Listas de correo - Tareas #3812 Problemas de rebotes

Texto completo

(1)Listas de correo - Tareas #3812 Problemas de rebotes 2014-12-18 19:14 - Victor Alem. Estado:. Resuelta. Fecha de inicio:. 2014-12-18. Prioridad:. Alta. Fecha fin:. Asignado a:. Victor Alem. % Realizado:. 90%. Categoría:. Tiempo estimado:. 0.00 hora. Versión prevista:. Tiempo dedicado:. 16.25 horas. Descripción Tenemos nuevos problemas de rebotes con el servidor de listas: <*********@gmail.com>: host gmail-smtp-in.l.google.com[74.125.196.27] said: 550-5.7.1 Unauthenticated email from yahoo.com is not accepted due to domain's 550-5.7.1 DMARC policy. Please contact administrator of yahoo.com domain if 550-5.7.1 this was a legitimate mail. Please visit 550-5.7.1 http://support.google.com/mail/answer/2451690 to learn about DMARC 550 5.7.1 initiative. 19si2164782ykj.103 - gsmtp (in reply to end of DATA command). <************@yahoo.com>: host mta6.am0.yahoodns.net[66.196.118.34] said: 554 5.7.9 Message not accepted for policy reasons. See http://postmaster.yahoo.com/errors/postmaster-28.html (in reply to end of DATA command). Hay que leer sobre el tema y aplicar alguna solución. Peticiones relacionadas: relacionada con Listas de correo - Errores # 3113: problemas de rebotes en la.... Cerrada. 2014-07-03. relacionada con Listas de correo - Tareas # 3603: Aplicar configuraciones par.... Cerrada. 2014-11-25. relacionada con Correo electrónico - Tareas # 4143: Problemas de envío de mai.... Resuelta. 2015-03-09. Histórico #1 - 2014-12-18 19:54 - Victor Alem Parece ir por acá la mano: http://www.sympa.org/manual/dmarc. #2 - 2014-12-18 21:21 - Victor Alem - Estado cambiado Nueva por En curso - % Realizado cambiado 0 por 60. Bueno, apliqué lo que dice acá. Hay que ver bien qué es lo que pasa. No estoy seguro que sea la solución al problema, a lo sumo suprimimos esta línea en sympa.conf. Lo tuve que aplicar para todo el servidor de listas porque no se puede configurar este parámetro en los robots por separado.. 2017-10-16. 1/10.

(2) #3 - 2014-12-18 21:31 - Victor Alem - Se actualizó Descripción #4 - 2014-12-18 21:32 - Victor Alem - Se actualizó Descripción #5 - 2015-02-09 17:25 - Victor Alem - Prioridad cambiado Normal por Inmediata. Volvimos a tener problemas de rebotes: host mta6.am0.yahoodns.net[98.138.112.38] said: 554 5.7.9 Message not accepted for policy reasons. See http://postmaster.yahoo.com/errors/postmaster-28.html (in reply to end of DATA command). #6 - 2015-02-10 17:22 - Andrés Pías Veo que si bien hay rebotes, en el mismo día también hay envíos satisfactorios a los mismos mails. Sería interesante ver en que difiere un envío del otro.. #7 - 2015-02-11 12:04 - Andrés Pías Investigando, se puede ver que esto le está pasando a todo el mundo. Unas de las soluciones que mencionan es borrar los subscriptores con cuentas de yahoo de las listas: http://jrl.guru/Email/yahoobomb.html https://wordtothewise.com/2014/04/example-bounces-due-yahoo-preject/ Nos queda hackear Sympa para saltar las políticas DMAC de Yahoo O Probar con algunos de estos mecanismos: http://hostingdiario.com/mis-emails-son-baneados-o-llegan-a-casilla-de-spam-en-yahoo-gmail-o-hotmail/. #8 - 2015-02-13 14:58 - Andrés Pías De acuerdo a Yahoo, todos los mails deben ser enviados usando la autenticación DKIM: https://help.yahoo.com/kb/mail-for-desktop/SLN3435.html?impressions=true Estoy mirando este tutorial para configurarlo en Sympa: http://www.sympa.org/manual/dkim. #9 - 2015-02-17 18:47 - Andrés Pías - Estado cambiado En curso por Resuelta. Configuré DKIM para el envío de mails desde Russell:. 2017-10-16. 2/10.

(3) En lugar de utilizar DKIM milter como aconseja Sympa, utilice opendkim: para realizar una instalación dessde paquetes .deb. Comenzamos por aplicar este tutorial para instalar la mencionada herramienta: apt-get install opendkim opendkim-tools. Se crean los directorios donde irán las claves pública y privada: mkdir -pv /etc/opendkim/listas.cure.edu.uy/ chown -R opendkim:opendkim /etc/opendkim chmod 755 /etc/opendkim/*. Generación de clave: cd /etc/opendkim/listas.cure.edu.uy/ opendkim-genkey -d listas.cure.edu.uy -s email mv -v email.private email.key chown opendkim:opendkim * chmod 744 *. Luego que tenemos esto, hay que aplicar la configuración DKIM al sympa.conf o el robot.conf para el robot virtual en cuestión: dkim_feature. on. dkim_add_signature_to list,robot dkim_signature_apply_on md5_authenticated_messages,smime_authenticated_messages, dkim_authenticated_messages,editor_validated_messages dkim_private_key_path /etc/opendkim/listas.cure.edu.uy/email.key dkim_signer_domain. listas.cure.edu.uy. dkim_selector email dkim_signer_identity. none. Se recarga sympa service sympa reload. Después vamos a Massera para agregar el correspondiente registro TXT DNS: nano /usr/local/etc/bind/db.cure.edu.uy email._domainkey.listas IN TXT "v=DKIM1; k=rsa;. p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC9MB4rmOmOtkQPxkVQyQkUwXG3p5qkor2adu5uORks6lv6omF5eLhDLCnN86tMuM2dPwo6xz3. M2dPwo6xz3Rh8SZ5ph0DrtwePfCVzHYB/Uux6DQmNAKORH2HVkiO7zz8cVBWWaKgxGkZiXl79nNIrsUf7qoBdF2NWiyD638EgYpoKZaIiNhGQIDAQAB" ; QIDAQAB" ; ----- DKIM key email for listas.cure.edu.uy. Se recarga el servicio: service bind9 reload. 2017-10-16. 3/10.

(4) Testing desde russell o máquina local: apias@batamachine:~$ dig -t TXT email._domainkey.listas.cure.edu.uy ; <<>> DiG 9.9.5-3-Ubuntu <<>> -t TXT email._domainkey.listas.cure.edu.uy ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65086 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 4 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;email._domainkey.listas.cure.edu.uy. IN. TXT. ;; ANSWER SECTION: email._domainkey.listas.cure.edu.uy. 411 IN TXT. "v=DKIM1\; k=rsa\;. p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC9MB4rmOmOtkQPxkVQyQkUwXG3p5qkor2adu5uORks6lv6omF5eLhDLCnN86tMuM2dPwo6xz3. M2dPwo6xz3Rh8SZ5ph0DrtwePfCVzHYB/Uux6DQmNAKORH2HVkiO7zz8cVBWWaKgxGkZiXl79nNIrsUf7qoBdF2NWiyD638EgYpoKZaIiNhGQIDAQAB". QIDAQAB" ;; AUTHORITY SECTION: cure.edu.uy.. 185. IN. NS. seciu.edu.uy.. cure.edu.uy.. 185. IN. NS. massera.csic.edu.uy.. ;; ADDITIONAL SECTION: seciu.edu.uy.. 37597. IN. seciu.edu.uy.. 37756. IN. massera.csic.edu.uy.. 342. A. 164.73.128.5. AAAA IN. A. 2001:1328:6::5 164.73.68.7. ;; Query time: 17 msec ;; SERVER: 127.0.1.1#53(127.0.1.1) ;; WHEN: Mon Feb 16 20:24:32 UYST 2015 ;; MSG SIZE rcvd: 418. root@russell:/etc/opendkim/listas.cure.edu.uy# opendkim-testkey -vvv -d listas.cure.edu.uy -s email -k /etc/opendkim/listas.cure.edu.uy/email.key opendkim-testkey: key loaded from /etc/opendkim/listas.cure.edu.uy/email.key opendkim-testkey: checking key 'email._domainkey.listas.cure.edu.uy' opendkim-testkey: key not secure opendkim-testkey: key OK. Luego al empezar a probar el envío de mails, empezaron a aparecer errores. Si bien los correos iban firmados y se incluía la cabecera DKIM-Signature en los mismos, no estaba funcionando del todo porque la firma no lograba ser validada ni por google, ni por yahoo: Google dkim=temperror (no key for signature). 2017-10-16. 4/10.

(5) Yahoo dkim=permerror (mismatched sig-key hash) dkim=permerror (no key). Ejemplo de cabecera completa: Authentication-Results: mx.google.com; spf=none (google.com: [email protected] does not designate permitted sender hosts) [email protected]; dkim=temperror (no key for signature) header.i=@ Received: by russell.csic.edu.uy (Postfix, from userid 1001) id 608C6C02C0; Mon, 16 Feb 2015 19:10:24 -0200 (UYST) DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=listas.cure.edu.uy; h= message-id:date:from:mime-version:to:content-type :content-transfer-encoding:subject:reply-to:sender:list-id :list-archive:list-help:list-owner:list-post:list-subscribe :list-unsubscribe; s=email; i= [email protected]; bh=r2sgEhRpMrgkjLXz wao/N3sqYro=; b=aZXgCzivY93AjWv7ooPFFjdu85wymrFGNqMDdeCiZjil4O3O q2Ee0Fjfz6WDzIjCZpFYN5XvVLvt5KdXvyYA1XNK+BJW6Ek8SwzC64Jy4lXYdqpp HDMWCT39Ofd3L1LDIERTfJKtMSkMO1uOQayF/xEzfVq3WlCLnjHHgMCEmfw=. Encontramos aca la misma problemática. Una respuesta nos aporta varios links interesantes. Sobre todo la solución al problema está acá, la cual implica agregar otro registro TXT solo para el dominio (es decir que además del registro para el separador tenemos que agregar otro "vacío"): _domainkey.listas IN TXT "t=y; o=~" Lo anterior nos dejas otro dos links para chequear si la configuración DNS de nuestros dominios es correcta en cuanto a la definición de los registros TXT para DKIM: - http://domainkeys.sourceforge.net/policycheck.html - http://domainkeys.sourceforge.net/selectorcheck.html Probamos enviar nuevos mails que son correctamente chequeados por google y yahoo (dkim=pass): Authentication-Results: mx.google.com; spf=none (google.com: [email protected] does not designate permitted sender hosts) [email protected]; dkim=pass [email protected] Received: by russell.csic.edu.uy (Postfix, from userid 1001) id 01956C0322; Mon, 16 Feb 2015 20:43:44 -0200 (UYST) DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=listas.cure.edu.uy; h= message-id:date:from:mime-version:to:content-type :content-transfer-encoding:subject:reply-to:sender:list-id :list-archive:list-help:list-owner:list-post:list-subscribe :list-unsubscribe; s=email; i= [email protected]; bh=4QeZix02SiFJS4qp /yntBKCE26k=; b=clsUJ/6C3vjYW6U37Ivzp0GwQ2ZbVqRqu0Yu7HzgGGh6gdRq 2VJ0rrhBIW5yeJEZp+nV6zu1ESilVMKvAHu0SwWTRQ4w69cARh1uEapaMBIvDb0a. 2017-10-16. 5/10.

(6) S4zK2Z5DA+tFw1Keg39DP/a2CD3g44ZAgkPu6jB/bpYMwSZSekld+VFpKgY=. #10 - 2015-02-18 13:22 - Victor Alem - Estado cambiado Resuelta por En curso - Asignado a cambiado Cielito - Coord. regional por Victor Alem. ¡Buen laburo Andrés! Para completar, deberíamos configurar en Russell los rebistros spf (veo que google nos dice "spf=none"). Me asigno la tarea y luego te la paso para la verificación. Bastaría aplicar lo que hicimos en Godel, tarea #3603. Me pongo a investigarlo.. #11 - 2015-02-18 13:46 - Victor Alem Agregué los registros spf para Russell: victor@fleming:~$ host -a cure.edu.uy massera.csic.edu.uy Trying "cure.edu.uy" Using domain server: Name: massera.csic.edu.uy Address: 164.73.68.7#53 Aliases: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27803 ;; flags: qr aa rd; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 3 ;; QUESTION SECTION: ;cure.edu.uy.. IN. ANY. ;; ANSWER SECTION: cure.edu.uy.. 600. IN. TXT. "v=spf1 a:godel.csic.edu.uy ~all". cure.edu.uy.. 600. IN. TXT. "v=spf1 a:russell.csic.edu.uy ~all". cure.edu.uy.. 600. IN. MX. 10 godel.csic.edu.uy.. cure.edu.uy.. 600. IN. MX. 20 coronilla.cure.edu.uy.. cure.edu.uy.. 600. IN. SOA. cure.edu.uy.. 600. IN. NS. cure.edu.uy.. 600. IN. NS. cure.edu.uy.. 600. IN. A. massera.csic.edu.uy. informatica.cci.edu.uy. 2015021801 86400 7200 3600000 3600 massera.csic.edu.uy. seciu.edu.uy.. 164.73.68.5. ;; ADDITIONAL SECTION: godel.csic.edu.uy.. 600. IN. A. 164.73.68.19. coronilla.cure.edu.uy.. 600. IN. A. 164.73.227.8. massera.csic.edu.uy.. 600. IN. A. 164.73.68.7. Received 330 bytes from 164.73.68.7#53 in 7 ms. 2017-10-16. 6/10.

(7) Estaría bueno comprobar si la cabecera de google cambia ahora.... #12 - 2015-02-18 16:23 - Andrés Pías Sigue sin mandar el campo SPF... curioso es que Yahoo tambien envía sus mensajes sin especificar spf Received-SPF: none (google.com: [email protected] does not designate permitted sender hosts) client-ip=164.73.68.14; Authentication-Results: mx.google.com; spf=none (google.com: [email protected] does not designate permitted sender hosts) [email protected]; dkim=pass [email protected] Received: by russell.csic.edu.uy (Postfix, from userid 1001) id 9DF32C01C6; Wed, 18 Feb 2015 16:18:54 -0200 (UYST) DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=listas.cure.edu.uy; h= message-id:date:from:mime-version:to:content-type:subject :reply-to:sender:list-id:list-archive:list-help:list-owner :list-post:list-subscribe:list-unsubscribe; s=email; i= [email protected]; bh=4ksRHURgvhmYMEJy r3acUeZnCT8=; b=fww+odaH9K4fJpPGHRoqr8G29gu1ino2Rki7K5bAgYRoi2wj 98qRdDTJdV5MwQ42bj+MjnDBU0ECQZbe4uJ+UMtk8XKM+7/JeHVRUnOAhpaFa87B MArfbX++g4FVd8wuv05ktEvp86rsmoLKzKZ1iW51C4oiu9h2cW9D55GvKH4=. #13 - 2015-02-18 17:12 - Andrés Pías Tamos usando este wizard para crear los SPF: http://www.spfwizard.net/es/. #14 - 2015-02-18 17:35 - Victor Alem - Estado cambiado En curso por Resuelta - Asignado a cambiado Victor Alem por Andrés Pías - % Realizado cambiado 60 por 100. Esta configuración: @. IN. TXT. "v=spf1 mx a:russell.csic.edu.uy a:godel.csic.edu.uy ?all". listas IN. TXT. "v=spf1 mx a:russell.csic.edu.uy a:godel.csic.edu.uy ?all". Funciona perfectamente y tenemos "spf=pass" desde el servidor de listas: Received-SPF: pass (google.com: domain of [email protected] designates 164.73.68.14 as permitted sender) client-ip=164.73.68.14; Authentication-Results: mx.google.com; spf=pass (google.com: domain of [email protected] designates 164.73.68.14 as permitted sender) [email protected]; dkim=pass [email protected]. 2017-10-16. 7/10.

(8) y desde godel: Received-SPF: pass (google.com: domain of [email protected] designates 164.73.68.19 as permitted sender) client-ip=164.73.68.19; Authentication-Results: mx.google.com; spf=pass (google.com: domain of [email protected] designates 164.73.68.19 as permitted sender) [email protected]. ¡Paso la tarea para verificar y/o críticas de la configuración!. #15 - 2015-04-20 15:39 - Andrés Pías - Asignado a cambiado Andrés Pías por Cielito - Coord. regional. Victor Alem escribió: ¡Paso la tarea para verificar y/o críticas de la configuración!. Bien Victor, la revise está todo bien. Solo faltaría agregar el registro DMARC. Las configuraciones que hemos explorado las deje documentadas en la wiki [[correo:Aplicación de estrategias de seguridad]] para que se puedan aplicar a otros dominios ... críticas o cambios también son bienvenidos.. #16 - 2015-04-20 16:04 - Victor Alem - Estado cambiado Resuelta por En curso - % Realizado cambiado 100 por 90. Estamos teniendo nuevamente problemas de rebotes con gmail, hotmail y yahoo: <***********@yahoo.com>: host mta7.am0.yahoodns.net[98.136.217.202] said: 554 5.7.9 Message not accepted for policy reasons. See http://postmaster.yahoo.com/errors/postmaster-28.html (in reply to end of DATA command). Este error lo recibí hoy en la lista edificio_maldonado en cure edu uy.. #17 - 2015-04-20 16:35 - Andrés Pías Agregue registros que faltaban: DKIM para el dominio cure.edu.uy _domainkey IN TXT "t=y; o=~". REGISTROS DMARC _dmarc IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]". 2017-10-16. 8/10.

(9) _dmarc.listas IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]". #18 - 2015-11-04 17:59 - Daniel Viñar Ulriksen - Prioridad cambiado Inmediata por Alta #19 - 2016-05-05 11:23 - Victor Alem - Asignado a cambiado Cielito - Coord. regional por Andrés Pías. Hoy tuvimos otro episodio de rebotes de gmail de correos enviados desde yahoo. <**********@gmail.com>: host gmail-smtp-in.l.google.com[74.125.141.27] said: 550-5.7.1 Unauthenticated email from yahoo.com is not accepted due to domain's 550-5.7.1 DMARC policy. Please contact administrator of yahoo.com domain if 550-5.7.1 this was a legitimate mail. Please visit 550-5.7.1 https://support.google.com/mail/answer/2451690 to learn about DMARC 550 5.7.1 initiative. 76si4614315uae.28 - gsmtp (in reply to end of DATA command). Aplicamos en la configuración del robot de listas del cure esto: dmarc_protection_mode dmarc_reject. Conforme lo dicho acá Anulamos los rebotes en los suscriptores y hacemos alguna prueba desde yahoo. Se la paso a Andrés que tiene cuenta en yahoo. Para probar podemos utilizar la lista informatica en cure edu uy. Ya agregué algunas cuentas en GMail.. #20 - 2016-05-05 11:47 - Andrés Pías - Asignado a cambiado Andrés Pías por Victor Alem. Victor Alem escribió: Se la paso a Andrés que tiene cuenta en yahoo.... Y solo creada con el fin de chequear rebotes ;) Listo mensaje enviado!. #21 - 2016-05-05 11:58 - Victor Alem - Estado cambiado En curso por Resuelta. Se recibió el mensaje correctamente en las cuentas de gmail.. 2017-10-16. 9/10.

(10) Esperemos a ver qué sucede.. 2017-10-16. 10/10.

(11)