Dmarc Probleme

Gerald Galster list+postfixbuch at gcore.biz
Mo Feb 21 21:38:25 CET 2022


> Sorry, die Mail sollte eigentlich an die Liste gehen 😅
> 
Über die Liste bekomme ich von rspamd:
DMARC_POLICY_QUARANTINE:1.50:syntaxys.de : SPF not aligned (relaxed), DKIM not aligned (relaxed);quarantine

https://datatracker.ietf.org/doc/html/rfc7960#section-2.2

------------------------
2.2.  Message Forwarding

   Section 3 describes forwarding behavior as it relates to the
   components of the Internet Mail Architecture.

   All forwarding operations involve the retransmission of email.  As
   discussed above, in order for SPF to yield an Authenticated
   Identifier that is pertinent to DMARC, the domain of the
   RFC7208.MAILFROM must be in alignment with the RFC5322.From header
   field.  Forwarding introduces specific issues to the availability of
   SPF-based Authenticated Identifiers:

   -  If the RFC5321.MailFrom is present and the forwarder maintains the
      original RFC5321.MailFrom, SPF validation will fail unless the
      forwarder is an authorized part of the originator's email sending
      infrastructure.  If the forwarder replaces the RFC5321.MailFrom
      with its own domain, SPF might pass, but Identifier Alignment with
      the RFC5322.From header field will fail.

   -  If the RFC5321.MailFrom is empty (as in the case of Delivery
      Status Notifications), the RFC5321.HELO/.EHLO domain of the
      forwarder will likely be in a different Organizational Domain than
      the original RFC5322.From header field's domain.  SPF may pass,
      but Identifier Alignment with the RFC5322.From header field will
      fail.

   In both cases, SPF cannot yield relevant Authenticated Identifiers,
   and DKIM must be relied upon to produce results that are relevant to
   DMARC.
-------------------------

Ich verstehe das so: normalerweise wird für SPF nur der envelope-sender
angeschaut (= "MAIL FROM" im SMTP-Protokoll). In Verbindung mit DMARC muss
dieser zusätzlich mit dem "From:" innerhalb der Mail übereinstimmen um einen
"Authenticated Identifier" zu liefern.

Die Mailingliste ersetzt den envelope-sender mit postfixbuch-users-bounces at listen.jpberlin.de.
Damit kann der SPF an sich verifiziert werden, fällt aber für DMARC raus.


Bzgl. DKIM: https://datatracker.ietf.org/doc/html/rfc6376#section-3.1

ABNF:

   selector =   sub-domain *( "." sub-domain )

sub-domain ist definiert in https://datatracker.ietf.org/doc/html/rfc5321 als

sub-domain     = Let-dig [Ldh-str]
Let-dig        = ALPHA / DIGIT
Ldh-str        = *( ALPHA / DIGIT / "-" ) Let-dig

ALPHA wiederum in https://datatracker.ietf.org/doc/html/rfc5234#appendix-B
ALPHA          =  %x41-5A / %x61-7A   ; A-Z / a-z

Falls ich nichts übersehen hab sollten im Selektor weder "_" noch "." vorkommen:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=syntaxys.de;
 s=2022-02-20_syntaxys.de

Probier vielleicht mal s=dkim20220220

In der Mail gibt es zwei DKIM-Signature Header, einen von der Liste und einen von Dir.
Falls Deiner wegen der Syntax nicht ausgewertet wird würde das "DKIM not aligned (relaxed)"
von DMARC_POLICY_QUARANTINE erklären.

Viele Grüße
Gerald 

> Am 21.02.22 um 18:14 schrieb Achim Lammerts:
>> Also inzwischen bin ich mit der Signatur des Headers bei 
>> sign_headers = "from:subject:date:to"; 
>> angelangt und trotzdem wird sie von der Liste zerbröselt. 
>> 
>> Ich hab mir mal die Header von anderen Emails angesehen, ein paar mit DKIM-Signatur schaffen's ja ohne Beanstandungen durch die Liste. Was läuft da anders? 
>> 
>> 
>> Am 21.02.22 um 15:44 schrieb Gerald Galster: 
>>>> Bekomme ich es hin, daß Emails an Listen nicht signiert werden und bei den Empfängern auch keine Prüfung gegen DMARC erfolgt – und zwar aus der gleichen Domain, für die bisher restriktive Einstellungen gut funktionieren? 
>>>> Laut diversen Online-Tools passt eigentlich alles prima, bis auf das Gezicke mit den Listen. 
>>> 
>>> Man hat keinen Einfluss darauf wie die Empfänger prüfen. 
>>> 
>>> Beispiel aus dem Maillog: 
>>> DMARC_POLICY_REJECT:2.00:domain.de : SPF not aligned (strict), No valid DKIM;reject 
>>> 
>>> Rspamd vergibt in dem Fall Spampunkte (standardmäßig), man kann aber auch einstellen, dass abgelehnt wird. 
>>> https://rspamd.com/doc/modules/dmarc.html <https://rspamd.com/doc/modules/dmarc.html> 
>>> dmarc { actions { reject="reject"; ... 
>>> 
>>>> Eine weitere Frage zum Thema: 
>>>> Wie wird mit „p=reject“ i. d. R. umgegangen? Angenommen ein Empfänger lehnt die E-Mail wegen des DKIM-Fails ab, verschwindet die dann im Nirvana oder wird die gebounced? Bisher hatte ich immer nur in den Reports gesehen, daß etwas nicht passt, aber nie einen reject beim Einliefern … 
>>> 
>>> Verloren gehen Mails bei SMTP so gut wie nie. Wenn abgelehnt wird ist es Sache des einliefernden Mailservers den Absender zu benachrichtigen (bounce). 
>>> 
>>> Viele Grüße 
>>> Gerald 

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20220221/9fc09bd6/attachment-0001.htm>


Mehr Informationen über die Mailingliste Postfixbuch-users