтобы DMARC p = reject
был фактически удовлетворен.
Это привело к проблеме: конфигурация примера имеет TrustedAuthservIDs HOSTNAME
для исходных SPF и DKIM источников. Если бы это использовалось для перечисления вторичных MX-серверов, это позволило бы полностью обойти проверки OpenDMARC на первичном MX с одним поддельным заголовком.
Authentication-Results: <HOSTNAME>;
dkim=pass (1024-bit key; unprotected) header.d=example.com header.i=@example.com;
Как настроить доверие между первичным и вторичным MX без этой ошибки?
Это является переписыванием другого вопроса по Security Stack Exchange для области сбоя сервера.
Вкратце:
Как это настроить?
Вы можете следовать руководству по начальной настройке (SPF,) OpenDKIM и OpenDMARC.
(После этого Postfix настроил OpenDKIM и OpenDMARC в качестве фильтров SMTP.)
Изменения конфигурации OpenDMARC для всех серверов MX /etc/opendmarc.conf
:
Использовать milter OpenDMARC для отказов на этапе подключения (по умолчанию false
):
RejectFailures true
Не доверяйте внешним проверкам SPF от pypolicyd-spf или альтернативы. Выполните собственную проверку:
SPFIgnoreResults true
SPFSelfValidate истина
OpenDKIM должен быть настроен для добавления заголовка, даже если он уже существует. /etc/opendkim.conf
:
AlwaysAddARHeader да
После того, как для каждого MX настроен # 1– # 3, OpenDMARC на основном MX может доверять проверкам, выполненным другими серверами MX; поддельная почта уже должна быть отклонена вторичным MX. Не указывайте их в TrustedAuthservIDs
, потому что они уязвимы для подделки заголовков. Есть еще одна опция opendmarc.conf
, более подходящая для этого:
IgnoreHosts
(строка)Определяет путь к файлу, который содержит список имен хостов, IP адреса и / или выражения CIDR, идентифицирующие хосты, чей SMTP соединения должны игнорироваться фильтром. Если не указано, по умолчанию только
127.0.0.1
.
IgnoreHosts /etc/opendmarc-ignorehosts.conf
... и перечислите IP-адреса вторичных серверов MX в этом новом файле конфигурации.