Bug 2117

Summary: Implementar DMARC
Product: Solo UInf [ uso exclusivo de UInf ] Reporter: Guillermo Reisch <greisch>
Component: GeneralAssignee: Guillermo Reisch <greisch>
Status: RESOLVED FIXED    
Severity: normal CC: arodriguez, gcabrera
Priority: Normal    
Version: 1.0   
Hardware: PC, Torre o Portatil   
OS: No sabe/ No Corresponde   
Local: Mejoras a futuro Dep/Cat: UInf - Servidores(exCETI)
Dep/Cat: --- Dep/Cat: ---
Bug Depends on: 2121    
Bug Blocks: 2088    

Description Guillermo Reisch 2017-07-02 21:13:44 -03 
Eso... implemetar DMARC en el servidor de correos.

El server esta viejito ; pero igual capas tiene pa instalar DMARC.
El tema de DMARC es que esta echo implementado en opendmarc que se agrega como el filtro mas en el postfix, sin embargo el mail esta tan viejo que no soporta apt-get (bueno, soporta pero... hay que buscar un repositorio viejo ya que el de mail esta obsoleto osea 404 not found, y además de eso nos arriesgamos a brickear el server!!!!)

El server de mail ahora tiene bien el DKIM y el SPF

https://www.skelleton.net/2015/03/21/how-to-eliminate-spam-and-protect-your-name-with-dmarc/
Comment 1 Guillermo Reisch 2017-07-02 21:17:26 -03 
Cuando implemente DKIM también pensé que no lo soportaba el servidor ; pero ya estaba implementado por amavis, capas con algo de suerte DMARC esta implementado por alguna cosa (amavis??) y no esta configurado.... (con algo de suerte...)
Comment 2 Guillermo Reisch 2017-07-03 21:08:14 -03 
Bueno.... iva a quedar HOY pero no va a ser.... Sori.

DMARC es una política de decirle a los otros servidores (otros MX) que hacer con los correos que machean o no ciertas policicas nuestras ; por ejemplo:
 Pol1: Avisame si te cae un mail que es SPAM ;
 Pol2: Descarta todos los correos que no están firmados ; 
 Pol3: Rechaza los correos que te lleguen de algún servidor q no esta en SPF
 Pol4: Avisame todo a ceti@fenf.edu.uy,
 Pol5: ETC.....

Por lo visto DMARC necesita que los correos estén bien etiquetados ; esto es que antes de pasar a DMARC tiene que pasar por todos los filtros Y luego pasa por DMARC y este hace lo que le diga el registro TXT DMARC del servidor de donde viene.

Ejemplo:
 1) Google nos manda un correo.... ej: Andres@gmail.com => ceti@fenf.edu.uy
 2) Chequeamos el DKIM
  2.1) Get registro DNS!! dig TXT nombre_clave._domaninkey.gmail.com
  2.2) Chequeo el mail pasa o no el DKIM!
  2.3) Grabamos resultado en cabezalez del correo!
 3) Chequeamos el SPF
  2.1) Get registro DNS!! dig TXT gmail.com
  2.2) Chequeo el mail fue enviado de un servidor que esta en SPF!
  2.3) Grabamos resultado en cabezalez del correo!
 4) Chequeamos el DMARC!
  4.1) obtenemos registro DNS con politicas de google sobre sus correos!!
  4.2) gid TXT _dmarc.gmail.com !!!!
  4.3) procesamos las reglas google
  4.4) ¿se descarta? ¿se Bounce? ¿mando mail informado?
  4.5) llega el correo! :-) (o no....)

Osea es un pe.o ya que primero se procesa el DKIM y el SPF y luego a razón de eso se procesa el DMARC. A su vez nosotros también debemos informar nuestras políticas usando DNS a los otros servidores para que sepan que hacer con nuestros correos.

Bueno.... Hay que hacerlo!!!!! Pero... primero tiene que andar de vuelo el SPF y el DKIM! El DKIM lo implementa AMAVIS ; que esta enviando mensajes firmados con DKIM y también esta chequeando que los mensajes recibidos con DKIM estén bien firmados y grabando el resultado en los cabezales...

PERO NO EL SPF!!! El SPF esta publicado en los registros DNS pero nosotros no estamos chequeando el SPF de los correos recibidos por lo que NO SE PUEDE IMPLEMENTAR DMARC si no se graba en los cabezales el resultado de SPF de los correos entrantes :-S

Creo bug.... SPF correo entrante
Comment 3 Guillermo Reisch 2017-07-05 15:34:29 -03 
Me falto comentar que el LUNES quedo pedido el registro DNS del DMARC a SeCIU
Comment 4 Gonzalo Cabrera 2020-03-18 13:26:49 -03 
se pidio el registro dmarc

_dmarc.fenf.edu.uy. IN  TXT   v=DMARC1; p=none; rua=mailto:spam@fenf.edu.uy; adkim=r; aspf=r; rf=afrf

al quedar implementado los correos comenzaron a dar pass para dmarc

Cierro