🚀 go-pugleaf

On 10.06.2022 02:23, Marcin Debowski wrote:

> MX wskazuje na mail.jakis.adres.pl, a rekord A mail.jakis.adres.pl na
> staryIP. Jak to ogarnąć i czy się w ogóle da? Pewnie zmianą PTR na
> mail.jakis.adres.pl, ale może jest jakieś bardziej eleganckie (w
> praktyce) rozwiązanie?
>

PTR ma wskazywać na adres IP i domenę gdzie znaduje się serwer. PTR
ustawia ten co ci daje adres IP. Ja mam kilka adresów IP i na jednym z
nich jest MX i tam mi ustawili PTR.

Natomiast rekordy MX to tam gdzie domena mailowa oraz klucz DKIM, DMARC
i SPF.

Jeden MX może obsługiwać wiele domen i wiele domen na różnych IP i na
tych samych.

On 2022-06-10, KIKI <yeir@pemfuh.uu> wrote:
> On 10.06.2022 02:23, Marcin Debowski wrote:
>
>> MX wskazuje na mail.jakis.adres.pl, a rekord A mail.jakis.adres.pl na
>> staryIP. Jak to ogarnąć i czy się w ogóle da? Pewnie zmianą PTR na
>> mail.jakis.adres.pl, ale może jest jakieś bardziej eleganckie (w
>> praktyce) rozwiązanie?
>>
>
> PTR ma wskazywać na adres IP i domenę gdzie znaduje się serwer. PTR

Zgadza się, ale co zrobić jeśli inne serwisy (u mnie www) tej domeny nie
są pod tym samym IP?

> ustawia ten co ci daje adres IP. Ja mam kilka adresów IP i na jednym z
> nich jest MX i tam mi ustawili PTR.
>
> Natomiast rekordy MX to tam gdzie domena mailowa oraz klucz DKIM, DMARC
> i SPF.

I z nimi nie ma problemu. Problem jest jedynie z PTR. Musiabym zmienić
PTR na mail.jakis.adres.pl co wydaje mi się dziwnym rozwiązanie, bo
dlaczego mta ma de facto zawłaszczać PTR dla sibie?

Zastanawiam się jak inni mają to zorganizowane bo to pewnie żadna
egzotyka, że w obrębie domen i subdomen, mail i www są na różnych IP, z
różnymi poddomenami.

Może się tym PTR nikt nie przejmuje jak DKIM, DMARC i SPF są prawodłowe?

--
Marcin

W dniu 11.06.2022 o 00:29, Marcin Debowski pisze:
> On 2022-06-10, KIKI <yeir@pemfuh.uu> wrote:
>> On 10.06.2022 02:23, Marcin Debowski wrote:
>>
>>> MX wskazuje na mail.jakis.adres.pl, a rekord A mail.jakis.adres.pl na
>>> staryIP. Jak to ogarnąć i czy się w ogóle da? Pewnie zmianą PTR na
>>> mail.jakis.adres.pl, ale może jest jakieś bardziej eleganckie (w
>>> praktyce) rozwiązanie?
>>>
>>
>> PTR ma wskazywać na adres IP i domenę gdzie znaduje się serwer. PTR
>
> Zgadza się, ale co zrobić jeśli inne serwisy (u mnie www) tej domeny nie
> są pod tym samym IP?
>

IP dla serwerów www nie muszą posiadać PTR.

>> ustawia ten co ci daje adres IP. Ja mam kilka adresów IP i na jednym z
>> nich jest MX i tam mi ustawili PTR.
>>
>> Natomiast rekordy MX to tam gdzie domena mailowa oraz klucz DKIM, DMARC
>> i SPF.
>
> I z nimi nie ma problemu. Problem jest jedynie z PTR. Musiabym zmienić
> PTR na mail.jakis.adres.pl co wydaje mi się dziwnym rozwiązanie, bo
> dlaczego mta ma de facto zawłaszczać PTR dla sibie?
>
> Zastanawiam się jak inni mają to zorganizowane bo to pewnie żadna
> egzotyka, że w obrębie domen i subdomen, mail i www są na różnych IP, z
> różnymi poddomenami.
>
> Może się tym PTR nikt nie przejmuje jak DKIM, DMARC i SPF są prawodłowe?

Błąd. Jest odwrotnie. PTR dla MTA jest podstawą. Może nie będę opisywał
co i jak, ale w skrócie ujmę to tak, że ten mechanizm w prosty sposób
potrafi rozróżnić np. wysyłkę z MTA lub z wirusa na kompie jakiegoś
wsioka z kacapii. PTR wg mnie jest sprawdzany przez każdy MTA przed
rozpoczęciem odbioru poczty e-mail.
Natomiast teoretycznie nie ma przeszkód, żeby na jednym IP z PTR
pracował MTA ogarniający wiele domen. Przeszkoda wystąpi np. wtedy, gdy
ktoś niechcący zaspamuje z tego adresu i uwali wysyłkę dla wszystkich.
Dlatego na czas rozwiązania akurat takiej sytuacji dobrze jest mieć
kilka IP z PTR.

On 11.06.2022 00:29, Marcin Debowski wrote:
> On 2022-06-10, KIKI <yeir@pemfuh.uu> wrote:
>> On 10.06.2022 02:23, Marcin Debowski wrote:
>>
>>> MX wskazuje na mail.jakis.adres.pl, a rekord A mail.jakis.adres.pl na
>>> staryIP. Jak to ogarnąć i czy się w ogóle da? Pewnie zmianą PTR na
>>> mail.jakis.adres.pl, ale może jest jakieś bardziej eleganckie (w
>>> praktyce) rozwiązanie?
>>>
>>
>> PTR ma wskazywać na adres IP i domenę gdzie znaduje się serwer. PTR
>
> Zgadza się, ale co zrobić jeśli inne serwisy (u mnie www) tej domeny nie
> są pod tym samym IP?

Masz domenę i wpisujesz w zonę dwa rekordy A

A adres.pl     1.2.3.4
A mx.adres.pl  5.6.7.8

On 2022-06-13, Dżon <nie.podam.tutaj.na.razie@i.juz> wrote:
> W dniu 11.06.2022 o 00:29, Marcin Debowski pisze:
>>> ustawia ten co ci daje adres IP. Ja mam kilka adresów IP i na jednym z
>>> nich jest MX i tam mi ustawili PTR.
>>>
>>> Natomiast rekordy MX to tam gdzie domena mailowa oraz klucz DKIM, DMARC
>>> i SPF.
>>
>> I z nimi nie ma problemu. Problem jest jedynie z PTR. Musiabym zmienić
>> PTR na mail.jakis.adres.pl co wydaje mi się dziwnym rozwiązanie, bo
>> dlaczego mta ma de facto zawłaszczać PTR dla sibie?
>>
>> Zastanawiam się jak inni mają to zorganizowane bo to pewnie żadna
>> egzotyka, że w obrębie domen i subdomen, mail i www są na różnych IP, z
>> różnymi poddomenami.
>>
>> Może się tym PTR nikt nie przejmuje jak DKIM, DMARC i SPF są prawodłowe?
>
> Błąd. Jest odwrotnie. PTR dla MTA jest podstawą. Może nie będę opisywał
> co i jak, ale w skrócie ujmę to tak, że ten mechanizm w prosty sposób
> potrafi rozróżnić np. wysyłkę z MTA lub z wirusa na kompie jakiegoś
> wsioka z kacapii. PTR wg mnie jest sprawdzany przez każdy MTA przed
> rozpoczęciem odbioru poczty e-mail.
> Natomiast teoretycznie nie ma przeszkód, żeby na jednym IP z PTR
> pracował MTA ogarniający wiele domen. Przeszkoda wystąpi np. wtedy, gdy
> ktoś niechcący zaspamuje z tego adresu i uwali wysyłkę dla wszystkich.
> Dlatego na czas rozwiązania akurat takiej sytuacji dobrze jest mieć
> kilka IP z PTR.

Czyli mówicie, że to jest normalna praktyka, że jak pocztę obsługuje
mail.jakis.adres.pl to revDNS powinien wskazywać na A/MX
mail.jakis.adres.pl, raczej niż jakis.adres.pl (o ile są różne). No
dobra. Po prostu jakoś to tak w moim odczuciu mało elegancko.

Przy okazji, używacie czegoś do walidacji mejli w stylu
check-auth@verifier.port25.com (nb. widzę, że trafil do RBL), inne?

--
Marcin

On 14.06.2022 01:32, Marcin Debowski wrote:

> Czyli mówicie, że to jest normalna praktyka, że jak pocztę obsługuje
> mail.jakis.adres.pl to revDNS powinien wskazywać na A/MX
> mail.jakis.adres.pl, raczej niż jakis.adres.pl (o ile są różne). No
> dobra. Po prostu jakoś to tak w moim odczuciu mało elegancko.
>
> Przy okazji, używacie czegoś do walidacji mejli w stylu
> check-auth@verifier.port25.com (nb. widzę, że trafil do RBL), inne?
>


Adres IP i domena serwera MX muszą się rozwiązywać w obie strony. Adres
IP bez rekordu PTR nie nadaje się do bycia serwerem MTA. Wszyscy takie
maile odbiją.
Ja używam check-auth@verifier.port25.com i ma być 3 x pass. Jak nie jest
to źle.
Są jeszcze inne narzędzia.

Podaj tę domenę, nie czaj się jak jest to legalna domena, a nie jakaś
spamerska, to ci zaraz powiem co ją boli.

Mam swój serwer od kilku lat i kolegom też postawiłem i działają świetnie.

On 2022-06-14, KIKI <yeir@pemfuh.uu> wrote:
> On 14.06.2022 01:32, Marcin Debowski wrote:
>
>> Czyli mówicie, że to jest normalna praktyka, że jak pocztę obsługuje
>> mail.jakis.adres.pl to revDNS powinien wskazywać na A/MX
>> mail.jakis.adres.pl, raczej niż jakis.adres.pl (o ile są różne). No
>> dobra. Po prostu jakoś to tak w moim odczuciu mało elegancko.
>>
>> Przy okazji, używacie czegoś do walidacji mejli w stylu
>> check-auth@verifier.port25.com (nb. widzę, że trafil do RBL), inne?
>>
>
>
> Adres IP i domena serwera MX muszą się rozwiązywać w obie strony. Adres
> IP bez rekordu PTR nie nadaje się do bycia serwerem MTA. Wszyscy takie
> maile odbiją.
> Ja używam check-auth@verifier.port25.com i ma być 3 x pass. Jak nie jest
> to źle.
> Są jeszcze inne narzędzia.
>
> Podaj tę domenę, nie czaj się jak jest to legalna domena, a nie jakaś
> spamerska, to ci zaraz powiem co ją boli.
>
> Mam swój serwer od kilku lat i kolegom też postawiłem i działają świetnie.

Nic nielegalnego, ale mam zawsze opory przed podawaniem takich
indormacji w technicznych dyskusjach, a tu nie jest to jeszcze moja
domena, więc tym bardziej tego nie zrobię. Co innego jakbym Ci mógł
przesłac na mejla, ale wygląda, że masz fejkowatego.

Po zmianie PTR mam w tej chwili wszystkie passy na
check-auth@verifier.port25.com i 10/10 na https://www.mail-tester.com/.

--
Marcin

On 15.06.2022 01:40, Marcin Debowski wrote:

> Po zmianie PTR mam w tej chwili wszystkie passy na
> check-auth@verifier.port25.com i 10/10 na https://www.mail-tester.com/.
>

A co mówi https://dmarcian.com/ po wpisaniu samej domeny ?

Powinieneś mieć trzy zielone w tym DMARC na reject, w SPF jeden IP i
-all (bez falki) i działający DKIM 2048 bit.

Inaczej będziesz mailerem drugiej kategorii i zawsze filtry dadzą jakieś
punkty za brak tych trzech rekordów. To jest zabezpieczenie przed
podszyciem się pod Ciebie i o to w tym chodzi. Bez SPF to w ogóle maile
nie dojdą w dużym procencie.

On 2022-06-16, KIKI <yeir@pemfuh.uu> wrote:
> On 15.06.2022 01:40, Marcin Debowski wrote:
>
>> Po zmianie PTR mam w tej chwili wszystkie passy na
>> check-auth@verifier.port25.com i 10/10 na https://www.mail-tester.com/.
>>
>
> A co mówi https://dmarcian.com/ po wpisaniu samej domeny ?
>
> Powinieneś mieć trzy zielone w tym DMARC na reject, w SPF jeden IP i
> -all (bez falki) i działający DKIM 2048 bit.
>
> Inaczej będziesz mailerem drugiej kategorii i zawsze filtry dadzą jakieś
> punkty za brak tych trzech rekordów. To jest zabezpieczenie przed
> podszyciem się pod Ciebie i o to w tym chodzi. Bez SPF to w ogóle maile
> nie dojdą w dużym procencie.

Wielkie dzięki, ustawiłem odpowiednio policy i rua i mam już wszystko
zielone. Nb. dlaczego "quarantine" nie jest tam uważane za
wystarczające?

--
Marcin

On 17.06.2022 02:47, Marcin Debowski wrote:

> Wielkie dzięki, ustawiłem odpowiednio policy i rua i mam już wszystko
> zielone. Nb. dlaczego "quarantine" nie jest tam uważane za
> wystarczające?
>

Historycznie quarantine w DMARC i "~All" czyli soft fail w SPF miało
działać do testów serwera MTA. Prosiłeś tym o łagodniejsze traktowanie,
bo testujesz system i coś nie wychodzi i żeby mimo to puścili ci maila
do odbiorcy.

Niestety z biegiem lat zaczęto używać tego mechanizmu do przebijania się
przez filtry i każda próba ominięcia np. IP na czarnej liście z rekordu
SPF poprzez dodanie falki jest jeszcze bardziej niemile widziana.

To Tobie zależy na dostarczalności maili więc znajdź czysty IP, w dobrym
sąsiedztwie, gdzie cała klasa czy operator nie są listowani jako cały
ASN na uceprotect h1, h2, h3 ani na spamgruperze. Nigdzie ma nie być
otoczenia tego adresu. Jak już go masz i ustawisz rekordy to zawsze
będziesz lądował w inboxie.

Jest jeszcze kolejna bariera, to treść maili. Unikaj w korespondencji
słów oferta, covid, dezynfekcja i podobnych. Nie pisz w HTML-u, nie
wysyłaj linków do domen na czarnej liście. To wszystko wyłapie Spamassassin.

Często tak jest, że spamer ma wzorowo skonfigurowany serwer, na czystym,
wygrzanym IP, domenę, która odleżała swoje od dnia rejestracji ale w
takim mailu wyśle linka do strony spamera z produktami już wcześniej
spamującymi. Za samą treść maila Spamassassin wsadzi ci maila do folderu
spam. Zrobisz tak kilka razy i Gmail już sobie to zapamięta.