<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Hallo Florian,<div class=""><br class=""></div><div class="">Danke für Deine Hinweise.</div><div class="">Kurz gesagt, muss ich nur wieder den Include für <a href="http://listen.jpberlin.de" class="">listen.jpberlin.de</a> entfernen und beim DMarc erst mal wieder p=none setzen.</div><div class="">Das hatte ich vorher so, aber immer wieder Meldungen wie diese (kleiner Ausschnitt aus dem ersten Absatz der Meldung):</div><div class=""><br class=""></div><div class=""><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class="">dkim=pass (4096-bit key; secure) header.d=</span><a href="http://listen.jpberlin.de" class="">listen.jpberlin.de</a><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class=""> </span><a href="mailto:header.i=@listen.jpberlin.de" class="">header.i=@listen.jpberlin.de</a><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class=""> header.b="rQLvJPu6";</span><br style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class=""><span class="Apple-tab-span" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); white-space: pre;">   </span><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class="">dkim=fail reason="signature verification failed" (2048-bit key; unprotected) header.d=</span><a href="http://fitonbit.de" class="">fitonbit.de</a><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class=""> </span><a href="mailto:header.i=@fitonbit.de" class="">header.i=@fitonbit.de</a><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class=""> header.b="PoneKwS1";</span><br style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class=""><span class="Apple-tab-span" style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0); white-space: pre;"> </span><span style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);" class="">dkim-atps=neutral</span></div><div class=""><font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class=""><br class=""></span></font></div><div class=""><font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class=""><br class=""></span></font></div><div class=""><font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class="">Gruß</span></font></div><div class=""><font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class="">Mathias</span></font></div><div class=""><font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class=""><br class=""></span></font></div><div class=""><font color="#000000" class=""><span style="caret-color: rgb(0, 0, 0);" class=""><br class=""></span></font><div><br class=""><blockquote type="cite" class=""><div class="">Am 29.12.2021 um 21:49 schrieb Florian <<a href="mailto:florian@bodici.de" class="">florian@bodici.de</a>>:</div><br class="Apple-interchange-newline"><div class="">
  
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" class="">
  
  <div class=""><p class="">Hallo Mathias,</p><p class="">um einen DMARC=pass zu bekommen benötigst du:</p>
    <ol class="">
      <li class="">Gültige <b class="">Authentifizierung </b>über SPF oder DKIM</li>
      <li class=""><b class="">Alignment </b>zwischen deiner Display From ("5322.FROM" /
        "Friendly From") und spf-Domain ("Envelope From" / "Return
        Path") oder DKIM Domain.</li>
    </ol><p class=""><br class="">
    </p><p class=""><u class="">Zur Authentifizierung:</u></p><p class="">Wenn du den Mailserver der Mailingliste nicht im SPF hinterlegt
      hast, bleibt nur DKIM als Option:<br class="">
    </p><p class="">Deine Mail hier an die Mailingliste enthält zwei DKIM Signaturen,
      einmal über deine Domain "<a href="http://fitonbit.de" class="">fitonbit.de</a>" und einmal von der
      Mailingliste über "<a href="http://listen.jpberlin.de" class="">listen.jpberlin.de</a>":</p>
    <pre class="">DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=
        <a href="http://listen.jpberlin.de" class="">listen.jpberlin.de</a>; h=reply-to:list-subscribe:list-help
        :list-post:list-archive:list-unsubscribe:list-id:precedence
        :x-mailer:message-id:in-reply-to:references:date:date:subject
        :subject:mime-version:content-transfer-encoding:content-type
        :content-type:from:from:received:received:received:received
        :received; s=dkim20210312; t=1640777216; x=1642591617; bh=[...]

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=<a href="http://fitonbit.de" class="">fitonbit.de</a>; s=default;
 t=1640777207;
 h=from:from:reply-to:subject:subject:date:date:message-id:message-id:
 to:to:cc:mime-version:mime-version:content-type:content-type:
 content-transfer-encoding:content-transfer-encoding:
 in-reply-to:in-reply-to:references:references;
 bh=[...]</pre><p class="">Wenn du über Felder signerst (h=...), die später durch die
      Mailingliste verändert werden, macht Dir das deinen DKIM kaputt.
      Die DKIM Sgnatur über <a href="http://listen.jpberlin.de" class="">listen.jpberlin.de</a> beibt zwar erhalten und
      gültig, so dass du einen gültigen DKIM Eintrag hast, allerdings
      ist dieser nicht mit deiner FROM Adresse aligned (du kriegst unter
      Umständen einen DKIM pass, aber einen DMARC fail). Bei anderen
      Mailinglisten, die nicht selber DKIM signieren, hast du dann weder
      DKIM noch DMARC.</p><p class=""><br class="">
    </p><p class=""><u class="">Zum Alignment:</u></p><p class="">SPF Alignment hast du keins, da die From nicht mir der Envelope
      aligned (= gleiche domain) ist:<br class="">
    </p>
    <pre class="">From: Mathias Jung <a class="moz-txt-link-rfc2396E" href="mailto:webmaster@fitonbit.de"><webmaster@fitonbit.de></a>

Return-Path: <a class="moz-txt-link-rfc2396E" href="mailto:postfixbuch-users-bounces@listen.jpberlin.de"><postfixbuch-users-bounces@listen.jpberlin.de></a></pre><p class=""><br class="">
    </p><p class="">Auch hier bleibt also nur DKIM Alignment (mit deiner eigenen
      Signatur, siehe oben).<br class="">
    </p>
    <pre class=""></pre><p class="">Ich würde empfehlen, deinen DMARC Eintrag zunächst auf p=none zu
      stellen und eine Weile die eingehenden Reports beobachten, ob du
      gültige DMARC records erzeugst. Erst wenn du Dir sicher bist, dass
      deine von Dir gesendeten Mails alle eine gültige Signatur haben,
      solltest du auf quarantine oder reject gehen, sonst gehen dir
      Mails verloren.</p>
    <pre class="pre_wrap" style="width: 800px; white-space: pre-wrap; overflow-wrap: break-word; font-size: 13px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: left; text-indent: 0px; text-transform: none; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(238, 238, 238); text-decoration-thickness: initial;">"v=DMARC1; p=quarantine; rua=<a class="moz-txt-link-freetext" href="mailto:dmarc@fitonbit.de,mailto:aa1ca35a@inbox.ondmarc.com">mailto:dmarc@fitonbit.de,mailto:aa1ca35a@inbox.ondmarc.com</a>; ruf=<a class="moz-txt-link-freetext" href="mailto:dmarc@fitonbit.de,mailto:aa1ca35a@inbox.ondmarc.com">mailto:dmarc@fitonbit.de,mailto:aa1ca35a@inbox.ondmarc.com</a>; fo=0:1:d:s; rf=afrf:iodef"</pre><p class=""><br class="">
    </p><p class="">Viele Grüße<br class="">
    </p>
    <pre class="moz-signature" cols="72">Florian
Motto des Monats: Aujourd'hui, il fait beau.</pre>
    <div class="moz-cite-prefix"><br class="">
    </div>
    <div class="moz-cite-prefix"><br class="">
    </div>
    <div class="moz-cite-prefix"><br class="">
    </div>
    <div class="moz-cite-prefix"><br class="">
    </div>
    <div class="moz-cite-prefix"><br class="">
    </div>
    <div class="moz-cite-prefix">Am 29.12.2021 um 12:26 schrieb Mathias
      Jung:<br class="">
    </div>
    <blockquote type="cite" cite="mid:10850E7B-6DEA-4F0E-B4D8-07B7CE762224@fitonbit.de" class="">
      <pre class="moz-quote-pre" wrap="">Hallo Daniel,

Da bin ich dann tatsächlich froh.
Ich habe dann wohl DKim und DMarc noch nicht wirklich verstanden…
Welchen Sinn machen solche DNS Signaturen wenn man dann doch wieder ‚jeden‘ Whitelisten muss?

Und was bedeutet ‚zumindest den SPF erweitern‘ ?

Gruß
Mathias

 

</pre>
      <blockquote type="cite" class="">
        <pre class="moz-quote-pre" wrap="">Am 29.12.2021 um 12:13 schrieb Daniel <a class="moz-txt-link-rfc2396E" href="mailto:daniel@mail24.vip"><daniel@mail24.vip></a>:

Moin,

kannst froh sein wenn überhaupt wer die Email zum lesen bekommt.

dkim=fail reason="signature verification failed" (2048-bit key)

Wenn Maillinglisten verwendest, muss diese auch berechtigt sein in deinen Namen an alle Teilnehmer senden zu dürfen.

Dazu solltest deinen SPF zumindest um ein "include:<a href="http://listen.jpberlin.de" class="">listen.jpberlin.de</a>" ergänzen.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <a class="moz-txt-link-rfc2396E" href="mailto:postfixbuch-users-bounces@listen.jpberlin.de"><postfixbuch-users-bounces@listen.jpberlin.de></a> Im Auftrag von Mathias Jung
Gesendet: Mittwoch, 29. Dezember 2021 09:42
An: Diskussionen und Support rund um Postfix <a class="moz-txt-link-rfc2396E" href="mailto:postfixbuch-users@listen.jpberlin.de"><postfixbuch-users@listen.jpberlin.de></a>
Betreff: Dmarc Probleme

Hallo,

womöglich etwas Off Tonic….

Ich bekomme bei allen Mailinglisten immer wieder Mailrückmeldungen das es Probleme bei der DKim und/oder DMarc Authentifizierung gibt.
Ist das normal, liegt es an der Postfix Konfiguration oder muss man Mailing Listen Adressen/Domains Whitelisten?

Gruß
Mathias
</pre>
      </blockquote>
      <pre class="moz-quote-pre" wrap=""></pre>
    </blockquote>
  </div>

</div></blockquote></div><br class=""></div></body></html>