Fórum nápovědy

Seznam

DKIM s vlastním klíčem

Vlastimil K

19.5.2022 v 9:53

Dobrý den,
Zkouším službu Email Profi a všiml jsem si, že u DKIM podporujete podepisování pouze klíčem emailprofi.seznam.cz. Domnívám se, že to může negativně ovlivňovat dorucitelnost zpráv, protože doporučené je používat podpis že stejné domény jako je From.

Plánujete v nejbližší době toto umožnit?

Děkuji,
Vlastimil

Ivana 2 Helpdesk • Moderátor

22.5.2022 v 11:59

relevantní
Dobrý den,

aktuálně nemám informace o tom, že by v případě DKIM mělo dojít ke změnám. předám to samozřejmě jako námět na zlepšení služeb, nemohu Vám však zajistit zpětnou vazbu ani že ke změnám dojde. Děkuji za pochopení a přeji pěkný den,

Ivana

Vladimír Bílek

25.10.2022 v 23:14

Dobrý den, můžete tu doměnku nějak vysvětlit? Koneckonců je varianta mít vlastní SMTP server s DKIM.

Vlastimil K

11.1.2023 v 14:08

DMARC pro strict DKIM alignment vyzaduje DKIM podpis ze shodne domeny, viz https://mxtoolbox.com/dmarc/details/dmarc-tags/adkim. A strict DKIM match zvysuje sanci na doruceni emailu, nez kdyz DMARC chybi, nebo neprochazi.

"Now, with adkim=s tag published, the DKIM domain and the Header From domain must exactly match. Below are two examples, one displaying an exact match generating a PASS result and another displaying parent/child domains that generat a FAIL result."
-- https://mxtoolbox.com/dmarc/details/dmarc-tags/adkim

Vlastni SMTP vatrianta je, ale nelze vyuzit v kombinaci s webmailem Seznam.

Matěj Týfa reagoval na příspěvek od Vlastimil K

18.7.2023 v 13:36

ADKIM parametr (u DMARC) řeší pouze alignment u subdomény. (mail.example.com a example.com - u relaxed PASS, u strict FAIL)

Implementace Seznamu je validní z pohledu DKIM. Odesílací server je emailprofi.seznam.cz a podpis je udělán pomocí správného klíče (SELECTOR._domainkey.emailprofi.seznam.cz).

Problém nastane u DMARCu. Ten kontroluje SPF a DKIM. Mimo samotného PASS/FAIL jednotlivých protokolů (DKIM je PASS - viz víše) kontroluje takzvaný alignment.
Tam se testuje zda DKIM (a SPF) doména je "aligned" (shodná) s RFC5322 From parametrem (From: hlavička emailu). A právě s tím má Email Profi problém. Protože posílá a podepisuje DKIM hlavičku za emailprofi.seznam.cz a ne za doménu zákazníka.

Takže u Email Profi je možné mít (pokud zákazník neudělá chybu v DNS) správě implementovaný SFP a DKIM.
U DMARCu je situace následující:
- SPF část PASS - samotný SPF je PASS a doména je in alignment
- DKIM část FAIL - samotný DKIM je PASS ale doména není in alignment (a u Email Profi není možné toho dosáhnout bez změny implementace na Seznam straně)

Pro celkový PASS u DMARCu stačí PASS alespoň u jedné části. A to Email Profi splňuje - SPF bude PASS, takže celý DMARC bude PASS. Ovšem stále platí že mailserver může brát fail v DKIM alignmentu jako indicii a snížit reputaci mailu.

Implementace Seznamu je celkem kompletní. Pokud budeme hodnotit pouze celkové výsledky tak dospějeme u SPF, DKIM i DMARC k PASS hodnocení. Problém může nastat pokud mailservery budou přikládat hodnotu i jednotlivým částem DMARCu.

Rozhodně je nutné tuto funkcionalitu ale doimplementovat. Cíl je už blízko.

PS: Velice hezký interaktivní průchod toutou problematikou je možné si vyzkoušet zde: https://www.learndmarc.com/
Pošlete si tam na ukázku email z Email Profi a uvidíte všechny kroky s vysvětlením.

Vladimír Bílek reagoval na příspěvek od Matěj Týfa

15.9.2023 v 8:49

Jsem rád kdyýž se dozvím i něco nového. DMARC na Seznamu bohužel zatím není ani jako volitelná součást, což je škoda a chtěl jsem to řešit vlastním SMTP serverem. Pomohl by jste nám v této oblasti? Kontakt na https://mapy.cz/s/cageralole

Matěj Týfa

17.10.2023 v 23:34

Když jsem před pár měsíci psal můj příspěvek tak jsem si neuvědomil jednu věc.
Problém s implementací (nebo tedy spíše neimplementací) DKIM u Email Profi od Seznamu opravdu existuje.

Ten problém se jmenuje "automatické přesměrování" (email forwarding). Typicky je lidi používají pro schránky které často nenavštěvují. Dovolí jim to nechat si přesměrovat všechny emaily na jinou (používanější stránku).
Netýká se to ručního přeposílání emailů. Tam je typicky původní zpráva vložena do nové.

Pro ilustraci: odesilatel@email-na-emailprofi.cz posílá zprávu na adresu puvodni-prijemce@hostitel.cz a ten si přeposílá zprávu na novy-prijemce@novy-hostitel.cz.
Odesílatel nechce aby někdo cizí za jeho doménou rozesílal maily. Proto nastaví SPF záznam na MX servery Seznamu, DKIM zapnout nedokáže a DMARC nastaví na p=reject (při selhání zahoď zprávu).


Způsobů jak technicky vyřešit přesměrování u hostitel.cz je více:
1) Nechat hlavičku Return-path (Mail From) nezměněnou. (Outlook/Hotmail, iCloud, MailRu)
Hlavička "Mail from" zůstává na původní hodnotě.
hostitel.cz vezme zprávu a pošle jí na novy-prijemce@novy-hostitel.cz.

Novy-hostitel.cz zprávu přijme a začne kontrolovat:
SPF: hostitel.cz chce odesílat zprávu za odesilatel@email-na-emailprofi.cz. SPF politika pro email-na-emailprofi.cz ovšem IP adresu serveru hostitel.cz nemá v seznamu povolených serverů.

SPF je tudíž vyhodnocena jako FAIL.
DKIM podpis z domény emailprofi.seznam.cz (jediný DKIM co Seznam provádí) je stále platný.

DMARC potřebuje aby alespoň jeden byl PASS a zároveň ALIGNED. Bohužel SPF je FAIL a DKIM není ALIGNED (email-na-emailprofi.cz != emailprofi.seznam.cz).
Tudíž tento mail selže na DMARCu a bude (podle politiky p=reject) zahozen.


2) Změnit hlavičku Return-path (Mail From) za vlastní. (Gmail/G Suite, O365 Exchange, Yahoo, Yandex mail)
Hlavička "Mail from" se změnila na puvodni-prijemce@hostitel.cz.
hostitel.cz vezme zprávu a pošle jí na novy-prijemce@novy-hostitel.cz.

Novy-hostitel.cz zprávu přijme a začne kontrolovat:
SPF: hostitel.cz chce odesílat zprávu za puvodni-prijemce@hostitel.cz. SPF politika pro hostitel.cz obsahuje IP adresu serveru hostitel.cz v seznamu povolených serverů.

SPF je tudíž vyhodnocena jako PASS.
DKIM podpis z domény emailprofi.seznam.cz (jediný DKIM co Seznam provádí) je stále platný.

DMARC potřebuje aby alespoň jeden byl PASS a zároveň ALIGNED. SPF je nyní již PASS a je dokonce i ALIGNED (hostitel.cz == hostitel.cz). DKIM je stále PASS nikoliv ale ALIGNED (email-na-emailprofi.cz != emailprofi.seznam.cz).
Tudíž tento mail úspěšně projde přes DMARC kontrolu.


Závěrem tedy. Pokud by Seznam podporoval DKIM podpis za vlastní doménu - bylo by možné provést přesměrování i prvního případu. DKIM by po přesměrování zůstal platný a zároveň by byl ALIGNED.
Možná by bylo vhodné nějaké vyjádření od Helpdesku Seznamu (@Ivana 2 Helpdesk). Je DKIM s podpisem za vlastní doménu ve vývoji? Bude někdy vůbec?

Tohle je strašně špatně dohledatelný problém. Děje se jen u specifických konfigurací, které jsou navíc úplně mimo správce odesílací domény. Navíc může způsobit úplné ztracení emailů (spousta providerů po přeposlání email smažou).
Dokážu si představit že spousta lidí na tohle narazila (ale jen o tom nevědí, nebo se jim nedaří přijít na to proč).

PS: Rozdělení poskytovatelů do jednotlivých typů nemusí úplně platit. Je to převzaté z internetu (https://easydmarc.com/blog/email-forwarding-and-dmarc-dkim-spf/) a nemám to otestované ani ověřené.

Martin Helpdesk • Moderátor

20.11.2023 v 12:42

Dobrý den. Už nějakou chvíli je funkce DKIM upravená o další chování a možnosti a nedávno jsme tyto změny promítli také do naší nápovědy služby Email Profi. Zkuste se tedy znovu nyní podívat, zda nejde právě o vámi požadované funkce a možnosti:

Email Profi > Bezpečnost pošty > DKIM

Vlastimil K

30.11.2023 v 14:09

relevantní
Na zaklade https://napoveda.seznam.cz/cz/dkim-zaznam/ jsem si zkusil nastavit DNS a zpravy se opravdu jiz podepisuji vlastnim klicem domeny. U DMARC mam tedy DKIM i SPF pass, coz drive neslo. Dekuji!

Nový dotaz

Přiložené přílohy

    Zbývá 12MB (z 12MB)

    DKIM s vlastním klíčem

    Přiložené přílohy

      Zbývá 12MB (z 12MB)