Dmarc Probleme

[Juri Haberland]

On 29/12/2021 21:49, Florian wrote:
> Wenn du über Felder signerst (h=...), die später durch die Mailingliste 
> verändert werden, macht Dir das deinen DKIM kaputt. Die DKIM Sgnatur 
> über listen.jpberlin.de beibt zwar erhalten und gültig, so dass du einen 
> gültigen DKIM Eintrag hast, allerdings ist dieser nicht mit deiner FROM 
> Adresse aligned (du kriegst unter Umständen einen DKIM pass, aber einen 
> DMARC fail). Bei anderen Mailinglisten, die nicht selber DKIM signieren, 
> hast du dann weder DKIM noch DMARC.

Richtig. Wenn ich das richtig sehe, signiert ihr beide (der OP und du,
Florian) den Reply-To Header, der aber von vielen Mailinglisten gesetzt
wird - so auch von dieser. Deshalb sind eure beiden DKIM-Signaturen
ungültig und euer DMARC-Ergebnis "fail". Ihr solltet das IMHO ändern.

> dkim=fail reason="signature verification failed" (2048-bit key;
unprotected) header.d=bodici.de header.i=@bodici.de header.b=fUbwJqgN;

> dkim=fail reason="signature verification failed" (2048-bit key;
unprotected) header.d=fitonbit.de header.i=@fitonbit.de header.b=MnoC9mSm;

> Ich würde empfehlen, deinen DMARC Eintrag zunächst auf p=none zu stellen 
> und eine Weile die eingehenden Reports beobachten, ob du gültige DMARC 
> records erzeugst. Erst wenn du Dir sicher bist, dass deine von Dir 
> gesendeten Mails alle eine gültige Signatur haben, solltest du auf 
> quarantine oder reject gehen, sonst gehen dir Mails verloren.

Ack.

Viele Grüße,
  Juri