Dmarc Probleme

Mathias Jung webmaster at fitonbit.de
Do Dez 30 00:53:06 CET 2021


Hallo Florian,

Danke für Deine Hinweise.
Kurz gesagt, muss ich nur wieder den Include für listen.jpberlin.de <http://listen.jpberlin.de/> entfernen und beim DMarc erst mal wieder p=none setzen.
Das hatte ich vorher so, aber immer wieder Meldungen wie diese (kleiner Ausschnitt aus dem ersten Absatz der Meldung):

dkim=pass (4096-bit key; secure) header.d=listen.jpberlin.de <http://listen.jpberlin.de/> header.i=@listen.jpberlin.de <mailto:header.i=@listen.jpberlin.de> header.b="rQLvJPu6";
	dkim=fail reason="signature verification failed" (2048-bit key; unprotected) header.d=fitonbit.de <http://fitonbit.de/> header.i=@fitonbit.de <mailto:header.i=@fitonbit.de> header.b="PoneKwS1";
	dkim-atps=neutral


Gruß
Mathias



> Am 29.12.2021 um 21:49 schrieb Florian <florian at bodici.de>:
> 
> Hallo Mathias,
> 
> um einen DMARC=pass zu bekommen benötigst du:
> 
> Gültige Authentifizierung über SPF oder DKIM
> Alignment zwischen deiner Display From ("5322.FROM" / "Friendly From") und spf-Domain ("Envelope From" / "Return Path") oder DKIM Domain.
> 
> 
> Zur Authentifizierung:
> 
> Wenn du den Mailserver der Mailingliste nicht im SPF hinterlegt hast, bleibt nur DKIM als Option:
> 
> Deine Mail hier an die Mailingliste enthält zwei DKIM Signaturen, einmal über deine Domain "fitonbit.de" und einmal von der Mailingliste über "listen.jpberlin.de":
> 
> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=
> 	listen.jpberlin.de; h=reply-to:list-subscribe:list-help
> 	:list-post:list-archive:list-unsubscribe:list-id:precedence
> 	:x-mailer:message-id:in-reply-to:references:date:date:subject
> 	:subject:mime-version:content-transfer-encoding:content-type
> 	:content-type:from:from:received:received:received:received
> 	:received; s=dkim20210312; t=1640777216; x=1642591617; bh=[...]
> 
> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=fitonbit.de; s=default;
>  t=1640777207;
>  h=from:from:reply-to:subject:subject:date:date:message-id:message-id:
>  to:to:cc:mime-version:mime-version:content-type:content-type:
>  content-transfer-encoding:content-transfer-encoding:
>  in-reply-to:in-reply-to:references:references;
>  bh=[...]
> Wenn du über Felder signerst (h=...), die später durch die Mailingliste verändert werden, macht Dir das deinen DKIM kaputt. Die DKIM Sgnatur über listen.jpberlin.de beibt zwar erhalten und gültig, so dass du einen gültigen DKIM Eintrag hast, allerdings ist dieser nicht mit deiner FROM Adresse aligned (du kriegst unter Umständen einen DKIM pass, aber einen DMARC fail). Bei anderen Mailinglisten, die nicht selber DKIM signieren, hast du dann weder DKIM noch DMARC.
> 
> 
> 
> Zum Alignment:
> 
> SPF Alignment hast du keins, da die From nicht mir der Envelope aligned (= gleiche domain) ist:
> 
> From: Mathias Jung <webmaster at fitonbit.de> <mailto:webmaster at fitonbit.de>
> 
> Return-Path: <postfixbuch-users-bounces at listen.jpberlin.de> <mailto:postfixbuch-users-bounces at listen.jpberlin.de>
> 
> Auch hier bleibt also nur DKIM Alignment (mit deiner eigenen Signatur, siehe oben).
> 
> Ich würde empfehlen, deinen DMARC Eintrag zunächst auf p=none zu stellen und eine Weile die eingehenden Reports beobachten, ob du gültige DMARC records erzeugst. Erst wenn du Dir sicher bist, dass deine von Dir gesendeten Mails alle eine gültige Signatur haben, solltest du auf quarantine oder reject gehen, sonst gehen dir Mails verloren.
> 
> "v=DMARC1; p=quarantine; rua=mailto:dmarc at fitonbit.de,mailto:aa1ca35a at inbox.ondmarc.com <mailto:dmarc at fitonbit.de,mailto:aa1ca35a at inbox.ondmarc.com>; ruf=mailto:dmarc at fitonbit.de,mailto:aa1ca35a at inbox.ondmarc.com <mailto:dmarc at fitonbit.de,mailto:aa1ca35a at inbox.ondmarc.com>; fo=0:1:d:s; rf=afrf:iodef"
> 
> 
> Viele Grüße
> 
> Florian
> Motto des Monats: Aujourd'hui, il fait beau.
> 
> 
> 
> 
> 
> Am 29.12.2021 um 12:26 schrieb Mathias Jung:
>> Hallo Daniel,
>> 
>> Da bin ich dann tatsächlich froh.
>> Ich habe dann wohl DKim und DMarc noch nicht wirklich verstanden…
>> Welchen Sinn machen solche DNS Signaturen wenn man dann doch wieder ‚jeden‘ Whitelisten muss?
>> 
>> Und was bedeutet ‚zumindest den SPF erweitern‘ ?
>> 
>> Gruß
>> Mathias
>> 
>>  
>> 
>>> Am 29.12.2021 um 12:13 schrieb Daniel <daniel at mail24.vip> <mailto:daniel at mail24.vip>:
>>> 
>>> Moin,
>>> 
>>> kannst froh sein wenn überhaupt wer die Email zum lesen bekommt.
>>> 
>>> dkim=fail reason="signature verification failed" (2048-bit key)
>>> 
>>> Wenn Maillinglisten verwendest, muss diese auch berechtigt sein in deinen Namen an alle Teilnehmer senden zu dürfen.
>>> 
>>> Dazu solltest deinen SPF zumindest um ein "include:listen.jpberlin.de" ergänzen.
>>> 
>>> Gruß Daniel
>>> 
>>> -----Ursprüngliche Nachricht-----
>>> Von: Postfixbuch-users <postfixbuch-users-bounces at listen.jpberlin.de> <mailto:postfixbuch-users-bounces at listen.jpberlin.de> Im Auftrag von Mathias Jung
>>> Gesendet: Mittwoch, 29. Dezember 2021 09:42
>>> An: Diskussionen und Support rund um Postfix <postfixbuch-users at listen.jpberlin.de> <mailto:postfixbuch-users at listen.jpberlin.de>
>>> Betreff: Dmarc Probleme
>>> 
>>> Hallo,
>>> 
>>> womöglich etwas Off Tonic….
>>> 
>>> Ich bekomme bei allen Mailinglisten immer wieder Mailrückmeldungen das es Probleme bei der DKim und/oder DMarc Authentifizierung gibt.
>>> Ist das normal, liegt es an der Postfix Konfiguration oder muss man Mailing Listen Adressen/Domains Whitelisten?
>>> 
>>> Gruß
>>> Mathias

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20211230/f2a21e16/attachment-0001.htm>


Mehr Informationen über die Mailingliste Postfixbuch-users