Eine kleine Geschichte …

Achim Lammerts ml-pbu at syntaxys.de
Do Okt 19 10:25:37 CEST 2023 

… wie man sich scheinbar mit einer einzigen E-Mail die Reputation bei 
Microsoft versaut:

Gestern war mir aufgefallen, daß E-Mails an Hotmail nicht mehr 
angenommen werden. Nach einem ersten cholerischen Anfall konnte ich 
wieder etwas klarer denken und habe mir die DMARC Reporte angesehen, die 
ich von Microsoft geschickt bekomme. Es ist immer eine gute Idee, das 
Reporting zu aktivieren. Tatsächlich gab es vor ein paar Tagen einen 
Quarantänefall durch meinen Server bei einem Absender, der die 
Infrastruktur von M$ nutzt.
Die Ursache war 1 (!) schlichte “sender delivery status notification” 
mit leerem FROM, …

Oct 13 12:57:46 mx postfix/bounce[127201]: 6F7B27D02F: sender delivery 
status notification: 5E3107D136
Oct 13 12:57:46 mx postfix/qmgr[2188]: 5E3107D136: from=<>, size=11213, 
nrcpt=1 (queue active)
Oct 13 12:57:46 mx postfix/qmgr[2188]: 6F7B27D02F: removed
Oct 13 12:57:47 mx postfix/smtp[127203]: 5E3107D136: 
to=<recipient at domain.tld>, 
relay=domain-tld01i.mail.protection.outlook.com[52.101.73.30]:25, 
delay=0.9, delays=0/0/0.17/0.72, dsn=2.6.0, status=sent (250 2.6.0 
<20231013105746.5E3107D136 at mx.syntaxys.de> [InternalId=15934328691445, 
Hostname=BE1P281MB3365.DEUP281.PROD.OUTLOOK.COM] 20392 bytes in 0.117, 
170.108 KB/sec Queued mail for delivery)
Oct 13 12:57:47 mx postfix/qmgr[2188]: 5E3107D136: removed

… die nicht DKIM signiert wurde und meine restriktive DMARC-Konfiguration:

_dmarc IN TXT "v=DMARC1; p=quarantine; sp=reject; 
rua=mailto:dmarcreport at domain.tld; ruf=mailto:dmarcfailure at domain.tld; 
fo=0; adkim=r; aspf=r; pct=100; rf=afrf; ri=86400;"

Ich frage mich nun, wie ich das Problem lösen kann, ohne die 
DMARC-Einstellungen aufzuweichen. Und die DKIM-Signierung übernimmt bei 
mir der rspamd, aber die bounces / sender delivery status notification 
werden ja nicht gemiltert.

Wie kann ich die Standardeinstellung (Mail Delivery System 
<MAILER-DAEMON at mx.domain.tld>) beim FROM der bounces / sender delivery 
status notification setzen?

Bekomme ich es hin, daß Postfix grundsätzlich alles durch den Milter 
schickt? Dann wären auch die mit DKIM signiert.

Sollte ich DMARC für die Hauptdomain besser so setzen?

_dmarc IN TXT "v=DMARC1; p=quarantine; sp=none; 
rua=mailto:dmarcreport at domain.tld; ruf=mailto:dmarcfailure at domain.tld; 
fo=0; adkim=r; aspf=r; pct=100; rf=afrf; ri=86400;"

und für den mx:

_dmarc.mx IN TXT "v=DMARC1; p=reject; rua=mailto:dmarcreport at domain.tld; 
ruf=mailto:dmarcfailure at domain.tld; fo=0; aspf=r; pct=100; rf=afrf; 
ri=86400;"

Danke für die Hilfe,
LG/A

-- 
Wietse, I am so grateful.

Mehr Informationen über die Mailingliste Postfixbuch-users