Dmarc Probleme

Florian florian at bodici.de
Mi Dez 29 21:49:10 CET 2021 

Hallo Mathias,

um einen DMARC=pass zu bekommen benötigst du:

 1. Gültige *Authentifizierung *über SPF oder DKIM
 2. *Alignment *zwischen deiner Display From ("5322.FROM" / "Friendly
    From") und spf-Domain ("Envelope From" / "Return Path") oder DKIM
    Domain.


_Zur Authentifizierung:_

Wenn du den Mailserver der Mailingliste nicht im SPF hinterlegt hast, 
bleibt nur DKIM als Option:

Deine Mail hier an die Mailingliste enthält zwei DKIM Signaturen, einmal 
über deine Domain "fitonbit.de" und einmal von der Mailingliste über 
"listen.jpberlin.de":

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=
	listen.jpberlin.de; h=reply-to:list-subscribe:list-help
	:list-post:list-archive:list-unsubscribe:list-id:precedence
	:x-mailer:message-id:in-reply-to:references:date:date:subject
	:subject:mime-version:content-transfer-encoding:content-type
	:content-type:from:from:received:received:received:received
	:received; s=dkim20210312; t=1640777216; x=1642591617; bh=[...]

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=fitonbit.de; s=default;
  t=1640777207;
  h=from:from:reply-to:subject:subject:date:date:message-id:message-id:
  to:to:cc:mime-version:mime-version:content-type:content-type:
  content-transfer-encoding:content-transfer-encoding:
  in-reply-to:in-reply-to:references:references;
  bh=[...]

Wenn du über Felder signerst (h=...), die später durch die Mailingliste 
verändert werden, macht Dir das deinen DKIM kaputt. Die DKIM Sgnatur 
über listen.jpberlin.de beibt zwar erhalten und gültig, so dass du einen 
gültigen DKIM Eintrag hast, allerdings ist dieser nicht mit deiner FROM 
Adresse aligned (du kriegst unter Umständen einen DKIM pass, aber einen 
DMARC fail). Bei anderen Mailinglisten, die nicht selber DKIM signieren, 
hast du dann weder DKIM noch DMARC.


_Zum Alignment:_

SPF Alignment hast du keins, da die From nicht mir der Envelope aligned 
(= gleiche domain) ist:

From: Mathias Jung<webmaster at fitonbit.de>

Return-Path:<postfixbuch-users-bounces at listen.jpberlin.de>


Auch hier bleibt also nur DKIM Alignment (mit deiner eigenen Signatur, 
siehe oben).

Ich würde empfehlen, deinen DMARC Eintrag zunächst auf p=none zu stellen 
und eine Weile die eingehenden Reports beobachten, ob du gültige DMARC 
records erzeugst. Erst wenn du Dir sicher bist, dass deine von Dir 
gesendeten Mails alle eine gültige Signatur haben, solltest du auf 
quarantine oder reject gehen, sonst gehen dir Mails verloren.

"v=DMARC1; p=quarantine; rua=mailto:dmarc at fitonbit.de,mailto:aa1ca35a at inbox.ondmarc.com; ruf=mailto:dmarc at fitonbit.de,mailto:aa1ca35a at inbox.ondmarc.com; fo=0:1:d:s; rf=afrf:iodef"


Viele Grüße

Florian
Motto des Monats: Aujourd'hui, il fait beau.






Am 29.12.2021 um 12:26 schrieb Mathias Jung:
> Hallo Daniel,
>
> Da bin ich dann tatsächlich froh.
> Ich habe dann wohl DKim und DMarc noch nicht wirklich verstanden…
> Welchen Sinn machen solche DNS Signaturen wenn man dann doch wieder ‚jeden‘ Whitelisten muss?
>
> Und was bedeutet ‚zumindest den SPF erweitern‘ ?
>
> Gruß
> Mathias
>
>   
>
>> Am 29.12.2021 um 12:13 schrieb Daniel<daniel at mail24.vip>:
>>
>> Moin,
>>
>> kannst froh sein wenn überhaupt wer die Email zum lesen bekommt.
>>
>> dkim=fail reason="signature verification failed" (2048-bit key)
>>
>> Wenn Maillinglisten verwendest, muss diese auch berechtigt sein in deinen Namen an alle Teilnehmer senden zu dürfen.
>>
>> Dazu solltest deinen SPF zumindest um ein "include:listen.jpberlin.de" ergänzen.
>>
>> Gruß Daniel
>>
>> -----Ursprüngliche Nachricht-----
>> Von: Postfixbuch-users<postfixbuch-users-bounces at listen.jpberlin.de>  Im Auftrag von Mathias Jung
>> Gesendet: Mittwoch, 29. Dezember 2021 09:42
>> An: Diskussionen und Support rund um Postfix<postfixbuch-users at listen.jpberlin.de>
>> Betreff: Dmarc Probleme
>>
>> Hallo,
>>
>> womöglich etwas Off Tonic….
>>
>> Ich bekomme bei allen Mailinglisten immer wieder Mailrückmeldungen das es Probleme bei der DKim und/oder DMarc Authentifizierung gibt.
>> Ist das normal, liegt es an der Postfix Konfiguration oder muss man Mailing Listen Adressen/Domains Whitelisten?
>>
>> Gruß
>> Mathias
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20211229/5b850977/attachment.htm>

Mehr Informationen über die Mailingliste Postfixbuch-users