Opendmarc et yahoo


#1

Bonjour,

Je viens d’installer opendmarc sur un serveur debian jessie. Utilisant Alternc je suis pour le moment bloqué sur cette version de débian. mais j’ai installer le paquet dmarc 1.3.2 de stretch

opendmarc ne semble pas bien fonctionner. les mails provenant de yahoo sont bloqués.

Dans les log :

Sep 30 21:40:47 alternc opendkim[28682]: 049722006F: DKIM verification successful
Sep 30 21:40:47 alternc opendkim[28682]: 049722006F: s=s2048 d=yahoo.com SSL
Sep 30 21:40:47 alternc opendmarc[26347]: implicit authentication service: monserveur.org
Sep 30 21:40:47 alternc opendmarc[26347]: 049722006F: yahoo.com fail

Même s’ils ne sont pas bloqués j’ai l’impression que ça ne marche pas correctement pour d’autres fournisseur comme par exemple google :

Sep 30 21:34:55 alternc opendkim[28682]: 5AEF02006F: DKIM verification successful
Sep 30 21:34:55 alternc opendkim[28682]: 5AEF02006F: s=20161025 d=gmail.com SSL
Sep 30 21:34:55 alternc opendmarc[26347]: implicit authentication service: monserveur.org
Sep 30 21:34:55 alternc opendmarc[26347]: 5AEF02006F: gmail.com none

Le résultat “none” m’interroge.

Avez vous une piste pour résoudre mon problème ?

Merci de votre aide.


#2

Ben je ne suis pas super à l’aise sur le sujet, mais il me semble que la réponse différente fail/none correspond bien à ce que yahoo et google on indiqué comme policy dmarc (p=):

mj@mercure:~$ host -t TXT _dmarc.yahoo.com
_dmarc.yahoo.com descriptive text "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc_y_rua@yahoo.com;"
mj@mercure:~$ host -t TXT _dmarc.gmail.com
_dmarc.gmail.com descriptive text "v=DMARC1; p=none; sp=quarantine; rua=mailto:mailauth-reports@google.com"

Mais quand tu dis que les mails de yahoo sont bloqué, tu es sur ?
Ou bien est ce que tu dis ça à cause de la ligne qui dit “fail”.

Tu as vérifié qu’ils n’étaient pas dans la boite ?

J’ai l’impression que ce message opendmarc[###]: ######: n’est pas un message d’erreur et indique juste la policy dmarc a suivre qu’opendmarc a trouvé pour le domaine si le mail loupe les tests, mais il ne semble pas que les mails ai loupé les tests (DKIM verification successful), donc je les soupçonne d’être quand même bien arrivé dans tes boites malgré le message fail/none (qui ne s’applique pas puisque les mails ont passé les tests).

J’espère que j’ai été compréhensible, c’est un peu brouillon tout ça.


#3

Merci pour ta réponse.

La les mails passe car j’ai été obligé de configurer opendmarc avec
RejectFailures false.
Mais avec RejectFailures en true j’ai à la suite un message de rejet :
550: 5.7.1 rejected by DMARC policy for yahoo.com

le message opendmarc[26347]: 049722006F: yahoo.com fail . Indique, je crois que pour opendmarc le message ne passe soit pas le test dkim, soit le spf.

Je me dis que mon serveur et surtout opendmarc pour x ou y raison n’arrive pas à effectuer correctement les test.


#4

En fait il me semble que c’est pareil dans les deux cas, c’est ce que je te disais alors je le redis autrement:
Les >deux> messages fail/none indiquent tous les deux qu’opendmarc a été informé que les mails ne passaient pas un des tests DKIM/SPF, et le message opendmarc précise juste dans les deux cas la politique (p=) à appliquer (reject/none, suivant ce qui est configuré pour le ndd).

Et ce qui est incompréhensible, ce n’est pas ces messages là en eux mêmes, c’est le message juste avant indiquant “DKIM verification successful”. Il faudrait aussi trouver une trace de la vérification SPF, mais je suis sur qu’elle est valide:
alors pourquoi opendmarc décide d’appliquer la policy quand même alors que les deux tests sont passés ?
Ben ça, aucune idée et je ne sais pas où chercher.


#5

Bonjour,

Est-ce que l’on peut voir la configuration d’opendmarc et les en-tes du courriel qui provoque cette erreur ?


#6

Oui bien sur

/etc/opendmarc.conf :

# This is a basic configuration that can easily be adapted to suit a standard
# installation. For more advanced options, see opendkim.conf(5) and/or
# /usr/share/doc/opendmarc/examples/opendmarc.conf.sample.

##  AuthservID (string)
##      defaults to MTA name
#
 AuthservID monserveur.org
##  FailureReports { true | false }
##      default "false"
##
# FailureReports false

PidFile /var/run/opendmarc.pid

##  RejectFailures { true | false }
##      default "false"
##
RejectFailures false

##  Syslog { true | false }
##      default "false"
##
##  Log via calls to syslog(3) any interesting activity.
#
Syslog true

##  SyslogFacility facility-name
##      default "mail"
##
##  Log via calls to syslog(3) using the named facility.  The facility names
##  are the same as the ones allowed in syslog.conf(5).
#
# SyslogFacility mail

##  TrustedAuthservIDs string
##      default HOSTNAME
##
##  Specifies one or more "authserv-id" values to trust as relaying true
##  upstream DKIM and SPF results.  The default is to use the name of
##  the MTA processing the message.  To specify a list, separate each entry
##  with a comma.  The key word "HOSTNAME" will be replaced by the name of
##  the host running the filter as reported by the gethostname(3) function.
#
# TrustedAuthservIDs HOSTNAME
##  UMask mask
##      default (none)
##
##  Requests a specific permissions mask to be used for file creation.  This
##  only really applies to creation of the socket when Socket specifies a
##  UNIX domain socket, and to the HistoryFile and PidFile (if any); temporary
##  files are normally created by the mkstemp(3) function that enforces a
##  specific file mode on creation regardless of the process umask.  See
##  umask(2) for more information.
#
UMask 0002

##  UserID user[:group]
##      default (none)
##
##  Attempts to become the specified userid before starting operations.
##  The process will be assigned all of the groups and primary group ID of
##  the named userid unless an alternate group is specified.
#
UserID opendmarc:opendmarc

## Path to system copy of PSL (needed to determine organizational domain)
#
PublicSuffixList /usr/share/publicsuffix/
IgnoreHosts /etc/opendmarc/ignore.hosts
IgnoreAuthenticatedClients true

Un retour sur une boite yahoo :

<[XXX@XXX.org](mailto:[XXX@XXX.org)>:

550: 5.7.1 rejected by DMARC policy for yahoo.com

--- Below this line is a copy of the message.

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s2048; t=1569867889; bh=DgLiF7rQEAXi6Lw3d+/yp+K9cfmUgBvrakokgzeFZLY=; h=Date:From:To:Subject:References:From:Subject; b=HxQ3fnuO1BsIaVomON5h/o2N7QB4gezItye6WmNWY2cBnyqspHDA+PTMj140kVxXta513sUr3++XEFcT1Rb7OcJclrvl/mHU1OwWUbylbgZq2LWGpyC0+hr5bjMnPwr5QcAM7ON4T8xFW3JBXlopk9fHAgV5dNp42FQ8Z5UskPrmrGWE5pnWoPLThJUJCqbr88uZ9zRdEgh+b7vNvsL2NijX9PnChhmZNG3yQ6XP3DdP+G47zJ/ZqadG4mwKhKkX6bFYMS+6S/kbcqlhweU6hAshFJWkNjy8Y8daUGr9jWicFgLb7H+H/Muga2bb2IzeOZRBIryYA7YQzPqPLetHgA==

X-YMail-OSG: eAoxxwIVM1m_5C.aW3J8Vf4HsgbJ1W333iaq8H2tKjdSjYbm0PhP37YPyRB0n8K

uacKbuPFC84v8lw_xPjhAAQxkXGd3Y8G3odaR69uTqnrD4RPz8m3TwAubUNoY4qKoOtfW_mw6OCR

NjW0m_ehnCxEq0UYBv9DedliNHG2yPp1E3eU2Bxd94YTV_Gbl779wJlf8XXOoGeWgZSHA.gTSM6K

Wmil94w5RQm3s7UFdgtSWrDoMV6BpHOF11ko.w_APuk1Q4INIDJCYQlQqZ.Y3Hu4HZbScODsAaQG

ZJ5TzUuEnnU8ebkX1gdimenTr5JqgwmnUPJLTjYIFgMsg89vH6P.3qCbc0sPcNhf9kIRDMOGSgmU

G428Zni75iikuFPjjvwppQlJWeGB8Df6WfeAb.II5jx0pn.BMyf9msYlRGj7vWlcdbyzYqv1NzJw

r9RI4F1IJ.1LkkBuYWVqabbYmSVC62halgdQZzXG5WjaqWdcesIFz95VBMdGe38pN8_FDf8XhHoZ

YWKZ2sYgwTKEVZdvW52erdWp79XiGmCDYAO8uyJOIJntP9KdjHaNatICR8rm3y0iSmqr.IJDntWZ

CBnWW0mzkJaF32agUCUl0dfQYxAidSFIIVCALn75QeHMWZEHabRKSgpyYj5W2orD19ZmkJMuhYI.

WXKknHmyA53bq2e0f1xA.aKrHYJ_9IS_JZf94qo4QvCWonJsEBA3WijoRjcpDmGyW03Fs5A7Jb4o

EhQDNW7aZ25Bgu49DPJQAgfI.6j8BwyrX3F97XC25aJcrBj_MMCvKMudp6mhWj30kRVDoa2P8wDQ

ylNNL9tFXrzK8l.aqmu4k8kAPX4rCp7ddS20fLzH7DkMMeo910ANTd_fl1E69b7tY81bDxraF7r2

fc3ewzTAPPfqqxqrJEoF_LgVEE7F0Xr4s7o6xKt.NZy5HC98VsQOkB45S24.aHRH.R1o8m9kTqGN

t9HsYmoVb64HHtrudGrlSEyugQxcc6_etr3a4OnT7aDSXhpXIs4F1CsmzduFYpCeaJ5_cBnPezRI

EahRv98X9aXbC0f9sfP.n1v5lqkHeEb_MQQ7DoHL.muJCBvyQfT1tuXvx_cK6F0IHXrM55.27QI0

Ekzpb5ONzCtL8_TgbMDjCKZrUnKnEY3yOscr5DYkNyR9gEoM82H7xnqFnntJIrpa.yEcGkI_Deoo

j8oh94xsGLA0h9WFOLcxGETgMFOGBH3w19NbHqUMmq0aWgarCaKC3C4Tn5Ho63L_Mu8cREF4x4Ba

1CaicggChgUwiFzAcihq7sPG2GvEA7nzE3VNxhF636CJ8LpkIF9qKamul

Received: from sonic.gate.mail.ne1.yahoo.com by sonic314.consmr.mail.ir2.yahoo.com with HTTP; Mon, 30 Sep 2019 18:24:49 +0000

Date: Mon, 30 Sep 2019 18:22:48 +0000 (UTC)

From: XXX <[XXX@yahoo.com](mailto:XXX@yahoo.com)>

To: XXX <[[XXX@XXX.org](mailto:[XXX@XXX.org)>

Message-ID: <[1483821482.1950569.1569867768464@mail.yahoo.com](mailto:1483821482.1950569.1569867768464@mail.yahoo.com)>

Subject: test

MIME-Version: 1.0

Content-Type: multipart/alternative;

    boundary="----=_Part_1950568_1565472230.1569867768463"

References: <[1483821482.1950569.1569867768464.ref@mail.yahoo.com](mailto:1483821482.1950569.1569867768464.ref@mail.yahoo.com)>

X-Mailer: WebService/1.1.14448 YMailNorrin Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0

Content-Length: 459

------=_Part_1950568_1565472230.1569867768463

Content-Type: text/plain; charset=UTF-8

Content-Transfer-Encoding: 7bit

------=_Part_1950568_1565472230.1569867768463

Content-Type: text/html; charset=UTF-8

Content-Transfer-Encoding: 7bit

<html><head></head><body><div class="yahoo-style-wrap" style="font-family:Helvetica Neue, Helvetica, Arial, sans-serif;font-size:16px;"><div><br></div></div></body></html>

------=_Part_1950568_1565472230.15698677684

#7

Ton fichier de configuration me semble correct.

Par contre je ne comprend pas les en-têtes du courriel. S’agit-il bien d’un courriel envoyé depuis un compte YAHOO (en utilisant le SMTP de Yahoo) vers ton serveur XXx.org ?
Est-ce que l’on peut voir aussi l’enregistrement DNS dmarc pour ton domaine XXX.org


#8

Il s’agit du retour sur une boite yahoo d’un envoi sur xxx.org
dans le dns :
_dmarc.xxx.org 86400 IN TXT “v=DMARC1;p=reject;pct=100;adkim=r”


#9

Bon déjà tu doit mettre p=quarantine pour éviter les rejets intempestifs. Tu pourras être plus strict quand tu seras sûr que tous les courriels passent bien.
Ensuite les en-têtes fournis n’apprennent rien puisque c’est le courriel de retour d’erreur de Yahoo. Il faudrait voir celles du courriel d’origine tel qu’il est reçu sur ta boîte xxx@xxx.org


#10

Sauf que malheureusement, comme il est rejeté, il n’arrive pas dans la boite.
Par contre, je ne sais pas du tout où @matthias peut aller intercepter le messageavant qu’il soit droppé pour lire ses en-têtes , désolé.


#11

Oui, mais je pense qu’il ne sera plus rejeté si @Mathias utilise une règle moins stricte dans son enregistrement DNS (quarantine au lieu de reject ). On devrait alors pouvoir voir dans les en-têtes du message d’origine ce qui cloche.
Des outils en ligne comme https://www.mail-tester.com/ ou https://mxtoolbox.com/ peuvent aussi aider.