Сотрудники пожаловались, что от некоторых клиентов не приходит почта. Она не приходит даже в том случае, если в список разрешенных добавить домен отправителя или даже ip адрес почтового сервера отправителя. Выяснилось, что все эти клиенты используют используют Microsoft Outlook Всем этим клиентам письма возвращались с пометкой 550 5.7.0 bad DKIM signature data. Диагностика по логам выявила ошибку проверки подписи DKIM.
Проблема с Microsoft Outlook достаточно известная, но не будешь же убеждать каждого такого клиента пересаживаться на другой почтовый софт. Таким образом, решать задачу предстоит на стороне сервера. Приступим:
Необходимо подключиться к Synology по SSH с правами администратора.
Ищем в нем параметр On-BadSignature. Он находится обычно в 383 строке или где-то рядом
Заменяем On-BadSignature reject на On-BadSignature accept
Перезапускаем почтовый сервер
Что мы сделали? Фактически мы разрешили принимать сообщения с неправильной подписью DKIM. Да, разрешение всего это действа несколько противоречит самой идее DKIM, но нам необходимо принимать письма, продолжая при этом подписывать свои. Если выключить проверку подлинности по DKIM в настройках безопасности, то наш сервер перестанет подписывать наши письма, что приведет к ухудшению доставляемости уже наших писем.
В результате произведенных манипуляций все письма от Microsoft Outlook проходят успешно.
On-BadSignature (строка) Выбор действия, которое будет выполнено в случае, если подпись не прошла проверку. Возможные значения (с сокращенными формами в скобках):
accept (a) — принять сообщение;
discard (d) — отклонить сообщение;
quarantine (q) — поместить сообщение в карантин;
reject (r) — отклонить сообщение;
tempfail (t) — временно отклонить сообщение. Обратите внимание, что флаг «t» (тестирование) в ключе DKIM обходит это ограничение. Неверная подпись, ссылающаяся на флаг тестирования, всё равно будет доставлена, хотя в добавленном поле «Результаты аутентификации» будет указан как неудачный результат, так и режим тестирования, чтобы получатели сообщения могли принять соответствующие меры.
Category: Вести с полей · Комментарии к записи Synology Mail Server 550 5.7.0 bad DKIM signature data отключены
Не пост, а скорее заметка самому себе… Если почтовый сервер стоит за роутером с NAT, то в качестве сервера DNS указывать адрес роутера — плохая идея.
В какой-то момент я стал замечать, что все больше почты проходит через запасной почтовик, а не через основной. Пошел смотреть логи postfix и увидел, что очень много писем отклоняются сервером при проверке SPF с ошибкой Policy action=DEFER_IF_PERMIT SPF-Result=mail.xxxxxxx.ru: ‘SERVFAIL’ error on DNS ‘TXT’ lookup. Из чего следует, что сервер отказывается принять письмо, потому что не смог спросить запись SPF у DNS сервера, обслуживающего mail.xxxxxxx.ru. Диагностика по ssh подтвердила проблему. Несмотря на то, что nslookup отдает ip адрес mail.xxxxxxx.ru, далее следует все та же SERVFAIL. Стоило прописать почтовому серверу в качестве DNS не адрес роутера, а реальные адреса DNS серверов, как ошибки улетучились и вся почта пошла на основной сервер.
Не так давно разорвало у меня на кухне счетчик горячей воды. После ликвидации последствий посудомойка Weissgauff BDW 4124 вдруг начала придуриваться. В сети я никакой информации по поводу этой ошибки не нашел. Так вот, эта ошибка значит, что у машины в поддоне вода. Weissgauff BDW 4124 имеет полную защиту от протечек, которая выглядит как пенопластовый поплавок, замыкающий микропереключатель. Достаточно даже небольшого количества воды в поддоне, чтобы эта защита сработала.
Чтобы исправить ошибку нужно вытащить машину, отключить от электросети и шлангов, снять боковую стенку и, аккуратно наколоняя, вылить воду из поддона. Я снимал правую крышку, хотя, мне кажется, нет разницы какую откручивать. Дел на 10 минут и вызова мастера из сервиса вообще-то не требует. Я вызывал, потому что не знал ничего об устройстве посудомоек. Теперь немного знаю, чем и делюсь с вами.
Category: Вести с полей, Проверено лично · Комментарии к записи Weissgauff BDW 4124 непонятная ошибка. отключены
Подарили детям такое вот забавное устройство. Поселилась на кухне. Замечательный девайс. Обзоров хватает в сети, так что коротенький видосик и привет :)
Category: Вести с полей · Комментарии к записи Яндекс станция мини. отключены
Возникла необходимость сделать так, чтобы к роутеру Микротик могли подключаться только с российских ip адресов. Поскольку из коробки подобного не реализовано, то приходится мудрить.
Собственно, решение лежит на поверхности, — просто использовать файрволл с соответствующим правилом и адресный лист, содержащий список российских сетей.
Правило, я думаю, напишите сами, а вот готовым адресным листом могу поделиться.
… Ничего не постил. Однако и не сидел без дела. За это время Я не только познакомился с технологией DMR, обзавелся некоторым новым оборудованием, но и поучаствовал в создании DMR-репитера. Но обо всем по порядку в постах ниже.
Category: Вести с полей · Комментарии к записи Давненько… отключены
Собственно, почему об этом пишу. Процедура проброса портов достаточно описана в соотвествующих руководствах. Однако бывает, что все сделано правильно, но доступа к ресурсу из локальной сети нет, только извне. А тем не менее проблема решается очень просто. Всего то нужно зайти в Сервисы — Разное — Механизм обработки и сменить режим обработки NAT на «Аппратаный». После этого ресурс виден как из локальной, так и из внешних сетей.
Category: Вести с полей, Строим сеть · Комментарии к записи Проброс портов SNR-CPE-ME1 отключены
