Archive for the ‘Вести с полей’ Category.

Synology Mail Server 550 5.7.0 bad DKIM signature data

Сотрудники пожаловались, что от некоторых клиентов не приходит почта. Она не приходит даже в том случае, если в список разрешенных добавить домен отправителя или даже ip адрес почтового сервера отправителя. Выяснилось, что все эти клиенты используют используют Microsoft Outlook Всем этим клиентам письма возвращались с пометкой 550 5.7.0 bad DKIM signature data. Диагностика по логам выявила ошибку проверки подписи DKIM.

Проблема с Microsoft Outlook достаточно известная, но не будешь же убеждать каждого такого клиента пересаживаться на другой почтовый софт. Таким образом, решать задачу предстоит на стороне сервера. Приступим:

  1. Необходимо подключиться к Synology по SSH с правами администратора.
  2. Открываем файл @appstore/MailServer/etc/template/opendkim.template
  3. Ищем в нем параметр On-BadSignature. Он находится обычно в 383 строке или где-то рядом
  4. Заменяем On-BadSignature reject на On-BadSignature accept
  5. Перезапускаем почтовый сервер

Что мы сделали? Фактически мы разрешили принимать сообщения с неправильной подписью DKIM. Да, разрешение всего это действа несколько противоречит самой идее DKIM, но нам необходимо принимать письма, продолжая при этом подписывать свои. Если выключить проверку подлинности по DKIM в настройках безопасности, то наш сервер перестанет подписывать наши письма, что приведет к ухудшению доставляемости уже наших писем.

В результате произведенных манипуляций все письма от Microsoft Outlook проходят успешно.

А вот что говорит про параметр On-BadSignature документация по Opendkim

On-BadSignature (строка)
Выбор действия, которое будет выполнено в случае, если подпись не прошла проверку. Возможные значения (с сокращенными формами в скобках):

  1. accept (a) — принять сообщение;
  2. discard (d) — отклонить сообщение;
  3. quarantine (q) — поместить сообщение в карантин;
  4. reject (r) — отклонить сообщение;
  5. tempfail (t) — временно отклонить сообщение. Обратите внимание, что флаг «t» (тестирование) в ключе DKIM обходит это ограничение. Неверная подпись, ссылающаяся на флаг тестирования, всё равно будет доставлена, хотя в добавленном поле «Результаты аутентификации» будет указан как неудачный результат, так и режим тестирования, чтобы получатели сообщения могли принять соответствующие меры.

Почтовый сервер и DNS

Не пост, а скорее заметка самому себе… Если почтовый сервер стоит за роутером с NAT, то в качестве сервера DNS указывать адрес роутера — плохая идея.

В какой-то момент я стал замечать, что все больше почты проходит через запасной почтовик, а не через основной. Пошел смотреть логи postfix и увидел, что очень много писем отклоняются сервером при проверке SPF с ошибкой Policy action=DEFER_IF_PERMIT SPF-Result=mail.xxxxxxx.ru: ‘SERVFAIL’ error on DNS ‘TXT’ lookup. Из чего следует, что сервер отказывается принять письмо, потому что не смог спросить запись SPF у DNS сервера, обслуживающего mail.xxxxxxx.ru. Диагностика по ssh подтвердила проблему. Несмотря на то, что nslookup отдает ip адрес mail.xxxxxxx.ru, далее следует все та же SERVFAIL. Стоило прописать почтовому серверу в качестве DNS не адрес роутера, а реальные адреса DNS серверов, как ошибки улетучились и вся почта пошла на основной сервер.

Weissgauff BDW 4124 непонятная ошибка.

 

Не так давно разорвало у меня на кухне счетчик горячей воды. После ликвидации последствий посудомойка Weissgauff BDW 4124 вдруг начала придуриваться. В сети я никакой информации по поводу этой ошибки не нашел. Так вот, эта ошибка значит, что у машины в поддоне вода. Weissgauff BDW 4124 имеет полную защиту от протечек, которая выглядит как пенопластовый поплавок, замыкающий микропереключатель. Достаточно даже небольшого количества воды в поддоне, чтобы эта защита сработала. 

Чтобы исправить ошибку нужно вытащить машину, отключить от электросети и шлангов, снять боковую стенку и, аккуратно наколоняя, вылить воду из поддона. Я снимал правую крышку, хотя, мне кажется, нет разницы какую откручивать. Дел на 10 минут и вызова мастера из сервиса вообще-то не требует. Я вызывал, потому что не знал ничего об устройстве посудомоек. Теперь немного знаю, чем и делюсь с вами.

Яндекс станция мини.

Подарили детям такое вот забавное устройство. Поселилась на кухне. Замечательный девайс. Обзоров хватает в сети, так что коротенький видосик и привет :) 

Микротик. Только для России

Возникла необходимость сделать так, чтобы к роутеру Микротик могли подключаться только с российских ip адресов. Поскольку из коробки подобного не реализовано, то приходится мудрить.

Собственно, решение лежит на поверхности, — просто использовать файрволл с соответствующим правилом и адресный лист, содержащий список российских сетей.

Правило, я думаю, напишите сами, а вот готовым адресным листом могу поделиться.

Забирать скрипт создания листа можно здесь

Давненько…

… Ничего не постил. Однако и не сидел без дела. За это время Я не только познакомился с технологией DMR, обзавелся некоторым новым оборудованием, но и поучаствовал в создании DMR-репитера. Но обо всем по порядку в постах ниже.

Проброс портов SNR-CPE-ME1

Собственно, почему об этом пишу. Процедура проброса портов достаточно описана в соотвествующих руководствах. Однако бывает, что все сделано правильно, но доступа к ресурсу из локальной сети нет, только извне. А тем не менее проблема решается очень просто. Всего то нужно зайти в Сервисы — Разное — Механизм обработки и сменить режим обработки NAT на «Аппратаный». После этого ресурс виден как из локальной, так и из внешних сетей.

Патронташ на ЗД принтере

Напечатал держатель для патронов. отличная вещь получилась.

IMG_20180305_121241IMG_20180305_121345

Первая печать

Tevo Tarantula

Приехал поименованый принтер в пятницу занимался сборкой. Интереснейшая задача. Собрал процентов на 70. Получил удовольствие.