Frage Mailinglisten DNSEC DKIM usw.

Alex JOST jost+lists at dimejo.at
Mo Feb 26 17:12:18 CET 2018 

Am 26.02.2018 um 14:58 schrieb Günther J. Niederwimmer:
> Hallo,
> 
> Am Montag, 26. Februar 2018, 14:25:47 CET schrieb Andreas Pothe:
>> Hi,
>>
>> Am 26.02.2018 um 14:20 schrieb Günther J. Niederwimmer:
>>> ist das eigentlich üblich DKIM Fehler zu bekommen!
>>>
>>>>> Hintergrund:
>>>>>
>>>>> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert,
>>>>> jetzt
>>>>> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen
>>>>> umgestellt.
>>>>>
>>>>> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
>>>>
>>>> Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
>>>> successfull.
>>>
>>> Das ist ja auch meine "alte" EMail Adresse ohne DNSSEC usw. ;-)
>>>
>>> Ich habe zum Test nur bei opensuse Mailinglisten auf meine "neuen"
>>> Adressen
>>> umgestellt und da funktioniert das ganze anscheinend nicht!
>>>
>>> Da bekkomme ich nur Reports mit "fail" da ja der SUSE Server nicht zu
>>> meiner Adresse passt!
>>
>> Das hat dann aber nichts mit DNSSEC zu tun, sondern damit, dass dein
>> DKIM nicht passt. Wer nimmt denn aufgrund fehlerhafter DKIM-Signatur
>> nicht an, die Mailingliste oder deren Empfänger? Wenn letzteres, wird
>> der Header durch den Mailinglisten-Server verändert.
>>
>> Lass mich raten: Du hast auch den Header auf Strict? Versuch es mal mit
>> Relaxed, dann ist die Wahrscheinlichkeit für Ablehnung besser.
>>
>> Für weitere Hilfe brauchen wir Tacheles. Ohne konkrete Daten können wir
>> nur spekulieren, das ist doof.
> 
> Ja ich habe auch DMARK aktiviert ist ein rspamd installation!
> 
> Du meintest Tacheles ;-)
> 
> die Mailingliste nimmt es an, es kommen die Fehlermeldungen vom Empfänger!
> 
> wie gesagt, ich habe erst 2 Mailinglisten umgestellt auf die neue Adresse.

> 			<source_ip>195.135.221.145</source_ip>
> 			<count>1</count>
> 			<policy_evaluated>
> 				<disposition>reject</disposition>
> 				<dkim>fail</dkim>
> 				<spf>fail</spf>
> 			</policy_evaluated>

> 			<source_ip>2001:67c:2178:8::18</source_ip>
> 			<count>4</count>
> 			<policy_evaluated>
> 				<disposition>reject</disposition>
> 				<dkim>fail</dkim>
> 				<spf>fail</spf>
> 			</policy_evaluated>

$ dig gjn.at TXT +short
"v=spf1 mx ip4:89.26.108.7 ip4:89.26.108.0/28 ip6:2001:470:1f0b:371::203 
ip6:2001:470:1f0b:371::/64 include:4gjn.com -all"

$ dig 4gjn.com TXT +short
"v=spf1 mx ip4:89.26.108.7 ip4:89.26.108.8 ip6:2001:470:1f0b:371::203 
ip6:2001:470:1f0b:371::213 -all"

Die Absender-IPs stimmen nicht mit den SPF-Einträgen überein. 
Wahrscheinlich haben sich die IPs mal geändert, und Du hast vergessen 
die DNS-Einträge anzupassen.

Übrigens macht das 'include:4gjn.com' in dem Fall keinen Sinn.


> 				<domain>gjn.at</domain>
> 				<result>fail</result>
> 				<selector>2017</selector>

Der verwendete Selektor existiert im DNS. Warum die Prüfung auf DKIM 
fehlschlägt ist von hier aus also nicht so einfach zu beantworten.

-- 
Alex JOST

Mehr Informationen über die Mailingliste Postfixbuch-users