Snažil jsem se dnes zprovoznit přihlašování mailem, ale zjistil jsem, že mi nechodí žádné ověřovací kódy. Pohled do logů mail serveru odhalil následující:
Aug 22 08:23:02 courierfilter[273989]: zdkimfilter[468800]:ip=69.169.224.17: reject! invalid domain idp.vodafone.com
Tedy jinými slovy, doména idp.vodafone.com, ze které se maily s kódem odesílají, nemá žádný AAAA ani A záznam a každý rozumný mail server, který nemá rád spam, takové zprávy okamžitě odmítne. Jednoduchý test pomocí veřejných DNS Googlu:
dig idp.vodafone.com @2001:4860:4860::8888 AAAA
dig idp.vodafone.com @2001:4860:4860::8888 A
V obou případech dostaneme odpověď, že se jedná o CNAME na nc2x3m3.impervadns.net. Pátrejme dál:
dig nc2x3m3.impervadns.net @2001:4860:4860::8888 AAAA
dig nc2x3m3.impervadns.net @2001:4860:4860::8888 A
Tady↑ vidíme slepou uličku. Momentálně tam není žádná odpověď, jen „authority“.
Cílem mail serverů je obvykle ověřit, že (a) doména, za kterou se protistrana vydává, se dá skrz DNS resolvovat na IP adresu protistrany, a/nebo (b) že ADSP záznamy domény alespoň umožňují příslušné IP adrese odesílat z domény maily. Inu, zkusme tedy na chvíli přestat trvat na existenci domény idp.vodafone.com, jen pro zajímavost, co se stane pak:
Aug 22 08:27:27 courierfilter[469271]: zdkimfilter[469314]:ip=69.169.224.13: reject! ADSP policy=all fail for idp.vodafone.com
To už je jen důsledek předchozího. Mail server totiž zkouší, když dostane NXDOMAIN, jestli se náhodou nedá nalézt kousek shovívavosti. Například kdyby náhodou SPF, ADSP nebo DMARC umožňovaly zprávu přijmout. Jenže důvod k přijetí zprávy nelze nalézt, protože nic z následujícího nevrací výsledky:
dig nc2x3m3.impervadns.net @2001:4860:4860::8888 TXT
dig _dmarc.nc2x3m3.impervadns.net @2001:4860:4860::8888 TXT
dig _adsp._domainkey.nc2x3m3.impervadns.net @2001:4860:4860::8888 TXT
dig idp.vodafone.com @2001:4860:4860::8888 TXT
dig _dmarc.idp.vodafone.com @2001:4860:4860::8888 TXT
dig _adsp._domainkey.idp.vodafone.com @2001:4860:4860::8888 TXT
Překvapuje mě, že ještě není plný web stížností na ztráty mailů od Vodafone, když je mailový systém takto rozbitý.
Bylo by fajn zajistit, aby doména idp.vodafone.com alespoň existovala. Jinak se budou dál ztrácet spousty mailů, které (z pohledu příjemce) vypadají jako spam z open relay.