Jump to content

Maily z rozbité domény idp.vodafone.com se ztrácí


andrej

Recommended Posts

Snažil jsem se dnes zprovoznit přihlašování mailem, ale zjistil jsem, že mi nechodí žádné ověřovací kódy. Pohled do logů mail serveru odhalil následující:

Aug 22 08:23:02 courierfilter[273989]: zdkimfilter[468800]:ip=69.169.224.17: reject! invalid domain idp.vodafone.com

Tedy jinými slovy, doména idp.vodafone.com, ze které se maily s kódem odesílají, nemá žádný AAAA ani A záznam a každý rozumný mail server, který nemá rád spam, takové zprávy okamžitě odmítne. Jednoduchý test pomocí veřejných DNS Googlu:

dig idp.vodafone.com @2001:4860:4860::8888 AAAA
dig idp.vodafone.com @2001:4860:4860::8888 A

V obou případech dostaneme odpověď, že se jedná o CNAME na nc2x3m3.impervadns.net. Pátrejme dál:

dig nc2x3m3.impervadns.net @2001:4860:4860::8888 AAAA
dig nc2x3m3.impervadns.net @2001:4860:4860::8888 A

Tady↑ vidíme slepou uličku. Momentálně tam není žádná odpověď, jen „authority“.

Cílem mail serverů je obvykle ověřit, že (a) doména, za kterou se protistrana vydává, se dá skrz DNS resolvovat na IP adresu protistrany, a/nebo (b) že ADSP záznamy domény alespoň umožňují příslušné IP adrese odesílat z domény maily. Inu, zkusme tedy na chvíli přestat trvat na existenci domény idp.vodafone.com, jen pro zajímavost, co se stane pak:

Aug 22 08:27:27 courierfilter[469271]: zdkimfilter[469314]:ip=69.169.224.13: reject! ADSP policy=all fail for idp.vodafone.com

To už je jen důsledek předchozího. Mail server totiž zkouší, když dostane NXDOMAIN, jestli se náhodou nedá nalézt kousek shovívavosti. Například kdyby náhodou SPF, ADSP nebo DMARC umožňovaly zprávu přijmout. Jenže důvod k přijetí zprávy nelze nalézt, protože nic z následujícího nevrací výsledky:

dig nc2x3m3.impervadns.net @2001:4860:4860::8888 TXT
dig _dmarc.nc2x3m3.impervadns.net @2001:4860:4860::8888 TXT
dig _adsp._domainkey.nc2x3m3.impervadns.net @2001:4860:4860::8888 TXT

dig idp.vodafone.com @2001:4860:4860::8888 TXT
dig _dmarc.idp.vodafone.com @2001:4860:4860::8888 TXT
dig _adsp._domainkey.idp.vodafone.com @2001:4860:4860::8888 TXT

Překvapuje mě, že ještě není plný web stížností na ztráty mailů od Vodafone, když je mailový systém takto rozbitý.

Bylo by fajn zajistit, aby doména idp.vodafone.com alespoň existovala. Jinak se budou dál ztrácet spousty mailů, které (z pohledu příjemce) vypadají jako spam z open relay.

  • Agree 1
  • -
  • -
  • -
  • -
  • Praha
Link to comment
Share on other sites

  • 4 weeks later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...