Re: Eine kleine Geschichte …

Michael Kliewe m.kliewe at team.mail.de
Do Okt 19 11:21:48 CEST 2023 

Hi,

bei DMARC und DKIM wird der From:-Header genommen (der sollte auch bei 
Bounces gesetzt sein), nicht der Envelope-From (der bei Bounces 
richtigerweise leer ist).

Der From:-Header von Postfix-Bounce-Mails lautet standardmäßig:
From: Mail Delivery System <Mailer-Daemon@[$myhostname oder $myorigin]>
Ich weiß gerade nicht ob es $myhostname oder $myorigin ist, die sind ja 
auch meistens gleich konfiguriert :-).

Bounce-Mails, die Postfix selbst generiert, werden standardmäßig nicht 
durch die Milter (non_smtpd_milters) geschickt, das ist richtig. Das 
kann man aber ändern (wenn man sich sicher ist, dass man damit keine 
Schleife erstellt), dafür gibt es die "internal_mail_filter_classes" 
Einstellung:

-------- main.cf -------

# run opendkim also on non_smtpd mails like bounces
internal_mail_filter_classes = bounce
milter_default_action = accept
milter_protocol = 6
non_smtpd_milters=inet:127.0.0.1:8891

--------------------------

Sobald man "internal_mail_filter_classes = bounce" setzt werden auch 
interne Postfix-Mails (Bounces, und DSN glaube ich auch?) durch die 
konfigurierten "non_smtpd_milters" gejagt.

Die Warnung in der Doku sollte man wie gesagt beachten:
"NOTE: It's generally not safe to enable content inspection of 
Postfix-generated email messages. The user is warned. "
https://www.postfix.org/postconf.5.html#internal_mail_filter_classes

Man sollte also sicherstellen dass man für diese Bounce-Mails keinen 
Spam-Check ("content inspection") durchführt (der zu einem reject führen 
kann), sondern nur DKIM-Signaturen hinzufügt, was nie zu einem reject 
führt. Sonst erhält man eine Schleife.

Viele Grüße
Michael

Am 19.10.2023 um 10:36 schrieb Florian via Postfixbuch-users:
> Hallo Achim,
>
> wenn dein FROM leer war, welche DMARC Konfiguration soll denn dann 
> gegriffen haben? Es geht doch immer genau um die DMARC Konfiguration 
> der Domain, die im From verwendet wurde.
>
> Oder hab ich was falsch verstanden?
>
> VG,
>
> Florian Vierke
> mobile: +49 177 8079538
> Motto des Monats: n/a
>
> Am 19.10.2023 um 10:25 schrieb Achim Lammerts via Postfixbuch-users:
>> … wie man sich scheinbar mit einer einzigen E-Mail die Reputation bei 
>> Microsoft versaut:
>>
>> Gestern war mir aufgefallen, daß E-Mails an Hotmail nicht mehr 
>> angenommen werden. Nach einem ersten cholerischen Anfall konnte ich 
>> wieder etwas klarer denken und habe mir die DMARC Reporte angesehen, 
>> die ich von Microsoft geschickt bekomme. Es ist immer eine gute Idee, 
>> das Reporting zu aktivieren. Tatsächlich gab es vor ein paar Tagen 
>> einen Quarantänefall durch meinen Server bei einem Absender, der die 
>> Infrastruktur von M$ nutzt.
>> Die Ursache war 1 (!) schlichte “sender delivery status notification” 
>> mit leerem FROM, …
>>
>> Oct 13 12:57:46 mx postfix/bounce[127201]: 6F7B27D02F: sender 
>> delivery status notification: 5E3107D136
>> Oct 13 12:57:46 mx postfix/qmgr[2188]: 5E3107D136: from=<>, 
>> size=11213, nrcpt=1 (queue active)
>> Oct 13 12:57:46 mx postfix/qmgr[2188]: 6F7B27D02F: removed
>> Oct 13 12:57:47 mx postfix/smtp[127203]: 5E3107D136: 
>> to=<recipient at domain.tld>, 
>> relay=domain-tld01i.mail.protection.outlook.com[52.101.73.30]:25, 
>> delay=0.9, delays=0/0/0.17/0.72, dsn=2.6.0, status=sent (250 2.6.0 
>> <20231013105746.5E3107D136 at mx.syntaxys.de> 
>> [InternalId=15934328691445, 
>> Hostname=BE1P281MB3365.DEUP281.PROD.OUTLOOK.COM] 20392 bytes in 
>> 0.117, 170.108 KB/sec Queued mail for delivery)
>> Oct 13 12:57:47 mx postfix/qmgr[2188]: 5E3107D136: removed
>>
>> … die nicht DKIM signiert wurde und meine restriktive 
>> DMARC-Konfiguration:
>>
>> _dmarc IN TXT "v=DMARC1; p=quarantine; sp=reject; 
>> rua=mailto:dmarcreport at domain.tld; 
>> ruf=mailto:dmarcfailure at domain.tld; fo=0; adkim=r; aspf=r; pct=100; 
>> rf=afrf; ri=86400;"
>>
>> Ich frage mich nun, wie ich das Problem lösen kann, ohne die 
>> DMARC-Einstellungen aufzuweichen. Und die DKIM-Signierung übernimmt 
>> bei mir der rspamd, aber die bounces / sender delivery status 
>> notification werden ja nicht gemiltert.
>>
>> Wie kann ich die Standardeinstellung (Mail Delivery System 
>> <MAILER-DAEMON at mx.domain.tld>) beim FROM der bounces / sender 
>> delivery status notification setzen?
>>
>> Bekomme ich es hin, daß Postfix grundsätzlich alles durch den Milter 
>> schickt? Dann wären auch die mit DKIM signiert.
>>
>> Sollte ich DMARC für die Hauptdomain besser so setzen?
>>
>> _dmarc IN TXT "v=DMARC1; p=quarantine; sp=none; 
>> rua=mailto:dmarcreport at domain.tld; 
>> ruf=mailto:dmarcfailure at domain.tld; fo=0; adkim=r; aspf=r; pct=100; 
>> rf=afrf; ri=86400;"
>>
>> und für den mx:
>>
>> _dmarc.mx IN TXT "v=DMARC1; p=reject; 
>> rua=mailto:dmarcreport at domain.tld; 
>> ruf=mailto:dmarcfailure at domain.tld; fo=0; aspf=r; pct=100; rf=afrf; 
>> ri=86400;"
>>
>> Danke für die Hilfe,
>> LG/A
>>

Mehr Informationen über die Mailingliste Postfixbuch-users