DMARC, Google und SPF Fails

Florian Vierke florian at bodici.de
Do Mär 5 15:03:54 CET 2026 

Hallo Thomas,

ich bin auch Fan von KI Unterstützung, aber teile deine Aussage trotzdem nur bedingt:

Ja, man bekommt die Frage des Themenerstellers mit Hilfe von KI beantwortet, aber die Aussage, dass man zukünftig auf den rua= verzichten kann ist aus meiner Sicht beispielsweise falsch. Mit dem Verzicht aus rua verzichtet man auf Reporting: man bekommt also weder mit, wenn eigene Prozesse kaputt gehen (und nicht mehr richtig Authentifizieren) noch bekommt man Domainabuse von außen mit. Kontinuierliches und dauerhaftes Monitoring ist aus meiner Sicht absolut geboten, insbesondere bei p=reject. 
Würde man der KI dies als Einwand geben würde sie antworten "da hast du absolut recht, dann behaupte ich mal das Gegenteil von meiner zuvorigen Aussage". Es ist also Vorsicht geboten.

Die Bedeutung von Foren verschwindet somit auch meiner Sicht auch nicht - sie verschiebt sich nur: Auf welches Wissen sollen LLMs denn zurückgreifen, wenn keiner mehr etwas speichern würde? Sie sind ja nicht wirklich "künstlich intelligent", sondern eben nur gut in der Verarbeitung großer Datenmengen und der Erkennung von Mustern :)

Dass niemand händisch XML-Dateien verarbeitet ist natürlich wiederum richtig. Bei geringen Volumina und Domains kann man viele der angebotenen Visualisierungstools kostenlos einsetzen.

Viele Grüße,

Florian Vierke
Motto des Monats: Und wo warst du am 31.Januar 2026!?

> On 5. Mar 2026, at 14:39, Thomas via Postfixbuch-users <postfixbuch-users at listen.jpberlin.de> wrote:
> 
> Hi,
> ein Tip, gib deine Frage so komplett z.B.  chatgpt, und gemini ein.
> Da bekommst du das fast alles geklärt und kannst sogar noch mit dem Ding diskutieren.
> wie hier
> 
> 
> "
> .
> .
> Ein kleiner Tipp am Rande:
> Da du bereits p=reject gesetzt hast und DKIM-Passes von fremden IPs siehst, ist deine Konfiguration stabil. Wenn dich die XML-Flut von Google irgendwann nervt, kannst du das rua-Tag später entfernen oder ein Tool zur Visualisierung nutzen – aber technisch hast du alles richtig gemacht.
> 
> Soll ich mal einen Blick auf deinen kompletten DMARC-Record werfen, ob da noch Optimierungspotenzial bei den Tags schlummert?
> .
> "
> 
> 
> Ich musste feststellen das sich fast alles auf dem Weg klären lässt. Bedeutung von Foren oder Mailinglisten nimmt stark ab.
> 
> Gruss
> Thomas
> 
> Am 04.03.26 um 19:05 schrieb R. Wiesenfarth via Postfixbuch-users:
>> Hallo Ihr,
>> ich habe für einen Server SPF, DKIM und DMARC eingerichtet. Da ich ziemlicher Laie bin, habe ich aktuell noch ein rua-Tag im DMARC-Record, um das Ganze zu verifizieren.
>> So weit, so gut, die meisten DMARC Reports, die ich bekomme, enthalten die erwarteten Einträge...
>> ...nur die von Google nicht.
>> Kennt Ihr das Verhalten? Muss _ich_ mir da Gedanken machen oder ist das ein PAL (Problem anderer Leute)?
>> Viele Grüße
>> Rainer
>> Hier ein (leicht modifizierter) Auszug:
>> <feedback>
>>   <version>1.0</version>
>>   <report_metadata>
>>     <org_name>google.com</org_name>
>>     <email>noreply-dmarc-support at google.com</email>
>> <extra_contact_info>https://support.google.com/a/answer/2466580</ extra_contact_info>
>>     <report_id>...</report_id>
>>     <date_range>
>>       <begin>1772409600</begin>
>>       <end>1772495999</end>
>>     </date_range>
>>   </report_metadata>
>>   <policy_published>
>>     <domain>meine-domain.de</domain>
>>     <adkim>s</adkim>
>>     <aspf>s</aspf>  <--- hier steht doch "strict"?
>>     <p>reject</p>
>>     <sp>reject</sp>
>>     <pct>100</pct>
>>     <np>reject</np>
>>   </policy_published>
>>   <record>
>>     <row>
>>       <source_ip>nicht.meine.ip.adresse</source_ip>
>>       <count>1</count>
>>       <policy_evaluated>
>>         <disposition>none</disposition>  <--- warum kein "reject"???
>>         <dkim>pass</dkim>
>>         <spf>fail</spf>  <--- das passt, ist nicht mein Server
>>       </policy_evaluated>
>>     </row>
>>     <identifiers>
>>       <header_from>meine-domain.de</header_from>
>>     </identifiers>
>>     <auth_results>
>>       <dkim>
>>         <domain>meine-domain.de</domain>
>>         <result>pass</result>
>>         <selector>202310</selector>
>>       </dkim>
>>       <spf>
>>         <domain>meine-domain.de</domain>
>>         <result>fail</result>
>>       </spf>
>>     </auth_results>
>>   </record>
>> </feedback>
> 

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20260305/1d3fffc0/attachment.htm>

Mehr Informationen über die Mailingliste Postfixbuch-users