Office 365 blokuje příchozí emaily z Odorik.cz

Podrobnější technické novinky a vůbec novinky a postřehy z VoIP.
pali
Příspěvky: 100
Registrován: čtv 08. srp 2019 20:20:55

Re: Office 365 blokuje příchozí emaily z Odorik.cz

Příspěvek od pali »

TomK píše:změna předmětu a textu těch zpráv, ať se AI učí hezky znova :-)
To nepomôže, podľa logu to zahadzuje už na RCPT TO príkaze, ktorý sa posiela pred DATA príkazom (v ktorom je telo emailu). Takže na predmet a telo správy sa to ani nepozerá.
Jedinú informáciu, čo má, je obálkový odosielateľ+prijímateľ, helo/ehlo hostname a IP adresa.

To zjavne vyzerá, že IP adresa sa dostala na nejaký blacklist.
TomK píše:Nastavení SPF určitě nic nezkazí.
SPF napr. neprepustí preposlané emaily, ale prepustí rôzne podvrhy. Takže s tým miss-conception je to na mieste. To že to nič nepokazí je trochu nadstrelené.

DKIM je podpisovanie hlavičiek a tela emailu serverom, ktorý email odosiela (tzn. nie klientom, kto email vytvoril/napísal). Podpis v DKIM strict režime sa stane nevalidným ak sa text emailu po ceste zaláme alebo sa skonvertuje z 8bit na 7bit-BASE64. A to niektoré SMTP servery po ceste musia spraviť ak nejde inak daný email poslať ďalšiemu SMTP serveru v rade na ceste.
xsouku04 píše: DMARC se týká chování, když by někdo odesílal spam našim jménem.
Nie úplne. DMARC je politika, či vyžadovať nejakú kombináciu SPF, DKIM alebo nie a ako oznamovať o tom chyby. A pri DKIM kontrola či server, ktorý email podpísal odpovedá doméne hlavičky odosielateľa.

Takže pôjde napr. podvrhnúť iného odosielateľa z rovnakej domény.

Alebo to spôsobí napr. zahodenie emailov z emailových konferencí. Väčšinou pridávajú do predmetu správy názov konferencie, čo zneplatní DKIM podpis. Alebo potrebujú prepísať nejaké hlavičky aby odpoveď opäť šla do konferencie, čo opäť zneplatní DKIM podpis. Server emailovej konferencie si môže podpísať správu vlastným podpisom, ale ten už nebude sedieť s doménou odosielateľa, takže to bude DMARC nevalidné.

Alebo iný príklad kedy DMARC spôsobí zahodenei legálneho emailu: DKIM strict podpísaný email, ktorý je po ceste skonvertovaný z 8bit na 7bit-BASE64 môže byť zahodený aj napriek tomu že je plne validný, žiaden spam a poslaný legitýmným serverom. Konverzia 8bit --> 7bit-BASE64 je bezstrátová 1:1 bez zmeny obsahu, takže bežný užívateľ ani nevidí rozdiel medzi skonvertovaným a neskonvertovaným emailom.
jlo
Příspěvky: 147
Registrován: pon 08. dub 2013 12:32:18

Re: Office 365 blokuje příchozí emaily z Odorik.cz

Příspěvek od jlo »

Kolega pali situaci popisuje – podle mého názoru – naprosto přesně. Takže podle mne jediná cesta k řešení je
a) ověřit, jestli se daná IP nedostala na nějaký z obecně vedených veřejných blacklistů (pak by bylo zajímavé, proč a chtělo by se to podívat na provoz v minulosti) – to by byla ta lepší varianta, se správci se obvykle dá komunikovat
b) pokud ne, tak komunikovat s Microsoftem (ne přes jejich web, ale přes jejich business podporu)
c) pokud výše uvedené nepomůže, přesunout (třeba jen na nějaký čas) server, který odesílá poštu, na jinou IP :)

Pokud jde o SPF, tak to obecně je opravdu zvěrstvo a jeho nasazení dělá mnohem víc škody než užitku. Pokud má nějaký zákazník schránky u poskytovatele (obvykle velkého), který neumí – nechce umět – tuhle kontrolu individuálně zapnout nebo vypnout, může dotyčný prakticky zapomenout na to, že by si do své schránky něco odněkud přeposílal – což je hodně, hodně špatné (existují postupy, které to řeší, např. SRS, ale to nemá implementováno skoro nikdo).

Poznámka: Speciálně pokud jde o Office 365, tak jeho problémy se SPF, resp. zahazováním mailů obecně, jsou notorieta. Zadáte-li do vyhledávače příslušná klíčová slova, narazíte na řadu naštvaných konverzací s podporou od MS... :(
dssa

Re: Office 365 blokuje příchozí emaily z Odorik.cz

Příspěvek od dssa »

Já si myslím, že ten DKIM Odorik nemá nastaven dobře.
Thunderbird (tedy přesněji doplňek DKIM Verifier) na maily od odoriku hlásí:
Invalid (The signing domain is only testing DKIM)
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Office 365 blokuje příchozí emaily z Odorik.cz

Příspěvek od xsouku04 »

dssa píše:Já si myslím, že ten DKIM Odorik nemá nastaven dobře.
Thunderbird (tedy přesněji doplňek DKIM Verifier) na maily od odoriku hlásí:
Invalid (The signing domain is only testing DKIM)
Máte pravdu odstranil jsem ; t=y z konce DNS záznamu. Není ale jisté, jestli ta blokace je tím způsobena.
dssa

Re: Office 365 blokuje příchozí emaily z Odorik.cz

Příspěvek od dssa »

Tipuji, že je ta blokace způsobena množstvím mailů, které tam Odorik posílá. To že nebyl v pořádku DKIM mohlo mít vliv, ale samozřejmě nemuselo.
Asi by stálo za pokus kontaktovat Microsoft, jestli by Odorik nedal na whitelist.
martv
Příspěvky: 44
Registrován: úte 22. led 2013 1:26:57

Re: Office 365 blokuje příchozí emaily z Odorik.cz

Příspěvek od martv »

TomK píše:Každopádně, pokud si MS nedá říct, tak kromě změny IP mne napadá ještě změna předmětu a textu těch zpráv, ať se AI učí hezky znova :-)
To není moc praktický nápad. Jsou lidé, kteří si dle předmětu ty maily filtrují a třídí :-)

Btw. pokud nechcete SPF na celou doménu odorik.cz (důvody možná chápu), tak si na tyhle automatizované maily vyčleňte nějakou subdoménu (třeba automat@automat.odorik.cz) a SPF nastavte jen pro automat.odorik.cz. Tohle fakt nic nerozbije.
pali
Příspěvky: 100
Registrován: čtv 08. srp 2019 20:20:55

Re: Office 365 blokuje příchozí emaily z Odorik.cz

Příspěvek od pali »

martv píše:
TomK píše:Každopádně, pokud si MS nedá říct, tak kromě změny IP mne napadá ještě změna předmětu a textu těch zpráv, ať se AI učí hezky znova :-)
To není moc praktický nápad. Jsou lidé, kteří si dle předmětu ty maily filtrují a třídí :-)
Bohužiaľ zmena predmetu nezaberie, písal som to vyššie.
martv píše:Btw. pokud nechcete SPF na celou doménu odorik.cz (důvody možná chápu), tak si na tyhle automatizované maily vyčleňte nějakou subdoménu (třeba automat@automat.odorik.cz) a SPF nastavte jen pro automat.odorik.cz. Tohle fakt nic nerozbije.
"Tohle fakt nic nerozbije." --> rozbije to preposielanie emailov.

Príklad: emaily od odoriku mi chodia na adresu A. Ja si na schránke serveru A nastavím aby kontrétne emaily (napr. čo obsahujú slovo automat) sa mi preposielali na adresu B. Potom server na adrese schránky B pri prijímaní emailu skontroluje SPF odoriku a oznámi, že server A nie je oprávnený posielať emaily z adresy automat@automat.odorik.cz. Teda server B preposlaný email od odoriku zahodí.

Riešenie, ktoré spomínal @jlo je aby všetci po ceste medzi odorikom a B implementovali SRS. Avšak ak nemáte všetky servery na ceste pod vašou kontrolou, tak s tým nespravíte nič. A v prípade, že aj máte tak je dosť možné, že by bolo potrebné si naimplementovať SRS ručne (patchovaním aplikácii alebo rozšíreniami), lebo to nie je bežné.
pe.havel
Příspěvky: 223
Registrován: pát 02. zář 2016 10:34:20

Re: Office 365 blokuje příchozí emaily z Odorik.cz

Příspěvek od pe.havel »

pali píše:"Tohle fakt nic nerozbije." --> rozbije to preposielanie emailov.
Nevím, jak to mají jiní poskytovatelé e-mailových stránek, ale já mám pro přeposílané maily, které občas padaly do spamu, nastaveny filtry, aby se nikdy do spamu neházelo. Stále mi přijde lepší mít zavedené SPF a přeposílání ošetřit filtrem (vím přeci, co si přeposílám), než nemít ověřování vůbec, aby to pak občas nedošlo ani originálnímu příjemci, který si tyto záležitosti nemusí uvědomovat.
Možná se ale mýlím (nejsem odborník v této oblasti). :-)
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Office 365 blokuje příchozí emaily z Odorik.cz

Příspěvek od xsouku04 »

Tak naposledy jsem našel hlášku o odmítnutí v logu 8. dubna. Tedy nejspíš zabrala reklamace služeb nějakého platícího zákazníka na podpoře Microsoftu. Nešlo to 2 dny.
alfi
Příspěvky: 718
Registrován: čtv 03. led 2013 15:31:10

Re: Office 365 blokuje příchozí emaily z Odorik.cz

Příspěvek od alfi »

pe.havel píše:
pali píše:"Tohle fakt nic nerozbije." --> rozbije to preposielanie emailov.
Nevím, jak to mají jiní poskytovatelé e-mailových stránek, ale já mám pro přeposílané maily, které občas padaly do spamu, nastaveny filtry, aby se nikdy do spamu neházelo. Stále mi přijde lepší mít zavedené SPF a přeposílání ošetřit filtrem (vím přeci, co si přeposílám), než nemít ověřování vůbec, aby to pak občas nedošlo ani originálnímu příjemci, který si tyto záležitosti nemusí uvědomovat.
K SPF patří SRS, používají jej i třeba seznam a google - přepíše obálkovou adresu ("mail from" a "Return-path", ale ne "From" v textu emailu). Spam filtry tomu sice přidají nějaký bodík (HEADER_FROM_DIFFERENT_DOMAINS), ale jinak to docela funguje :-)
Odpovědět