alibek Posted October 15, 2016 · Report post Есть учетная запись в Службах Google для бизнеса (теперь называется G Suite). Учетная запись регистрировалась давно, когда были доступны бесплатные учетные записи, и на ней даже разрешены 50 аккаунтов. Но недавно начал замечать некоторые странности в работе почты, и не могу понять: то ли я что-то неправильно настроил, то ли это нормальное поведение, то ли таким образом Google избавляется от бесплатных учетных записей. Есть домен компании, допустим company.ru. В домене заведены пользователи, user1@company.ru, user2@company.ru и т.д. В домене также созданы группы, в которые входят те или иные пользователи, например support@company.ru, info@company.ru. Сообщения, адресованные в группу, получают все участники группы (пользователи). При этом пользователи могут (и должны) писать сообщения от имени группы, Google это вполне позволяет, только нужно подтвердить право использовать указанный обратный адрес (раздел Аккаунты в настройках). Также в домене настроены DKIM и SPF. Итак, пользователь user1@company.ru отправляет письмо абоненту на адрес client1@mail.ru. Выглядит это у абонента примерно так (X-заголовки я убрал, также как DKIM, SPF и цепочки Received). У отправителя (сотрудника): MIME-Version: 1.0 Sender: user1@company.ru Date: Sat, 15 Oct 2016 20:15:52 +0300 Delivered-To: user1@company.ru Message-ID: <CANeefa4LmHbiVgiCd=Gi+J3LezZbygeHY7+Od+sgOE8fUMOweQ@mail.gmail.com> Subject: test1 From: support@company.ru To: client1@mail.ru У получателя (абонента): Delivered-To: client1@mail.ru Return-path: user1@company.ru MIME-Version: 1.0 Sender: user1@company.ru From: support@company.ru Date: Sat, 15 Oct 2016 20:15:52 +0300 Message-ID: <CANeefa4LmHbiVgiCd=Gi+J3LezZbygeHY7+Od+sgOE8fUMOweQ@mail.gmail.com> Subject: test1 To: client1@mail.ru На первый взгляд все нормально. Абонент получает это письмо и что-нибудь на него отвечает. Или ему нужно написать в тех.поддержку, он находит первое попавшееся письмо от тех.поддержки и отвечает в нем. Или даже он вообще пишет новое письмо и указывает адрес получателя support@company.ru. И что хуже всего, это необязательно должен быть абонент, это может быть любой отправитель, которому ранее письма от имени группы не направлялись (или спамер). Письмо приходит, участники группы support его получают. Но выглядит оно так. У отправителя (абонента): Delivered-To: client1@mail.ru Return-path: client1@mail.ru From: client1@mail.ru To: support@company.ru Subject: test2 MIME-Version: 1.0 Date: Sat, 15 Oct 2016 20:31:00 +0300 Reply-To: client1@mail.ru Message-ID: <1476552660.417716364@f413.i.mail.ru> Самое обычное письмо. А вот у получателя (сотрудника) оно выглядит так: Delivered-To: user1@company.ru Return-Path: <test+bncBDQNFB4YWQJRBVOPRHAAKGQET5TMUZI@company.ru> From: "'client1' via support" <support@company.ru> To: support@company.ru Subject: test2 MIME-Version: 1.0 Date: Sat, 15 Oct 2016 20:31:00 +0300 Reply-To: client1@mail.ru Message-ID: <1476552660.417716364@f413.i.mail.ru> То есть письмо выглядит и обрабатывается так, как если бы оно было отправлено из домена @company.ru: в поле "От" указывается "'client1' via support", при внесении письма в спам в черный список заносится адрес support@company.ru. Вообщем выглядит это весьма неприятно. Доменная зона настроена примерно так: @ TXT ( "v=spf1 include:_spf.google.com ~all" ) gmail._domainkey TXT ( "v=DKIM1; k=rsa; p=длинный-ключ-для-зоны" ) _dmarc TXT ( "v=DMARC1; p=none; rua=mailto:admin@company.ru" ) В настройках прав доступа групп сейчас выбраны следующие опции: (*) Коллектив – Отправлять сообщения и просматривать список участников могут все пользователи домена ch-com.ru. [x] Отправлять сообщения также разрешается всем пользователям Интернета ( ) Только оповещение – Отправлять сообщения и просматривать список участников могут только владельцы. ( ) Доступ ограничен – Отправлять сообщения и просматривать список участников могут только участники. ( ) Дополнительно Кто может отправить сообщение группе: все | пользователи домена | участники группы | владельцы Кто может просматривать список участников: все | пользователи домена | участники группы | владельцы То есть выбран пункт "Отправлять сообщения разрешается всем пользователям интернета". Если его убрать, то внешние пользователи не смогут написать на адрес support@company.ru. То есть "отправлять" означает и прием сообщений, и отправку сообщений. Можно выбрать пункт "Дополнительно" и в подпункте "Кто может отправлять сообщения группе" выбрать "Все" - но по факту получается то же самое, под "отправлять" подразумевается отправка с любого направления. Ранее настройки групп выглядели иначе, более логично, в частности для группы можно было выбрать тип "Интернет-группа", что разрешало прием сообщений от любых пользователей (без замены From), а отправку только от членов группы. Но примерно год назад Гугл переделал настройки групп и я никак не могу понять, как группы настраивать правильно. Подскажите, что настроено неправильно и как сделать правильно? От сервисов Google отказываться бы не хотелось. Конечно свой почтовик сделать не проблема, но Google это не просто почтовик и его экосистема у нас используется довольно активно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted October 15, 2016 · Report post Немного не в тему: делать support@ группой - плохая идея. Когда в ящик приходит письмо, которое гмыло склонно считать спамом - оно попадает в соответствующую папку. Когда в группу приходит такое же письмо, оно никуда не попадает. Вы его просто не увидите. Отправитель получит отлуп. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MMM Posted October 16, 2016 · Report post причина в DMARC у mail.ru и у других почтовиков https://corp.mail.ru/en/press/releases/9593/ https://habrahabr.ru/company/mailru/blog/282602/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted October 16, 2016 · Report post причина в DMARC у mail.ru и у других почтовиков Не уловил связи. У меня ведь проблема не с тем, что мои письма не доходят в домен @mail.ru (они доходят). Проблема в том, что письма от внешних пользователей на группу рассылки участники рассылки получают с измененным From, в котором указан не отправитель письма, а домен @company.ru. По второй ссылке есть сценарий: …я пользуюсь функционалом «отправлять как» на Gmail (или аналогичным) для отправки писем с адреса Mail.Ru Следует проверить настройки адреса отправки в Gmail и убедиться, что отправка идет через сервер SMTP mail.ru (smtp.mail.ru, порт 465 с использованием SSL), c корректным логином и паролем. Письма будут отправляться через сервер Mail.Ru с авторизацией отправителя и пройдут проверки SPF/DKIM/DMARC. Но в качестве обратного адреса я указываю не адрес mail.ru, а адрес своего почтового домена. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...