<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Hallo Mathias,</p>
<p>um einen DMARC=pass zu bekommen benötigst du:</p>
<ol>
<li>Gültige <b>Authentifizierung </b>über SPF oder DKIM</li>
<li><b>Alignment </b>zwischen deiner Display From ("5322.FROM" /
"Friendly From") und spf-Domain ("Envelope From" / "Return
Path") oder DKIM Domain.</li>
</ol>
<p><br>
</p>
<p><u>Zur Authentifizierung:</u></p>
<p>Wenn du den Mailserver der Mailingliste nicht im SPF hinterlegt
hast, bleibt nur DKIM als Option:<br>
</p>
<p>Deine Mail hier an die Mailingliste enthält zwei DKIM Signaturen,
einmal über deine Domain "fitonbit.de" und einmal von der
Mailingliste über "listen.jpberlin.de":</p>
<pre>DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=
listen.jpberlin.de; h=reply-to:list-subscribe:list-help
:list-post:list-archive:list-unsubscribe:list-id:precedence
:x-mailer:message-id:in-reply-to:references:date:date:subject
:subject:mime-version:content-transfer-encoding:content-type
:content-type:from:from:received:received:received:received
:received; s=dkim20210312; t=1640777216; x=1642591617; bh=[...]
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=fitonbit.de; s=default;
t=1640777207;
h=from:from:reply-to:subject:subject:date:date:message-id:message-id:
to:to:cc:mime-version:mime-version:content-type:content-type:
content-transfer-encoding:content-transfer-encoding:
in-reply-to:in-reply-to:references:references;
bh=[...]</pre>
<p>Wenn du über Felder signerst (h=...), die später durch die
Mailingliste verändert werden, macht Dir das deinen DKIM kaputt.
Die DKIM Sgnatur über listen.jpberlin.de beibt zwar erhalten und
gültig, so dass du einen gültigen DKIM Eintrag hast, allerdings
ist dieser nicht mit deiner FROM Adresse aligned (du kriegst unter
Umständen einen DKIM pass, aber einen DMARC fail). Bei anderen
Mailinglisten, die nicht selber DKIM signieren, hast du dann weder
DKIM noch DMARC.</p>
<p><br>
</p>
<p><u>Zum Alignment:</u></p>
<p>SPF Alignment hast du keins, da die From nicht mir der Envelope
aligned (= gleiche domain) ist:<br>
</p>
<pre>From: Mathias Jung <a class="moz-txt-link-rfc2396E" href="mailto:webmaster@fitonbit.de"><webmaster@fitonbit.de></a>
Return-Path: <a class="moz-txt-link-rfc2396E" href="mailto:postfixbuch-users-bounces@listen.jpberlin.de"><postfixbuch-users-bounces@listen.jpberlin.de></a></pre>
<p><br>
</p>
<p>Auch hier bleibt also nur DKIM Alignment (mit deiner eigenen
Signatur, siehe oben).<br>
</p>
<pre>
</pre>
<p>Ich würde empfehlen, deinen DMARC Eintrag zunächst auf p=none zu
stellen und eine Weile die eingehenden Reports beobachten, ob du
gültige DMARC records erzeugst. Erst wenn du Dir sicher bist, dass
deine von Dir gesendeten Mails alle eine gültige Signatur haben,
solltest du auf quarantine oder reject gehen, sonst gehen dir
Mails verloren.</p>
<pre class="pre_wrap" style="width: 800px; white-space: pre-wrap; overflow-wrap: break-word; color: rgba(0, 0, 0, 0.87); font-size: 13px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: left; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(238, 238, 238); text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial;">"v=DMARC1; p=quarantine; rua=<a class="moz-txt-link-freetext" href="mailto:dmarc@fitonbit.de,mailto:aa1ca35a@inbox.ondmarc.com">mailto:dmarc@fitonbit.de,mailto:aa1ca35a@inbox.ondmarc.com</a>; ruf=<a class="moz-txt-link-freetext" href="mailto:dmarc@fitonbit.de,mailto:aa1ca35a@inbox.ondmarc.com">mailto:dmarc@fitonbit.de,mailto:aa1ca35a@inbox.ondmarc.com</a>; fo=0:1:d:s; rf=afrf:iodef"</pre>
<p><br>
</p>
<p>Viele Grüße<br>
</p>
<pre class="moz-signature" cols="72">Florian
Motto des Monats: Aujourd'hui, il fait beau.</pre>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix"><br>
</div>
<div class="moz-cite-prefix">Am 29.12.2021 um 12:26 schrieb Mathias
Jung:<br>
</div>
<blockquote type="cite"
cite="mid:10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de">
<pre class="moz-quote-pre" wrap="">Hallo Daniel,
Da bin ich dann tatsächlich froh.
Ich habe dann wohl DKim und DMarc noch nicht wirklich verstanden…
Welchen Sinn machen solche DNS Signaturen wenn man dann doch wieder ‚jeden‘ Whitelisten muss?
Und was bedeutet ‚zumindest den SPF erweitern‘ ?
Gruß
Mathias
</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">Am 29.12.2021 um 12:13 schrieb Daniel <a class="moz-txt-link-rfc2396E" href="mailto:daniel@mail24.vip"><daniel@mail24.vip></a>:
Moin,
kannst froh sein wenn überhaupt wer die Email zum lesen bekommt.
dkim=fail reason="signature verification failed" (2048-bit key)
Wenn Maillinglisten verwendest, muss diese auch berechtigt sein in deinen Namen an alle Teilnehmer senden zu dürfen.
Dazu solltest deinen SPF zumindest um ein "include:listen.jpberlin.de" ergänzen.
Gruß Daniel
-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <a class="moz-txt-link-rfc2396E" href="mailto:postfixbuch-users-bounces@listen.jpberlin.de"><postfixbuch-users-bounces@listen.jpberlin.de></a> Im Auftrag von Mathias Jung
Gesendet: Mittwoch, 29. Dezember 2021 09:42
An: Diskussionen und Support rund um Postfix <a class="moz-txt-link-rfc2396E" href="mailto:postfixbuch-users@listen.jpberlin.de"><postfixbuch-users@listen.jpberlin.de></a>
Betreff: Dmarc Probleme
Hallo,
womöglich etwas Off Tonic….
Ich bekomme bei allen Mailinglisten immer wieder Mailrückmeldungen das es Probleme bei der DKim und/oder DMarc Authentifizierung gibt.
Ist das normal, liegt es an der Postfix Konfiguration oder muss man Mailing Listen Adressen/Domains Whitelisten?
Gruß
Mathias
</pre>
</blockquote>
<pre class="moz-quote-pre" wrap="">
</pre>
</blockquote>
</body>
</html>