Docker-Mailserver 中 OpenDMARC 默认行为变更的技术解析

背景介绍

在 Docker-Mailserver 项目升级到 Debian 12 (Bookworm) 版本后，OpenDMARC 组件从 1.4.0 版本更新到了 1.4.2 版本。这一更新带来了一个重要的行为变化，影响了邮件服务器如何处理 DMARC 策略为 quarantine(隔离)的邮件。

OpenDMARC 版本变更详情

OpenDMARC 1.4.2 版本引入了名为 HoldQuarantinedMessages 的新配置选项，其默认值设置为 false。这一变更源于 OpenDMARC 项目自身的调整，主要变化包括：

1. 当该选项为 false 时(默认值)，DMARC 策略为 quarantine 的邮件会被传递到用户的收件箱
2. 当该选项为 true 时，这些邮件会被放入 MTA 的"hold"队列

对 Docker-Mailserver 的影响

在之前的版本中，Docker-Mailserver 实际上是将 quarantine 策略的邮件放入 hold 队列处理。而随着 OpenDMARC 1.4.2 的更新，默认行为变为将这些邮件直接投递到用户收件箱。

这一变化对系统管理员的影响主要体现在：

1. 监控方式改变：原先依赖监控 hold 队列来识别可疑邮件的系统需要调整
2. 安全策略调整：邮件直接进入收件箱可能增加用户接触可疑邮件的风险
3. 管理习惯改变：需要重新评估现有的邮件过滤和安全策略

配置恢复方法

如果需要恢复之前的行为(即将 quarantine 邮件放入 hold 队列)，可以通过以下方式实现：

1. 创建或修改 /etc/opendmarc.conf 文件
2. 添加配置项：HoldQuarantinedMessages true
3. 对于 Docker-Mailserver，可以通过 user-patches 机制或构建自定义镜像来实现这一配置

项目维护决策

Docker-Mailserver 维护团队经过讨论后决定：

1. 尊重上游 OpenDMARC 项目的默认设置
2. 在项目变更日志中明确记录这一行为变化
3. 不主动恢复旧有行为，但提供配置方法供用户自行选择

最佳实践建议

对于不同使用场景的系统管理员，我们建议：

1. 注重安全的场景：考虑启用 HoldQuarantinedMessages true，以便集中审查可疑邮件
2. 简化管理的场景：可以保持默认设置，但应确保用户有足够的邮件安全意识
3. 过渡期处理：在升级后应检查 DMARC 相关邮件的处理情况，必要时调整监控系统

技术原理延伸

DMARC 的 quarantine 策略本身是介于 reject(拒绝)和 none(无操作)之间的中间策略，旨在标记可疑邮件而非直接拒绝。OpenDMARC 的默认行为变更反映了业界对 quarantine 策略理解的变化 - 从"完全拦截"到"标记但允许访问"的转变。这种变化让最终用户能够看到这些被标记的邮件，同时依靠邮件客户端或用户培训来处理这些潜在风险。