Wildcard SPF
Florian
florian at bodici.de
Fr Dez 23 15:45:51 CET 2022
Hi zusammen,
André hat recht: für einen gültigen DMARC reicht SPF _ODER _DKIM -
allerdings plus Alignment.
Der Alignment part wird oft übersehen, da vermute ich auch dein Problem.
Beispiel:
Du verwendest foo.com im FROM, signierst aber (gültig) DKIM mit bar.com
- im Ergebnis hast du aus DMARC Sicht keine gültige DKIM Prüfung, weil
du nicht mit der im FROM verwendeten Domain signierst hast.
Das gleiche gilt für SPF: Wenn du im FROM eine andere Domain verwendest
wie im ENVELOPE ("Return-Path"), dann fehlt das Alignment, egal ob der
reine SPF Eintrag passt oder nicht.
Wenn du nicht weiterkommst, schick mir mal den kompletten Header deiner
abgelehnten Mail, dann sag ich dir, woran es gehakt hat.
Viele Grüße,
Florian Vierke
mobile: +49 177 8079538
Motto des Monats: ... und wo warst du am 12. Februar 2022? ... und am 30. April?
Am 23.12.2022 um 14:23 schrieb Jan via Postfixbuch-users:
> Moin,
>
> bei DMARC müssen SPF und DKIM passen, sonst tritt "p" in Kraft (siehe
> Fehlermeldung). SPF wird nur auf die Envelope-Adresse angewendet. Bei
> DMARC zusätzlich auch die From-Adresse.
>
> Viele Grüße
> Jan
>
> Am 23.12.2022 13:54, schrieb Andre via Postfixbuch-users:
>> Moin,
>>
>>> Allerdings ist SPF alles andere als unumstritten...
>>
>> Ja, sehe ich auch so. Schwachstellen im Design, wie hier die
>> Erfahrung mit den Subdomains zeigt.
>>
>> Hab hier noch einen Fall.
>>
>> Ich verwalte die Domain und habe SPF, DKIM und DMARC ist
>> eingerichtet, nennen wir sie hier example.com.
>>
>> Der Kunde versendet vom google Mailserver und hat in seinem
>> Thunderbird kunde at gmail.com als Benutzername und Absender
>> mail at example.com eingerichtet.
>>
>> Im SPF von example.com habe ich google-Mailserver inkludiert, sodass
>> SPF nachweislich passt.
>>
>> Die Mails von dem Kunden werden nicht signiert versendet.
>>
>> Hier mein DMARC-Eintrag.
>>
>> v=DMARC1; p=reject;
>>
>> Schickt er sich selbst eine E-Mail, also an kunde at gmail.com, wird
>> diese von google mit folgender Begründung nicht angenommen:
>>
>> -------------------------------
>> Action: failed
>> Status: 5.7.26
>> Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email from
>> example.com is not accepted due to
>> 550-5.7.26 domain's DMARC policy. Please contact the administrator of
>> 550-5.7.26 example.com domain if this was a legitimate mail. Please
>> visit
>> -------------------------------
>>
>> Ich dachte, es muss mindestens eins vom beiden, SPF oder DKIM
>> stimmen, oder halt beide, damit die Prüfung durchgeht. In diesem Fall
>> stimmt ja der SPF.
>>
>> Warum wird die Mail trotzdem nicht angenommen?
>> Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen?
>>
>> --
>> LG
>> Andre
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20221223/6cf17bc2/attachment.htm>
Mehr Informationen über die Mailingliste Postfixbuch-users