Как настроить BitrixEnv/BitrixVM(6 и 7) отсылать почту напрямую без авторизации на промежуточных почтовых серверах

Олег Шамаев в хидерах судя по всему как раз все окей, посмотрим чего завтра в письме будет.

Олег Шамаев у яндекса тоже все красиво показывает, spf pass dkim pass, X-Yandex-Spam: 1.
В общем гугл такой гугл, думаю тут ничего не поделать. А возможно проблема в том, что у основного разработчика сервиса почта быды на gmail и в процессе тестирования туда писем приходили тысячи, а было это еще до настройки dkim.

В общем есть такая проблема, на письмах со статистикой сайта такая вот беда http://joxi.ru/Dr8njN5UoEV626 на остальных письмах с сайта все в норме, в этой теме коллега выявил зависимость от размера письма http://dev.1c-bitrix.ru/community/for...opic69648/ совершенно не понятно в чем дело.

Все настроил, почта на YANDEX вообще не приходит, даже в спам!!!
На google приходит в спам.

Вот тело письма, которое пришло на google:

Логи exim при посылке Yandex:

Куда капать??

Подскажите как отключить или настроить ip6.

Кстати, в спам шло из тестового скрипта (тупо функция mail с парой слов), и они пришли через 20 минут. Когда прописал все заголовки, и добавил больше текста или отправлял непосредственно из битрикса все стало приходить моментально и не в спам!!!

Спасибо вам!

Подскажите, для чего вообще нужна реверс зона, как её настроить без ПУ на сервере, через терминал? И нужна ли она вообще, если моя строка имеет вид, как предлагает яндекс: v=spf1 ip4:62.213.---.--- include:_spf.yandex.net ~all? И что будет, если я ограничусь лишь этими настройками, а настройки МТА оставлю как есть?

Подскажите, пож-та, может имя хоста быть не доменом, а просто словом? Если на сервере несколько сайтов с разными доменами, то все равно нужно какой-то один указать, а как же тогда другие сайты?

Шамаев Олег, Если я укажу домен одного из сайтов, то письма от него не будут попадать в спам, а письма с других сайтов получается будут, т.к. домен отправителя и домен сервера будут не совпадать. Как решить данную проблему?

Шамаев Олег, то есть, если например адрес сервера будет "server.ru", то для сайта site.ru нужно прописать "v=spf1 a:server.ru include:_spf.yandex.ru ~all" ?

спасибо, попробуем. Надеюсь, изменение хоста прямо в файле /etc/sysconfig/network сработает нормально...

Шамаев Олег, а еще вопрос: в файле /etc/sysconfig/network стоит NETWORKING_IPV6=yes.
Не нужно ли его отключить?

Шамаев Олег, Спасибо, почта теперь работает, в спам не попадает, но появилась новая задача: сервер не отправляет почту на адреса того домена, который совпадает с адресом хоста. То есть заказ интернет магазина не приходит на емайл магазина.
Я как-то давно сталкивался с аналогичной проблемой, но решение не могу пока найти (вроде как сервер считает, что если домен совпадает, то почту можно отослать по локалке и не отсылает...).

надо же, решение нашел очень быстро: в файле /etc/exim/exim.conf в primary_hostname пишем не просто адрес_хоста.ru, а mail.адрес_хоста.ru и письма подписанными остаются и сервер как бы другой получается и поэтому почта отсылается не локально.

Доброго времени суток. Скажите у вас @ и srv01 это один и тот же ip?  

А предполагается что файл /etc/php.d/z_bx_custom_settings.ini уже есть, или он создается заново? В  моей версии (5.1.3) окружения битрикс этого файла нет  

Олег, большое спасибо за сватью и ответы, теперь наши письма приходят пользователям на gmail. И еще один вопрос. Столкнулся с следующим поведением системы, если у почтового шаблона установить адрес скрытой копии, то письма не уходят ни получателю ни на адрес скрытой копии. В чем может быть дело ?

Странно, но если в шаблоне есть скрытая копия то запись в это лог не происходит. Если скрытой копии нет, то в журнале вот такие записи

А как задать алиас для root@amerikon.ru ?

Спасибо. И еще один вопрос. Заметил что у одних почтовых шаблонов в заголовках есть DKIM-Signature, а у других нет, от чего это зависит ? Причем настройка заголовков потовых шаблонов не отличается.

Сайт один, и в обоих шаблонах в поле от Кого стоит #DEFAULT_EMAIL_FROM#. Но одно письмо с подписью другое без. Теряюсь в догадках в чем может быть причина.

Олег, на виртуалке с множеством доменов Ваша схема проверялась - работает?

С проверкой PTR всё ясно - проверяется по домену хосту отправителя.
Я так понимаю SPF тоже настраивается для домена хоста отправителя (в вашем случае  srv01.naturbine.ru), а не домена сайта отправителя письма?
Т.е. например хост-домен это 1delo.ru (DNS и прямая и обратная запись настроены именно на него) но там же расположен сайт  http://atlantsib.ru
Соответственно, отправляю с info@atlantsib.ru  - но проверка SPF будет производиться для хост домена 1delo.ru?

А вот DKIM уже для atlantsib.ru
Так?

Ну сама то SPF запись редактируется именно в доменной зоне домена-хоста?  в моём случае 1delo.ru ?
или в доменной зоне сайта atlantsib.ru ?
или и там и сям ?

я бы на комменты этой ветки подписался с удовольствием -  но "не по шарам"
не вижу как это можно сделать ...

Важно добавить в конфиг exim настройку

Из за этого, почта внутри домена отправлялась локально и получатели домена письма не получали.  

Отличная статья!

vi /etc/php.d/z_bx_custom_settings.ini

Добрый день! Письмо из командной строки приходит отлично с зеленой метко о действительности dkim подписи.
А при регистрации и обращениях письмо приходит с недействительной dkim подписью.
Куда смотреть? Подскажите!

Валидная - по вашему php скрипту

Received: from mxfront4j.mail.yandex.net ([127.0.0.1]) by mxfront4j.mail.yandex.net with LMTP id epgilb7k
for <solomln@yandex.ru>; Thu, 26 May 2016 14:17:25 +0300
Received: from sevzags.ru (sevzags.ru [95.213.200.208])
by mxfront4j.mail.yandex.net (nwsmtp/Yandex) with ESMTPS id iKW9kpJzY6-HOQanodw;
Thu, 26 May 2016 14:17:24 +0300
(using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
(Client certificate not present)
Return-Path: apache@sevzags.ru
X-Yandex-Front: mxfront4j.mail.yandex.net
X-Yandex-TimeMark: 1464261444
Authentication-Results: mxfront4j.mail.yandex.net; spf=pass (mxfront4j.mail.yandex.net: domain of sevzags.ru designates 95.213.200.208 as permitted sender) smtp.mail=apache@sevzags.ru; dkim=pass header.i=@sevzags.ru
X-Yandex-Spam: 1
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=sevzags.ru; s=mail;
h=Date:Sender:Message-Id:Reply-To:From:Subject:To; bh=eew+UnGeu4AVgnoWmUW0fTj8uAa52AbP0szWQZmT7IQ=;
b=GosZ5uy1sAr8PLjEIUqo+vdP2qBDwxQpswZiSKUjxjME6RFFtARM6qSbS9s2fW+aQsVjCIJtGc7bcZK+OWDCNP7FfnsQg/ZIY+­I5dlSQ6oqENNkZQdrmxbX98PoQHvUmppk3i/Wq3IzXYQdIRxoUx1Al8l/7hcDi4u87J/qljuY=;
Received: from apache by mail.sevzags.ru with local (Exim 4.84_2)
(envelope-from <apache@sevzags.ru>)
id 1b5tI1-0007GU-3U
for solomln@yandex.ru; Thu, 26 May 2016 14:17:21 +0300
To: solomln@yandex.ru
Subject: Привет!
X-PHP-Originating-Script: 48:php_command_line.php(95) : eval()'d code
From: webmaster@sevzags.ru
Reply-To: webmaster@sevzags.ru
X-Mailer: PHP/5.4.16
Message-Id: <E1b5tI1-0007GU-3U@mail.sevzags.ru>
Sender: Apache <apache@sevzags.ru>
Date: Thu, 26 May 2016 14:17:21 +0300
X-Yandex-Forward: d222e8ac6b0dead1a6e337f9f8c5c082

Йа письмецо

не валидная из сайта

Received: from mxfront10m.mail.yandex.net ([127.0.0.1]) by mxfront10m.mail.yandex.net with LMTP id Xfmz46qq
for <solomln@yandex.ru>; Thu, 26 May 2016 14:19:06 +0300
Received: from sevzags.ru (sevzags.ru [95.213.200.208])
by mxfront10m.mail.yandex.net (nwsmtp/Yandex) with ESMTPS id 3Mcfyjth27-J6LehQAn;
Thu, 26 May 2016 14:19:06 +0300
(using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
(Client certificate not present)
Return-Path: webmaster@sevzags.ru
X-Yandex-Front: mxfront10m.mail.yandex.net
X-Yandex-TimeMark: 1464261546
Authentication-Results: mxfront10m.mail.yandex.net; spf=pass (mxfront10m.mail.yandex.net: domain of sevzags.ru designates 95.213.200.208 as permitted sender) smtp.mail=webmaster@sevzags.ru; dkim=fail header.i=@sevzags.ru
X-Yandex-Spam: 1
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=sevzags.ru; s=mail;
h=Message-Id:Content-Transfer-Encoding:Content-Type:Date:Reply-To:From:Subject:To; bh=vQfvH1cA0D+6Oswg6BWITz/pD1cV2sPEEwgXRvCU4+0=;
b=Ou/mt9NOCR/BeV0FAYj0PBIJczdDCgQeJ9xJ4nMan9wxdfu9T2/BsUyvtPZBkPHI4ZJwnMTXaztWgAaLofdiPpA5dufa2BgK77­gOGa6RSmVct1K1xmiPDDej8YWtFqKmraXzsaWGSTEt6nDsRvlWC9VxE1TBAEx/SotkZ9r+tD4=;
Received: from root by mail.sevzags.ru with local (Exim 4.84_2)
(envelope-from <webmaster@sevzags.ru>)
id 1b5tJd-0007Gw-T9; Thu, 26 May 2016 14:19:01 +0300
To: solomln@yandex.ru
Subject: =?UTF-8?B?W1RJRCM3NV0gemFncy5zZXYuZ292LnJ1OiDQktCw0YjQtSDQvtCx0YDQsNGJ0LXQvdC40LUg0L/RgNC40L3Rj9GC0L4=?=
X-PHP-Originating-Script: 0:tools.php
From: webmaster@sevzags.ru
Reply-To: webmaster@sevzags.ru
X-EVENT_NAME: TICKET_NEW_FOR_AUTHOR
X-Priority: 3 (Normal)
Date: Thu, 26 May 2016 14:19:01 +0300
X-MID: 521.47 (26.05.2016 14:18:32)
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Message-Id: <E1b5tJd-0007Gw-T9@mail.sevzags.ru>
X-Yandex-Forward: d222e8ac6b0dead1a6e337f9f8c5c082

Ваше обращение принято, ему присвоен номер 75.

Вы не должны отвечать на это письмо. Это только подтверждение,
что служба техподдержки получила ваше обращение и работает с ним.

Информация о вашем обращении:

Тема - Обращение: test
От кого - [E-Mail] solomln@yandex.ru / [20] Юрий Бариев [техподдержка]
Категория - Обращения граждан
Критичность -

Создано - [26.05.2016 14:18:32]
Ответственный - [36] Роман Дубовик [техподдержка]
Уровень поддержки - По умолчанию

>======================= СООБЩЕНИЕ ===================================

Как вас зовут (Имя Фамилия): test

Ваш адрес (с индексом): 99046

Текст обращения: test dkim

>=====================================================================

Для просмотра и редактирования обращения воспользуйтесь ссылкой:
http://zags.sev.gov.ru/feedback/list.php?ID=75

Письмо сгенерировано автоматически.


MID #521.47 (26.05.2016 14:18:32)

спасибо! но заголовок не нашел такой.
строку добавил после

DKIM_DOMAIN = ${lc:${domain:$h_from:}}DKIM_KEY_FILE = /etc/exim/dkim/DKIM_DOMAIN.key
DKIM_PRIVATE_KEY = ${if exists{DKIM_KEY_FILE}{DKIM_FILE}{0}}
DKIM_CANON = simple

remote_smtp:

driver = smtp
dkim_domain = DKIM_DOMAIN
dkim_selector = mail_srv01
dkim_private_key = DKIM_KEY_FILE

но к сожалению не помогло!

This message is an automatic response from Port25's authentication verifier
service at verifier.port25.com.  The service allows email senders to perform
a simple check of various sender authentication mechanisms.  It is provided
free of charge, in the hope that it is useful to the email community.  While
it is not officially supported, we welcome any feedback you may have at
<verifier-feedback@port25.com>.

Thank you for using the verifier,

The Port25 Solutions, Inc. team

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         fail
Sender-ID check:    pass
SpamAssassin check: ham

==========================================================
Details:
==========================================================

HELO hostname:  mail.sevzags.ru
Source IP:      95.213.200.208
mail-from:      webmaster@sevzags.ru

----------------------------------------------------------
SPF check details:
----------------------------------------------------------
Result:         pass
ID(s) verified: smtp.mailfrom=webmaster@sevzags.ru
DNS record(s):
   sevzags.ru. SPF (no records)
   sevzags.ru. 21600 IN TXT "v=spf1 redirect=_spf.yandex.net ip4:95.213.200.208 ~all"

----------------------------------------------------------
DomainKeys check details:
----------------------------------------------------------
Result:         neutral (message not signed)
ID(s) verified: header.From=webmaster@sevzags.ru
DNS record(s):

----------------------------------------------------------
DKIM check details:
----------------------------------------------------------
Result:         fail (wrong body hash: expected Zlq9g7rlpM1i7BT+CngRZ4D8HdMGSaJFcbE288x/D2E=)
ID(s) verified:
Canonicalized Headers:
   message-id:<E1b5uGg-0001KZ-CW@mail.sevzags.ru>'0D''0A'
   content-type:text/plain;'20'charset=UTF-8'0D''0A'
   date:Thu,'20'26'20'May'20'2016'20'15:20:02'20'+0300'0D''0A'
   reply-to:webmaster@sevzags.ru'0D''0A'
   from:webmaster@sevzags.ru'0D''0A'
   subject:=?UTF-8?B?W1RJRCM3OF0gemFncy5zZXYuZ292LnJ1OiDQktCw0YjQtSDQvtCx0YDQsNGJ0LXQvdC40LUg0L/RgNC40L3Rj9GC0L4=?='0D''0A'
   to:check-auth@verifier.port25.com'0D''0A'
   dkim-signature:v=1;'20'a=rsa-sha256;'20'q=dns/txt;'20'c=relaxed/relaxed;'20'd=sevzags.ru;'20's=mail;'20'h=Message-Id:Content-Type:Date:Reply-To:From:Subject:To;'20'bh=5MUDikaAaAkkFkexgFrwiBOiaN9S3/9kgKxIX8Hhyzs=;'20'b=;

Canonicalized Body:
   'D0''92''D0''B0''D1''88''D0''B5''20''D0''BE''D0''B1''D1''80''D0''B0''D1''89''D0''B5''D0''BD''D0''B8'­'D0''B5''20''D0''BF''D1''80''D0''B8''D0''BD''D1''8F''D1''82''D0''BE','20''D0''B5''D0''BC''D1''83''20''D0''BF''D1''80''D0''B8''D1''81''D0''B2''D0''BE''D0''B5''D0''BD''20'­'D0''BD''D0''BE''D0''BC''D0''B5''D1''80''20'78.'0D''0A'
   '0D''0A'
   'D0''92''D1''8B''20''D0''BD''D0''B5''20''D0''B4''D0''BE''D0''BB''D0''B6''D0''BD''D1''8B''20''D0''BE'­'D1''82''D0''B2''D0''B5''D1''87''D0''B0''D1''82''D1''8C''20''D0''BD''D0''B0''20''D1''8D''D1''82''D0'­'BE''20''D0''BF''D0''B8''D1''81''D1''8C''D0''BC''D0''BE'.'20''D0''AD''D1''82''D0''BE''20''D1''82''D0''BE''D0''BB''D1''8C''D0''BA''D0''BE''20''D0''BF''D0''BE'­'D0''B4''D1''82''D0''B2''D0''B5''D1''80''D0''B6''D0''B4''D0''B5''D0''BD''D0''B8''D0''B5','0D''0A'
   'D1''87''D1''82''D0''BE''20''D1''81''D0''BB''D1''83''D0''B6''D0''B1''D0''B0''20''D1''82''D0''B5''D1'­'85''D0''BF''D0''BE''D0''B4''D0''B4''D0''B5''D1''80''D0''B6''D0''BA''D0''B8''20''D0''BF''D0''BE''D0'­'BB''D1''83''D1''87''D0''B8''D0''BB''D0''B0''20''D0''B2''D0''B0''D1''88''D0''B5''20''D0''BE''D0''B1'­'D1''80''D0''B0''D1''89''D0''B5''D0''BD''D0''B8''D0''B5''20''D0''B8''20''D1''80''D0''B0''D0''B1''D0'­'BE''D1''82''D0''B0''D0''B5''D1''82''20''D1''81''20''D0''BD''D0''B8''D0''BC'.'0D''0A'
   '0D''0A'
   'D0''98''D0''BD''D1''84''D0''BE''D1''80''D0''BC''D0''B0''D1''86''D0''B8''D1''8F''20''D0''BE''20''D0'­'B2''D0''B0''D1''88''D0''B5''D0''BC''20''D0''BE''D0''B1''D1''80''D0''B0''D1''89''D0''B5''D0''BD''D0'­'B8''D0''B8':'0D''0A'
   '0D''0A'
   'D0''A2''D0''B5''D0''BC''D0''B0''20'-'20''D0''9E''D0''B1''D1''80''D0''B0''D1''89''D0''B5''D0''BD''D0''B8''D0''B5':'20'test'0D''0A'
   'D0''9E''D1''82''20''D0''BA''D0''BE''D0''B3''D0''BE''20'-'20'[E-Mail]'20'check-auth@verifier.port25.com'20'/'0D''0A'
   'D0''9A''D0''B0''D1''82''D0''B5''D0''B3''D0''BE''D1''80''D0''B8''D1''8F''20'-'20''D0''9E''D0''B1''D1''80''D0''B0''D1''89''D0''B5''D0''BD''D0''B8''D1''8F''20''D0''B3''D1''80''D0'­'B0''D0''B6''D0''B4''D0''B0''D0''BD''0D''0A'
   'D0''9A''D1''80''D0''B8''D1''82''D0''B8''D1''87''D0''BD''D0''BE''D1''81''D1''82''D1''8C''20'-'0D''0A'
   '0D''0A'
   'D0''A1''D0''BE''D0''B7''D0''B4''D0''B0''D0''BD''D0''BE''20'-'20'[26.05.2016'20'15:19:23]'0D''0A'
   'D0''9E''D1''82''D0''B2''D0''B5''D1''82''D1''81''D1''82''D0''B2''D0''B5''D0''BD''D0''BD''D1''8B''D0'­'B9''20'-'20'[36]'20''D0''A0''D0''BE''D0''BC''D0''B0''D0''BD''20''D0''94''D1''83''D0''B1''D0''BE''D0''B2''D0''B8''D0'­'BA''20'['D1''82''D0''B5''D1''85''D0''BF''D0''BE''D0''B4''D0''B4''D0''B5''D1''80''D0''B6''D0''BA''D0''B0']'0D''0A'
   'D0''A3''D1''80''D0''BE''D0''B2''D0''B5''D0''BD''D1''8C''20''D0''BF''D0''BE''D0''B4''D0''B4''D0''B5'­'D1''80''D0''B6''D0''BA''D0''B8''20'-'20''D0''9F''D0''BE''20''D1''83''D0''BC''D0''BE''D0''BB''D1''87''D0''B0''D0''BD''D0''B8''D1''8E''0D'­'0A'
   '0D''0A'
   >======================='20''D0''A1''D0''9E''D0''9E''D0''91''D0''A9''D0''95''D0''9D''D0''98''D0''95'­'20'==================================='0D''0A'
   '0D''0A'
   'D0''9A''D0''B0''D0''BA''20''D0''B2''D0''B0''D1''81''20''D0''B7''D0''BE''D0''B2''D1''83''D1''82''20'­('D0''98''D0''BC''D1''8F''20''D0''A4''D0''B0''D0''BC''D0''B8''D0''BB''D0''B8''D1''8F'):'20'test'0D''0A'
   '0D''0A'
   'D0''92''D0''B0''D1''88''20''D0''B0''D0''B4''D1''80''D0''B5''D1''81''20'('D1''81''20''D0''B8''D0''BD''D0''B4''D0''B5''D0''BA''D1''81''D0''BE''D0''BC'):'20'99046'0D''0A'
   '0D''0A'
   'D0''A2''D0''B5''D0''BA''D1''81''D1''82''20''D0''BE''D0''B1''D1''80''D0''B0''D1''89''D0''B5''D0''BD'­'D0''B8''D1''8F':'20'test'20'dkim'0D''0A'
   '0D''0A'
   >====================================================================='0D''0A'
   '0D''0A'
   'D0''94''D0''BB''D1''8F''20''D0''BF''D1''80''D0''BE''D1''81''D0''BC''D0''BE''D1''82''D1''80''D0''B0'­'20''D0''B8''20''D1''80''D0''B5''D0''B4''D0''B0''D0''BA''D1''82''D0''B8''D1''80''D0''BE''D0''B2''D0'­'B0''D0''BD''D0''B8''D1''8F''20''D0''BE''D0''B1''D1''80''D0''B0''D1''89''D0''B5''D0''BD''D0''B8''D1'­'8F''20''D0''B2''D0''BE''D1''81''D0''BF''D0''BE''D0''BB''D1''8C''D0''B7''D1''83''D0''B9''D1''82''D0'­'B5''D1''81''D1''8C''20''D1''81''D1''81''D1''8B''D0''BB''D0''BA''D0''BE''D0''B9':'0D''0A'
   http://zags.sev.gov.ru/feedback/list....78'0D''0A'
   '0D''0A'
   'D0''9F''D0''B8''D1''81''D1''8C''D0''BC''D0''BE''20''D1''81''D0''B3''D0''B5''D0''BD''D0''B5''D1''80'­'D0''B8''D1''80''D0''BE''D0''B2''D0''B0''D0''BD''D0''BE''20''D0''B0''D0''B2''D1''82''D0''BE''D0''BC'­'D0''B0''D1''82''D0''B8''D1''87''D0''B5''D1''81''D0''BA''D0''B8'.'0D''0A'
   '0D''0A'
   '0D''0A'
   MID'20'#530.47'20'(26.05.2016'20'15:19:23)'0D''0A'


DNS record(s):

NOTE: DKIM checking has been performed based on the latest DKIM specs
(RFC 4871 or draft-ietf-dkim-base-10) and verification may fail for
older versions.  If you are using Port25's PowerMTA, you need to use
version 3.2r11 or later to get a compatible version of DKIM.

----------------------------------------------------------
Sender-ID check details:
----------------------------------------------------------
Result:         pass
ID(s) verified: header.From=webmaster@sevzags.ru
DNS record(s):
   sevzags.ru. SPF (no records)
   sevzags.ru. 21600 IN TXT "v=spf1 redirect=_spf.yandex.net ip4:95.213.200.208 ~all"

----------------------------------------------------------
SpamAssassin check details:
----------------------------------------------------------
SpamAssassin v3.4.0 (2014-02-07)

Result:         ham  (-3.2 points, 5.0 required)

pts rule name              description
---- ---------------------- --------------------------------------------------
0.0 URIBL_BLOCKED          ADMINISTRATOR NOTICE: The query to URIBL was blocked.
                           See
                           http://wiki.apache.org/spamassassin/D...nsbl-block
                            for more information.
                           [URIs: port25.com]
-0.0 SPF_PASS               SPF: sender matches SPF record
-1.4 RP_MATCHES_RCVD        Envelope sender domain matches handover relay domain
-1.9 BAYES_00               BODY: Bayes spam probability is 0 to 1%
                           [score: 0.0000]
0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily valid
0.0 T_DKIM_INVALID         DKIM-Signature header exists but is not valid

==========================================================
Explanation of the possible results (from RFC 5451)
==========================================================

SPF and Sender-ID Results
=========================

"none"
     No policy records were published at the sender's DNS domain.

"neutral"
     The sender's ADMD has asserted that it cannot or does not
     want to assert whether or not the sending IP address is authorized
     to send mail using the sender's DNS domain.

"pass"
     The client is authorized by the sender's ADMD to inject or
     relay mail on behalf of the sender's DNS domain.

"policy"
    The client is authorized to inject or relay mail on behalf
     of the sender's DNS domain according to the authentication
     method's algorithm, but local policy dictates that the result is
     unacceptable.

"fail"
     This client is explicitly not authorized to inject or
     relay mail using the sender's DNS domain.

"softfail"
     The sender's ADMD believes the client was not authorized
     to inject or relay mail using the sender's DNS domain, but is
     unwilling to make a strong assertion to that effect.

"temperror"
     The message could not be verified due to some error that
     is likely transient in nature, such as a temporary inability to
     retrieve a policy record from DNS.  A later attempt may produce a
     final result.

"permerror"
     The message could not be verified due to some error that
     is unrecoverable, such as a required header field being absent or
     a syntax error in a retrieved DNS TXT record.  A later attempt is
     unlikely to produce a final result.


DKIM and DomainKeys Results
===========================

"none"
     The message was not signed.

"pass"
     The message was signed, the signature or signatures were
     acceptable to the verifier, and the signature(s) passed
     verification tests.

"fail"
     The message was signed and the signature or signatures were
     acceptable to the verifier, but they failed the verification
     test(s).

"policy"
     The message was signed but the signature or signatures were
     not acceptable to the verifier.

"neutral"
     The message was signed but the signature or signatures
     contained syntax errors or were not otherwise able to be
     processed.  This result SHOULD also be used for other
     failures not covered elsewhere in this list.

"temperror"
     The message could not be verified due to some error that
     is likely transient in nature, such as a temporary inability
     to retrieve a public key.  A later attempt may produce a
     final result.

"permerror"
     The message could not be verified due to some error that
     is unrecoverable, such as a required header field being
     absent. A later attempt is unlikely to produce a final result.


==========================================================
Original Email
==========================================================

Return-Path: <webmaster@sevzags.ru>
Received: from mail.sevzags.ru (95.213.200.208) by verifier.port25.com id h8rkvg20i3gq for <check-auth@verifier.port25.com>; Thu, 26 May 2016 08:20:08 -0400 (envelope-from <webmaster@sevzags.ru>)
Authentication-Results: verifier.port25.com; spf=pass smtp.mailfrom=webmaster@sevzags.ru
Authentication-Results: verifier.port25.com; domainkeys=neutral (message not signed) header.From=webmaster@sevzags.ru
Authentication-Results: verifier.port25.com; dkim=fail (wrong body hash: expected Zlq9g7rlpM1i7BT+CngRZ4D8HdMGSaJFcbE288x/D2E=)
Authentication-Results: verifier.port25.com; sender-id=pass header.From=webmaster@sevzags.ru
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=sevzags.ru; s=mail;
       h=Message-Id:Content-Type:Date:Reply-To:From:Subject:To; bh=5MUDikaAaAkkFkexgFrwiBOiaN9S3/9kgKxIX8Hhyzs=;
       b=pNEiL0IcRtEcddEPgvfVwT6JlOCNuX+cGTOaxaOLxcEwSiZlV+rq6UoHVLNO/Na+x5PltgF8ryV+p+J8pe6e0Sv/2ZyYE2FeaP­JB1gZK06872hiTSJLtrdttFBw59SFQX5R9/HFB3WiXb0fjryyMYYSEcrKY67kc001jZ3PexBw=;
Received: from root by mail.sevzags.ru with local (Exim 4.84_2)
       (envelope-from <webmaster@sevzags.ru>)
       id 1b5uGg-0001KZ-CW; Thu, 26 May 2016 15:20:02 +0300
To: check-auth@verifier.port25.com
Subject: =?UTF-8?B?W1RJRCM3OF0gemFncy5zZXYuZ292LnJ1OiDQktCw0YjQtSDQvtCx0YDQsNGJ0LXQvdC40LUg0L/RgNC40L3Rj9GC0L4=?=
X-PHP-Originating-Script: 48:tools.php
From: webmaster@sevzags.ru
Reply-To: webmaster@sevzags.ru
X-EVENT_NAME: TICKET_NEW_FOR_AUTHOR
X-Priority: 3 (Normal)
Date: Thu, 26 May 2016 15:20:02 +0300
X-MID: 530.47 (26.05.2016 15:19:23)
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Message-Id: <E1b5uGg-0001KZ-CW@mail.sevzags.ru>

Ваше обращение принято, ему присвоен номер 78.

Вы не должны отвечать на это письмо. Это только подтверждение,
что служба техподдержки получила ваше обращение и работает с ним.

Информация о вашем обращении:

Тема          - Обращение: test
От кого       - [E-Mail] check-auth@verifier.port25.com /
Категория     - Обращения граждан
Критичность   -

Создано           -  [26.05.2016 15:19:23]
Ответственный     - [36] Роман Дубовик [техподдержка]
Уровень поддержки - По умолчанию
======================= СООБЩЕНИЕ ===================================

Как вас зовут (Имя Фамилия): test

Ваш адрес (с индексом): 99046

Текст обращения: test dkim
=====================================================================

Для просмотра и редактирования обращения воспользуйтесь ссылкой:
http://zags.sev.gov.ru/feedback/list.php?ID=78

Письмо сгенерировано автоматически.


MID #530.47 (26.05.2016 15:19:23)

Спасибо!

Хорошая статья.

Спасибо!

Олег Шамаев,  скажите, насколько актуальна статья  на данный момент?

то есть
для centOS  7.x и VMBitrix 7.0.х  

Вопрос такой - как пофиксить return path и sender?  В sender светится bitrix@адрес сайта.

Олег Шамаев, на email админа (у нас shop@) - не светить лишний раз движок, да и есть подозрение, что яндекс не принимает наше щифрование из-за этого. Во всяком случае яндекс не пишет, что цифровая подпись верна, хотя spf/dkim pass

вполне актуальна

яндекс так не пишет потому, что у него сейчас требования такие что нужно брать его публичный ключ и его приватный - тогда будут подписываться письма и те которые отправляешь через вебинтерфейс и те которые с сервера

Про PTR-запись видимо не совсем корректно написано. Если на севере несколько сайтов, то выдается какой-то из них. Правильно проверять PTR:
Из Windows: nslookup -type=PTR ip-адрес
Из Linux: dig -x ip-адрес

Я немного не об этом. ping -a выдает не тот результат. Почему не знаю.

Спасибо за отличный мануал
Подключил DKIM - смотрю оригинал письма на Яндексе - DKIM pass, вроде всё ОК
Но в логах EXIMа странные записи
unable to open private key for reading: /etc/exim/dkim/yandex.ru.key
unable to open private key for reading: /etc/exim/dkim/gmail.com.key
причем не только в main.log но и в panic.log

P.S.
можно на всякий случай ещё о DMARC чиркнуть для полноты картины

У меня CentOS  7 и VMBitrix 7.0.1
Проделал всё, что описано в статье и теперь не срабатывает отправка из php - т.е. ф-я mail не работает.
Проверяю отправку через exim из консоли - письма отправляются и приходят со всеми нужными полями.
До внесения изменений описанных в статье функция mail работала нормально.
Не подскажите куда копать ?

Что-то у вас какая-то огромная статья.
Просто закомментируйте "sendmail_path = msmtp -t -i" в /etc/php.d/bitrixenv.ini и вся задача.

Шамаев Олег, да, дело было в пути к sendmail. Спасибо!

Получилось добиться spf=pass и dkim=pass.
Но почта в яндексе также попадает в спам, а в гмайл не доходит.
В логах exim по гмайлу такое:Заголовки письма:
Странность была, что с одним spf=pass в яндекс почта доходила нормально. С dkim=pass стало опять в спам идти.
Непонятно, что еще можно сделать, чтобы исправить ситуацию.

Шамаев Олег, вот полная версия заголовков письма, попадающего в спам на яндексе:
Изменил, в целях конфиденциальности, имена доменов и скрыл <ipv6addr>. Думаю, это не критично.
В гугл письма не доходят, поэтому выкладывать нечего. Есть только ошибка в логах exim, которая уже была опубликована.

Шамаев Олег, проверял и ip v4 и v6 - в спам-базах их не видно. Рассылкой спама не занимаемся, но есть форма обратной на сайте с дырявой битриксовой капчей, которую спаммеры не замечают, но спам идет только на ящик владельца ресурса (пока не решили еще, как пофиксить эту проблему).

Переключился на ipv4, по рекомендации.
В яндексе результат не поменялся. Также идет в спам сообщение. Заголовки письма:
Зато в гугл стало доходить, но тоже в спам попало. Заголовки письма с гугла:

Шамаев Олег, ссылок на сайт нет в содержимом писем, которые со спамом. DMARС запись сделал. Хотя тут SPF и DKIM валидные.
Обнаружил, что письма о статусе заказа в яндекс нормально пришли, не в спам, а в гугл опять не дошли.
Значит, проблема с содержимым этих спамерских писем. Возможно, идет сравнение по содержимому с другими письмами (а там спам) и идет негатив по адресам, где такие письма встречаются. Надо зарубить спамеров и тогда, возможно, все исправиться, только непонятно как быстро...

Шамаев Олег, так а если клиент отправляет почту еще со своего отдельного почтового клиента, не с сайта. Тогда там подписи нет или она другая. Получается, что почта эта не дойдет? Тогда не вариант.

Шамаев Олег, там яндекс почта, а не почта домена. т.е. он через сервер яндекса почту отправляет.

Олег, здравствуйте!
Настроил exim по вашей статье. При отправке на яндекс - все ок.
Если отправляю письмо на гугл почту, письмо вообще не приходит, а в логе следующее:
2018-01-21 21:32:50 1edKQE-00043W-BV <= bitrix@mydomain.ru U=bitrix P=local S=482
2018-01-21 21:32:52 1edKQE-00043W-BV ** ambasadorant@gmail.com R=dnslookup T=remote_smtp H=gmail-smtp-in.l.google.com [2a00:1450:4010:c08::1a] X=TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after pipelined end of data: 550-5.7.1 [2a04:ac00:4:641:5054:ff:fe00:c25b] Our system has detected that this\n550-5.7.1 message does not meet IPv6 sending guidelines regarding PTR records\n550-5.7.1 and authentication. Please review\n550-5.7.1  https://support.google.com/mail/?p=IPv6AuthError for more information\n550 5.7.1 . v62si6366827lje.212 - gsmtp
2018-01-21 21:32:52 1edKQG-00043c-3M <= <> R=1edKQE-00043W-BV U=exim P=local S=2518
2018-01-21 21:32:52 1edKQE-00043W-BV Completed
2018-01-21 21:32:52 1edKQG-00043c-3M ** bitrix@mydomain.ru R=dnslookup T=remote_smtp H=mx.yandex.net [2a02:6b8::89] X=TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128 CV=yes: SMTP error from remote mail server after RCPT TO:<bitrix@mydomain.ru>: 550 5.7.1 No such user!
2018-01-21 21:32:52 1edKQG-00043c-3M Frozen (delivery error message)

spf запись прописал так: v=spf1 redirect=_spf.yandex.net
Полагаю что для отправки писем на gmail мне необходимо откорректировать spf?
Подскажите, как наиболее правильно это сделать?
Спасибо

Олег, здравствуйте!
Спасибо за инструкцию.
Что делать, если два разных домена  на одной BitrixVM (условно site1.ru, site2.net)? В каком направлении копать, чтобы каждый сайт смог правильно отправлять почту c DKIM/SPF при использовании многосайтовой конфигурации Bitrix?

Пожалуйста, объясните новичку в программировании, что делается в строчке?
Как я её понимаю:
Проверяется наличие переменной DKIM_KEY_FILE. Если она существует, то DKIM_PRIVATE_KEY делаем = переменной DKIM_FILE, если не существует, то 0...
Если вышеизложенное верно, резонный вопрос что такое DKIM_FILE? Где формируется данная переменная? В интернете находил данную строчку как в в таком виде, так и в виде:
DKIM_PRIVATE_KEY = ${if exists{DKIM_KEY_FILE}{DKIM_KEY_FILE}{

Поддерживаю вопрос выше. Как настроить DKIM при многосайтовости на BitrixVM? SPF получаю pass, а с DKIM всё печально... И правильно ли использовать одинаковые ключи для 2 доменов (или символьные ссылки на файлы ключей) при многосайтовости?

Чистая установка exim,
В паник.лог при попытке отправить сообщение...
2018-04-12 15:46:56 Exim configuration error in line 1051 of /etc/exim/exim.conf:
 authenticator name missing

DKIM_DOMAIN и DKIM_KEY_FILE нужно на свои менять или так и остается DKIM_DOMAIN и DKIM_KEY_FILE?

Шамаев Олег,
Если домен делегирован на reg.ru, а на яндекс смотрят только MX записи:
@ MX 5 mx.yandex.ru.
А еще есть запись
@ MX 10 ip_моего_сервера

Может какая-то из них лишняя?
И нужны ли тогда настройки почты в VMBitrix?

Проблема в том, что Письмо о новом заказе приходит в спам,
А письмо о регистрации приходит нормально
На первый взгляд все одинаково, но одно письмо приходит корректно с рейтингом 10/10, а второе попадает в спам с рейтингом 6,3/10

Олег, приветствую!

Подскажите пожалуйста, как Вы решили подмену адресов в конверте envelope-from?
По умолчанию exim в envelope-from вставляет адрес который указывается при настройки VM-Bitrix, а при несоответствии адресов в envelope-from и From все письма отправленные на Gmail попадают в СПАМ.

Шамаев Олег, Приветствую! С ключом DKIM я именно так и поступил - одним ключом подписываю почту уходящую со всех доменов на сервере. Кроме DKIM и SPF есть еще один СПАМ фильтр, который применяется на серверах Gmail, mail.nic.ru наверное еще на каких то, но эти два для меня самые приоритетные.

Проверяются соответствия  заголовков письма:
Return-path:
envelope-from:
From:
Адреса в этих трёх заголовках должны совпадать.

При отправке письма с сайта в From: попадает адрес отправителя - например: shop@moydomen.ru или opt@moydomen.ru, любой адрес который указывается в почтовых шаблонах. А в заголовки envelope-from: и Return-path: попадает адрес который был указан при настройке VM-Bitrix - например: bitrix@moydomen.ru и вся почта отправленная с сайта на Gmail из за этого попадает в СПАМ.

Хотел посоветоваться с Вами, занимались ли Вы этим вопросом?

IP проверял, с ним все порядке, но как только отправляю письмо с адреса bitrix@moydomen.ru и все заголовки совпадают письмо сразу же отображается во входящих. Из чего я собственно и сделал такое заключение.

Шамаев Олег, Проблема в том, что с других адресов в этом же домене заголовки не совпадают и почта падает в СПАМ.
Я понял, Вы не сталкивались с этим. Попробую разобраться. В любом случае, за статью спасибо! Очень полезная.

Здравствуйте.
Большое спасибо за статью.
Настроил exim на отправку почты с нашего домена, всё хорошо, письма с доменной почты проходят все проверки.
Но у одного сотрудника подключена своя почта yandex, его почта не всегда доходит до получателя.
Подскажите, пожалуйста, что нужно добавить в конфигурацию exim, чтобы почта конкретно этого сотрудника отправлялась через smtp яндекса? Так, чтобы не сбить настройки для основного домена.

Шамаев Олег, В файл конфигурации exim нужно добавлять второй домен?

Шамаев Олег, в exim.cof оставил только # primary_hostname = srv01.****.ru, сервер первого домена. со второго домена почта все равно не доходит

Шамаев Олег, 2020-01-08 18:01:18 exim 4.92.3 daemon started: pid=9197, -q1h, listening for SMTP on port 25 (IPv6 and IPv4) port 587 (IPv6 and IPv4) and for SMTPS on port 465 (IPv6 and IPv4)
2020-01-08 18:01:18 Start queue run: pid=9201
2020-01-08 18:01:18 End queue run: pid=9201



больше ничего

Большое спасибо за инструкцию! Спустя почти 6 лет до сих очень актуально!

Добрый день! Скажите пожалуйста, у нас почта info@командажкх.рф Настроили все по инструкции, в логах ругается...:
Как правильно настроить почту на кириллическом домене?

Архангельский Расчетный, Вероятно перевести кириллицу в Punycode

exim 4.94 перестал подписывать по этой инструкции
Tainted filename '/etc/exim/dkim/domen.ru.key'
unable to open file for reading: /etc/exim/dkim//domen.ru.key
права менял - не помогает

что то в версии поменялось, тут подобная проблема, но не разобрался ещё как на наш конфиг перенести
https://searchengines.guru/ru/forum/1033974

Вдовин Алексей,

Примерно так делаю, всё как в статье, только ещё:
touch /etc/exim/dkim_domains

В файле:
[bitrix@exim]# cat dkim_domains
example.com: key=/etc/exim/dkim/example.com.key

В конфиге remote_smtp будет выглядеть так:
DKIM_DOMAIN = ${lookup{$sender_address_domain}lsearch*@{/etc/exim/dkim_domains}{$sender_address_domain}{}}
DKIM_PRIVATE_KEY = ${extract{key}{${lookup{$sender_address_domain}lsearch*@{/etc/exim/dkim_domains}}}{$value}{}}
DKIM_CANON = simple
remote_smtp:
 driver = smtp
 dkim_domain = DKIM_DOMAIN
 dkim_selector = mail_srv01
 dkim_private_key = DKIM_PRIVATE_KEY

Можно сделать, чтобы в dkim_domains всё указывать, включая selector, canon, strict
DKIM_DOMAIN = ${lookup{$sender_address_domain}lsearch*@{/etc/exim/dkim_domains}{$sender_address_domain}{}}
DKIM_PRIVATE_KEY = ${extract{key}{${lookup{$sender_address_domain}lsearch*@{/etc/exim/dkim_domains}}}{$value}{}}
DKIM_SELECTOR = ${extract{selector}{${lookup{$sender_address_domain}lsearch*@{/etc/exim/dkim_domains}}}{$value}{}}
DKIM_CANON = ${extract{canon}{${lookup{$sender_address_domain}lsearch*@{/etc/exim/dkim_domains}}}{$value}{relaxed}}
DKIM_STRICT = ${extract{strict}{${lookup{$sender_address_domain}lsearch*@{/etc/exim/dkim_domains}}}{$value}{false}}

Формат будет:
domain.su: selector=mail strict=true canon=relaxed key=/etc/exim/dkim/domain.su.key
domain2.su: selector=mailer strict=false canon=relaxed key=/etc/exim/dkim/domain2.su.key
domain3.su: selector=smtp strict=true canon=simple key=/etc/exim/dkim/domain3.su.key

Добрый день.

С такой проблемой не сталкивались ?:

Проблема с dkim