Bug 2117 - Implementar DMARC
Summary: Implementar DMARC
Status: RESOLVED FIXED
Alias: None
Product: Solo UInf [ uso exclusivo de UInf ]
Classification: Unclassified
Component: General (show other bugs)
Version: 1.0
Hardware: PC, Torre o Portatil No sabe/ No Corresponde
: Normal normal
Assignee: Guillermo Reisch
URL:
Depends on: 2121
Blocks: 2088
  Show dependency treegraph
 
Reported: 2017-07-02 21:13 -03 by Guillermo Reisch
Modified: 2020-03-18 13:26 -03 (History)
2 users (show)

See Also:
Local: Mejoras a futuro
Dep/Cat: UInf - Servidores(exCETI)
Dep/Cat: ---
Dep/Cat: ---


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Guillermo Reisch 2017-07-02 21:13:44 -03
Eso... implemetar DMARC en el servidor de correos.

El server esta viejito ; pero igual capas tiene pa instalar DMARC.
El tema de DMARC es que esta echo implementado en opendmarc que se agrega como el filtro mas en el postfix, sin embargo el mail esta tan viejo que no soporta apt-get (bueno, soporta pero... hay que buscar un repositorio viejo ya que el de mail esta obsoleto osea 404 not found, y además de eso nos arriesgamos a brickear el server!!!!)

El server de mail ahora tiene bien el DKIM y el SPF

https://www.skelleton.net/2015/03/21/how-to-eliminate-spam-and-protect-your-name-with-dmarc/
Comment 1 Guillermo Reisch 2017-07-02 21:17:26 -03
Cuando implemente DKIM también pensé que no lo soportaba el servidor ; pero ya estaba implementado por amavis, capas con algo de suerte DMARC esta implementado por alguna cosa (amavis??) y no esta configurado.... (con algo de suerte...)
Comment 2 Guillermo Reisch 2017-07-03 21:08:14 -03
Bueno.... iva a quedar HOY pero no va a ser.... Sori.

DMARC es una política de decirle a los otros servidores (otros MX) que hacer con los correos que machean o no ciertas policicas nuestras ; por ejemplo:
 Pol1: Avisame si te cae un mail que es SPAM ;
 Pol2: Descarta todos los correos que no están firmados ; 
 Pol3: Rechaza los correos que te lleguen de algún servidor q no esta en SPF
 Pol4: Avisame todo a ceti@fenf.edu.uy,
 Pol5: ETC.....

Por lo visto DMARC necesita que los correos estén bien etiquetados ; esto es que antes de pasar a DMARC tiene que pasar por todos los filtros Y luego pasa por DMARC y este hace lo que le diga el registro TXT DMARC del servidor de donde viene.

Ejemplo:
 1) Google nos manda un correo.... ej: Andres@gmail.com => ceti@fenf.edu.uy
 2) Chequeamos el DKIM
  2.1) Get registro DNS!! dig TXT nombre_clave._domaninkey.gmail.com
  2.2) Chequeo el mail pasa o no el DKIM!
  2.3) Grabamos resultado en cabezalez del correo!
 3) Chequeamos el SPF
  2.1) Get registro DNS!! dig TXT gmail.com
  2.2) Chequeo el mail fue enviado de un servidor que esta en SPF!
  2.3) Grabamos resultado en cabezalez del correo!
 4) Chequeamos el DMARC!
  4.1) obtenemos registro DNS con politicas de google sobre sus correos!!
  4.2) gid TXT _dmarc.gmail.com !!!!
  4.3) procesamos las reglas google
  4.4) ¿se descarta? ¿se Bounce? ¿mando mail informado?
  4.5) llega el correo! :-) (o no....)

Osea es un pe.o ya que primero se procesa el DKIM y el SPF y luego a razón de eso se procesa el DMARC. A su vez nosotros también debemos informar nuestras políticas usando DNS a los otros servidores para que sepan que hacer con nuestros correos.

Bueno.... Hay que hacerlo!!!!! Pero... primero tiene que andar de vuelo el SPF y el DKIM! El DKIM lo implementa AMAVIS ; que esta enviando mensajes firmados con DKIM y también esta chequeando que los mensajes recibidos con DKIM estén bien firmados y grabando el resultado en los cabezales...

PERO NO EL SPF!!! El SPF esta publicado en los registros DNS pero nosotros no estamos chequeando el SPF de los correos recibidos por lo que NO SE PUEDE IMPLEMENTAR DMARC si no se graba en los cabezales el resultado de SPF de los correos entrantes :-S

Creo bug.... SPF correo entrante
Comment 3 Guillermo Reisch 2017-07-05 15:34:29 -03
Me falto comentar que el LUNES quedo pedido el registro DNS del DMARC a SeCIU
Comment 4 Gonzalo Cabrera 2020-03-18 13:26:49 -03
se pidio el registro dmarc

_dmarc.fenf.edu.uy. IN  TXT   v=DMARC1; p=none; rua=mailto:spam@fenf.edu.uy; adkim=r; aspf=r; rf=afrf

al quedar implementado los correos comenzaron a dar pass para dmarc

Cierro