OpenForum RSS: Только яндекс.почта ругается на dkim, что может быть? https://www.opennet.dev/openforum/vsluhforumID1/98081.html Добрый день, Уважаемые!<br><br>Помогите разобраться с ситуацией. Настроена почта postfix+opendkim+dovecot<br>Всё работает, dns настроены, spf, dkim проприсан, dmarc указан, mxtoolbox сообщает, что всё ок.<br>Тест при отсылке на gmail - говорит всё ок, в заголовках dkim=pass<br>При отсылке на mail.ru - также всё ок.<br>При отсылке на другой мой частный почтовик с проверкой dkim'а - также всё ок.<br>А вот при отсылке на яндекс, письмо идёт в спам с пометкой о невалидной dkim подписи и предположении, что письмо было изменено после отправки.<br><br>Скажите пожалуйста ваши предположения о том, как эту ситуацию продиагностировать и может даже победить? <br><br>До этого момента я считал гуглопочту самой замороченной и проблемной, но тут с ней всё отлично, а вот яндекс недоволен. <br> Только яндекс.почта ругается на dkim, что может быть? (Дмитрий) https://www.opennet.dev/openforum/vsluhforumID1/98081.html#14 Sun, 02 Nov 2025 12:51:37 GMT &gt;[оверквотинг удален]<br>&gt; При отсылке на mail.ru - также всё ок.<br>&gt; При отсылке на другой мой частный почтовик с проверкой dkim'а - также <br>&gt; всё ок.<br>&gt; А вот при отсылке на яндекс, письмо идёт в спам с пометкой <br>&gt; о невалидной dkim подписи и предположении, что письмо было изменено после <br>&gt; отправки.<br>&gt; Скажите пожалуйста ваши предположения о том, как эту ситуацию продиагностировать и может <br>&gt; даже победить?<br>&gt; До этого момента я считал гуглопочту самой замороченной и проблемной, но тут <br>&gt; с ней всё отлично, а вот яндекс недоволен.<br><br>Не проверял как мои письма приходят на яндекс, но очень много писем от яндекса падают в спам (не все, но многие) из-зи того, что не проходят проверку dkim. Грешил на свой почтовый сервер, но решил проверить - и результат сервисы проверки пишет что DKIM письма некорректный: DKIM-Result: fail (bad signature). Походу у яндекса кривая реализация dkim, что в ту, что в другую сторону<br> Только яндекс.почта ругается на dkim, что может быть? (Тот самый) https://www.opennet.dev/openforum/vsluhforumID1/98081.html#13 Tue, 14 Oct 2025 20:54:01 GMT Еще версия для проверки.<br><br>&gt;h=From:To:Date:Subject;<br><br>Это не совсем стандартный сокращенный перечень заголовков для подписывания.<br>В RFC 6376 (DKIM) по поводу заголовков сказано:<br>signing fields present in the message such as Date, Subject, Reply-To, Sender, and all MIME header fields are highly advised.<br>Может в Яндексе "highly advised" воспринимают как "обязательно"?<br> Только яндекс.почта ругается на dkim, что может быть? (Аноним) https://www.opennet.dev/openforum/vsluhforumID1/98081.html#12 Tue, 14 Oct 2025 18:25:17 GMT Может потребоваться до 72 часов, чтобы DNS-серверы в интернете обменялись данными о новых DNS-записях.<br> Только яндекс.почта ругается на dkim, что может быть? (Аноним) https://www.opennet.dev/openforum/vsluhforumID1/98081.html#11 Tue, 14 Oct 2025 18:23:07 GMT Проверьте, что домен, указанный в поле FROM: ваших писем, совпадает с доменом из SPF-записи или DKIM-подписи с точностью до домена верхнего уровня.<br><br>Яндекс кроме dkim также обязательно проверяет spf<br> Только яндекс.почта ругается на dkim, что может быть? (Аноним) https://www.opennet.dev/openforum/vsluhforumID1/98081.html#10 Tue, 14 Oct 2025 18:14:10 GMT значения полей from и reply-to совпадают в письмах?<br> Только яндекс.почта ругается на dkim, что может быть? (Аноним) https://www.opennet.dev/openforum/vsluhforumID1/98081.html#9 Tue, 14 Oct 2025 18:04:44 GMT а в dns какие записи вы сделали насчёт dkim? имеется ввиду режим только подписанные или могут быть неподписанные или discardable?<br> Только яндекс.почта ругается на dkim, что может быть? (Мохнонос) https://www.opennet.dev/openforum/vsluhforumID1/98081.html#8 Tue, 14 Oct 2025 05:35:02 GMT &gt; есть ли в настройках postfix header_checks?<br><br>Добрый день!<br><br>Да, в настройках есть замена заголовка, чтобы данные об ip отправителя убирал.<br>[code]/^Received: from .*?\(Authenticated sender: [^)]+\)[[:space:]]+(by.*)/ REPLACE Received: ${1}<br>/^Received: from .*?\(.*\[[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+\]\)/ REPLACE Received: by mx.domen.ru<br>[/code]<br>Я про это уже думал и замену заголовка Received отключал. Сейчас вот ещё раз сделал, проверил - так же яндекс отправил с той же резолюцией в спам, а заголовок Received в письме без каких-либо правок.<br>Да и более того в подписи dkim этот заголовок у меня не участвует<br>[code]DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=domen.ru; s=relay;<br>t=1760419814; bh=_КАКОЙ_ТО_ХЕШ_;<br>h=From:To:Date:Subject;<br>b=_КАКОЙ_ТО_ХЕШ_[/code]<br>И больше всего меня смущает то, что другие-то почтовики говорят, что dkim=pass. Не могут же многие почтовики ошибаться, а один яндекс - д'Артаньяном быть?<br> Только яндекс.почта ругается на dkim, что может быть? (Мохнонос) https://www.opennet.dev/openforum/vsluhforumID1/98081.html#7 Tue, 14 Oct 2025 05:27:50 GMT &gt; Один из возможных сценариев.<br>&gt; Для связки postfix+opendkim достаточно частая ошибка, когда перечень заголовков, которые <br>&gt; подлежат защите DKIM удваивается. Выглядит это вот так: <br>&gt; DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ххххххх.ru; h=content-type:content-type:from:from:subject:subject:to:to.... <br>&gt; Проверь. Может быть и у тебя такое.<br><br>Добрый день!<br><br>Заголовки я проверял. Вот с письма данные:<br>[code]DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=domen.ru; s=relay;<br>t=1760419087; bh=КАКАЯ_ТО_ХЕШ_ПОДПИСЬ;<br>h=From:To:Date:Subject;<br>b=КАКАЯ_ТО_ХЕШ_ПОДПИСЬ[/code]<br> Только яндекс.почта ругается на dkim, что может быть? (Тот самый) https://www.opennet.dev/openforum/vsluhforumID1/98081.html#6 Mon, 13 Oct 2025 19:53:46 GMT это означает, что некоторые не умеют правильно настраивать postfix+opendkim<br><br>