題 MS Exchange在郵件重定向期間中斷DKIM


(由於SO垃圾郵件過濾器的問題,一些名稱被替換)

背景: 我們有一個小型服務器(大約50個用戶,在下面的日誌中引用為metalab.ifmoru),我們允許重定向到外部服務,例如gmailcom。儘管如此,我們還是使用了兩台服務器的設置:Edge(直接連接到Internet)和郵箱(防火牆後面)使用Microsoft Exchange 2013.我們有正確的SPF和DKIM記錄,郵件測試員的得分為10分10。對於現實生活中的情況,外向交貨很好,沒有報告,除了......

問題: 一些外部發件人(下面的日誌中的mailru,此列表中的Yahoo也使用嚴格的DMARC策略)通過我們的服務器重定向被拒絕,並出現如下典型錯誤消息:

mx.google.com會返回錯誤消息:

由於域名的DMARC政策,不接受來自mailru的未經身份驗證的電子郵件。如果這是合法郵件,請聯繫mailru域管理員。請拜訪 切斷谷歌的一些鏈接 了解DMARC倡議。 62si7948506lfu.198 - gsmtp

調查: 根據dmarc.org的定義

DMARC策略允許發送方指示其消息受SPF和/或DKIM保護,並告知接收方如果這些認證方法都沒有通過該做什麼 - 例如垃圾或拒絕該消息。

要再次檢查SPF和DKIM,我會向我的Google收件箱發送郵件。看起來很好,他們都有:

Authentication-Results: mx.google.com;
       dkim=pass header.i=@metalab.ifmoru;
       spf=pass (google.com: domain of XXXXXXX@metalab.ifmoru designates 77.234.203.179 as permitted sender) smtp.mailfrom=XXXXXXXX@metalab.ifmoru;
       dmarc=pass (p=NONE dis=NONE) header.from=metalab.ifmoru

好的,我們檢查一下 重定向消息的標題 來自其他服務器,沒有嚴格的DMARC政策。有時如果看起來也很好:

Received-SPF: pass (google.com: domain of noreply@github.com designates 192.30.252.199 as permitted sender) client-ip=192.30.252.199;
Authentication-Results: mx.google.com;
       dkim=pass (test mode) header.i=@github.com;
       spf=pass (google.com: domain of noreply@github.com designates 192.30.252.199 as permitted sender) smtp.mailfrom=noreply@github.com;
       dmarc=pass (p=NONE dis=NONE) header.from=github.com

但是,有時它 失敗 由於DKIM部分:

Authentication-Results: mx.google.com;
       dkim=pass header.i=@metalab.ifmoru;
       dkim=neutral (body hash did not verify) header.i=@gmailcom;
       spf=pass (google.com: domain of XXXXXXXXXX@metalab.ifmoru designates 77.234.203.179 as permitted sender) smtp.mailfrom=XXXXXXXXXXXX@metalab.ifmoru;
       dmarc=fail (p=NONE dis=NONE) header.from=gmailcom

實驗:

1)安裝程序從我們的服務器(metalab.ifmoru)重定向到谷歌到gmailcom

2)設置重定向到谷歌從Zimbra服務器(一些其他地址)到gmailcom

3)從mailru發送一封帶有上述地址的單一信件 From 領域。

結果: 通過我們的服務器重定向被拒絕,重定向傳遞Zimbra很好。在檢查SMTP標頭時,我在Zimbra服務器的收件箱中找到了相同的標題塊2)Zimbra服務器上的消息3)來自Zimbra的重定向消息。這裡是:

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mailru; s=mail2;
    h=References:In-Reply-To:Content-Type:Message-ID:Reply-To:Date:MIME-Version:Subject:Cc:To:From; bh=rZNB __cut__ znAs=;
    b=pIZR __cut__ A8aE=;
Received: from [84.204.20.115] (ident=mail)
    by f96.i.mailru with local (envelope-from <XXXXXXXXX@mailru>)
    id 1byY2P-0005Ep-6D; Mon, 24 Oct 2016 08:43:09 +0300
Received: from [84.204.20.115] by e.mailru with HTTP;
    Mon, 24 Oct 2016 08:43:09 +0300
From: =?UTF-8? __cut__ 0=?= <XXXXXXXXXXXXX@mailru>
To: =?UTF-8? __cut__ =?= <XXXXXXXXXXXXX@metalab.ifmoru>
Cc: =?UTF-8? __cut__ =?= <XXXXXXXXXXXXX@corp.ifmoru>
Subject: =?UTF-8 __cut__ =?=
MIME-Version: 1.0
X-Mailer: mailru Mailer 1.0
X-Originating-IP: [84.204.20.115]
Date: Mon, 24 Oct 2016 08:43:09 +0300
Reply-To: =?UTF-8?B?0JDQudGA0Y0=?= <XXXXXXXXXXXXX@mailru>
X-Priority: 3 (Normal)
Message-ID: <147 __cut__ 947@f96.i.mailru>
Content-Type: multipart/alternative;
    boundary="--ALT--biYZ __cut__ 7789"
X-95568C8E: 26815A __cut__ 65AEC6
X-E1FCDC63: 1787D815 __cut__ 84B93
X-E1FCDC64: FAAF71 __cut__ 93F4C0D9
X-Mailru-Sender: D211C __cut__ DD1EA8939684724DAF05A372A3159
X-Mras: OK
X-Spam: undefined
In-Reply-To: <CADQB __cut__ u2f3A@mail.gmailcom>
References: <CADQ __cut__ 3A@mail.gmailcom>

至於被拒絕的消息,同一部分看起來非常不同 - 順序被改變,一些標題條紋UTF-8,一些轉向koi-8編碼,x標籤拼寫從Camel-Case改為降低等等:

From: =?koi8-r? __cut__ =?= <XXXXXXXXXXXXX@mailru>
To: Kon __cut__ nko <XXXXXXXXXXXXX@metalab.ifmoru>
CC: Kon __cut__ nko <XXXXXXXXXXXXX@corp.ifmoru>
Subject: =?koi8-r? __cut__ ?=
Thread-Topic: =?koi8-r?B __cut__ ?=
Thread-Index: AQHSLb __cut__ 65w==
Date: Mon, 24 Oct 2016 05:43:09 +0000
Message-ID: <0c14 __cut__ c21@post.metalab.ifmoru>
References: <CADQB __cut__ 2f3A@mail.gmailcom>
In-Reply-To: <CADQB __cut__ 2f3A@mail.gmailcom>
Reply-To: =?koi8-r? __cut__ ==?= <XXXXXXXXXXXXX@mailru>
X-MS-Has-Attach:
X-MS-Exchange-Inbox-Rules-Loop: XXXXXXXXXXXXX@metalab.ifmoru
X-MS-TNEF-Correlator:
dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=mailru;
 s=mail2;
   h=References:In-Reply-To:Content-Type:Message-ID:Reply-To:Date:MIME-Version:Subject:Cc:To:From;
 bh=rZNBy4 __cut__ nAs=;
      b=pIZRm8 __cut__ IA8aE=;
x-mailer: mailru Mailer 1.0
x-originating-ip: [84.204.20.115]
authentication-results: f96.i.mailru; auth=pass smtp.auth=XXXXXXXXXXXXX@mailru
 smtp.mailfrom=XXXXXXXXXXXXX@mailru
x-95568c8e: 26815 __cut__ 5AEC6
x-e1fcdc63: 1787 __cut__ 4B93
x-e1fcdc64: FAA __cut__ C0D9
x-mailru-sender: D2 __cut__ 3159
x-mras: OK
x-spam: undefined

看起來MS Exchange通過重寫標頭來打破DKIM。所以 該 題 是:如何通過MS Echange重定向期間保留標題不被重寫?

初步嘗試:

1)發件人的DKIM簽名在Exchange Server 2013環境中被破壞,CU6應該解決問題。沒有幫助。目前使用CU9。

2)添加 ms-Exch-Send-Headers-Routing 發送連接器。它控制消息中RECEIVED標頭的保留。沒有幫助。

檢查:

PS C:\Windows\system32> Get-SendConnector  | Get-ADPermission | where {$_.ExtendedRights -like "*routing*"} | fl user, extendedrights

添加鏈接 沒有聲望發布。搜索關鍵字

  • 標頭防火牆Exchange 2013
  • 如何從Exchange中的標頭中刪除內部路由信息
  • Exchange 2013:應用標頭防火牆
  • 使用Exchange Server重寫頭
  • 邊緣傳輸服務器上的地址重寫

3
2017-10-27 11:43


起源




答案: