openDKIM/Postfix

gnitzsche gnitzsche at netcologne.de
Mi Jan 31 20:15:23 CET 2024 

Hi,

ja, das ist korrekt.
SPF: gibt eine Policy vor, wie man mit einer Mail umgehen sollte, die 
aus einem nicht angegebenen IP-Bereich
stammt. Sollte man ignorieren, gibt zu viele failures (Weiterleitungen, 
Mailinglisten..) und zu grobe
Adress-Bereiche. Evtl. scoring-Pluspunkte, wenn ein SPF-Eintrag 
vorhanden ist.
DKIM: gibt *keine* Policy vor, kann man bei failures also selbstbestimmt 
behandeln; z.B. spam-ordner oder
scoring oder..
DMARC: gibt policy vor. Empfänger sollte sich danach richten. Da aber 
häufig auf Sender-Seite nur SPF und
kein DKIM eingerichtet ist, muss man das dennoch mit Vorsicht behandeln. 
Bei DMARC fail wegen DKIM fail kann
man ruhig p=reject befolgen; bei DMARC fail nur wegen SPF fail (ohne 
DKIM) und p=reject gibt es vermutlich
irgendwann Beschwerden.. Hier ist das Protokoll nicht optimal.
Ist aber auch nicht ganz einfach, die Unterscheidung technisch 
umzusetzen.

Gruß
Gunther

On 2024-01-31 17:03, Timm Schneider via Postfixbuch-users wrote:
> Hallo
> 
> 
> Ich habe hier noch eine Frage dazu, zu meinem Verstàndnis.
> Ist der dmarc eintrag im DNS nicht dafùr zustàndig einem anderen 
> Mailsystem zu sagen, was es mit einer Mail, die sich als mich ausgibt, 
> zu verfahren hat?
> Wenn p=reject, mùsste doch das entfernte System diese Mail verwerfen.
> 
> 
> Grùsse
> Timm
> 
> 
> Am 31.01.2024 um 15:09 schrieb Carsten Rosenberg via Postfixbuch-users:
>> Moin,
>> 
>> Ablehnungen aus Policy Gründen würde ich im Rspamd nie über ein 
>> Scoring lösen.
>> 
>> Damit lernen die ganzen selbstlernenden Funktionen im wir Bayes oder 
>> Repuation solche Mails. Das ist ja meist nicht gewünscht.
>> 
>> in dmarc.conf kann man einen Reject auch auslösen:
>> 
>> actions = {
>>   quarantine = "reject";
>>   reject = "reject";
>> }
>> 
>> Noch eleganter und flexibler geht's über die force_actions
>> 
>> Viele Grüße
>> 
>> Carsten
>> 
>> On 31.01.24 14:37, Achim Lammerts via Postfixbuch-users wrote:
>>> Ich würde das eher über ein Scoring mit rspamd/spamassassin lösen, 
>>> aber es geht auch mit OpenDKIM:
>>> 
>>> http://www.opendkim.org/opendkim.conf.5.html
>>> 
>>> On-NoSignature reject
>>> 
>>> LG/A
>>> 
>>> Am 31.01.24 um 14:20 schrieb Timm Schneider via Postfixbuch-users:
>>>> Liebe Postfix-Anwender.
>>>> 
>>>> 
>>>> Ich habe mein Mailsystem mit DKIM/DMARC erweitert.
>>>> Nun meine Frage zum Verstàndnis.
>>>> Kann ich mit openDKIM auch Postfix mitteilen, das bei 
>>>> fehlenderDKIM-signatur, die mail Postfix nicht annimmt?
>>>> 
>>>> 
>>>> Grùsse
>>>> Timm Schneider
>>>> 
>>> 
> 
> --
> TMS IT-Dienst
> Timm Schneider
> Hinterstadt 2 - Eingang Jungmairgasse 2
> 4840 Vöcklabruck(VB)
> Austria
> T(AT).+43.720.501 078 u +43 664 4797925
> T(DE).+49.89.2441 3327
> T(CH).+41.32.510 9875
> T(IT).+39 366 908 0087
> F.+43.720.501 078 57
> 3CX Demo: https://www.tms-itdienst.at/telefonserver
> Chatten Sie mit mir: https://tmspbx.3cx.at/timm
> Quick Videokonferenz: https://tmspbx.3cx.at/meet/timm
> WhatsApp: +43 664 479 7925

-- 
NetCologne Systemadministration

NetCologne Gesellschaft für Telekommunikation mbH
Am Coloneum 9 ; 50829 Köln
Geschäftsführer:
  Timo von Lepel,
  Dr. Claus van der Velden
Vorsitzender des Aufsichtsrats:
  Andreas Feicht
HRB 25580, AG Köln

Mehr Informationen über die Mailingliste Postfixbuch-users