<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><font face="FreeSans">Hi Andre,</font></p>
<p><font face="FreeSans">nicht ganz: der DMARC none Eintrag ist
hilfreich, weil er Reports liefert ohne bereits aktiv Traffic zu
blocken. Es ist also der "dry-run" für deine
Mailserverkonfiguration.</font></p>
<p><font face="FreeSans">Und DKIM geht bei Weiterleitungen
normalerweise (im Gegensatz zu SPF) nicht kaputt - daher ist es
unter anderem so wichtig, DKIM zu machen!</font></p>
<p><font face="FreeSans">Schöne Weihnachten ,</font></p>
<p><br>
</p>
<pre class="moz-signature" cols="72">Florian Vierke
mobile: +49 177 8079538
Motto des Jahres: ... und wo warst du am 12. Februar 2022? ... und wo am 30. April!?</pre>
<div class="moz-cite-prefix">Am 23.12.22 um 23:43 schrieb Andre via
Postfixbuch-users:<br>
</div>
<blockquote type="cite"
cite="mid:8d3628c4-fd33-a0ea-d69f-a3f5b6d5203e@myhm.de">Hallo,
<br>
<br>
danke für eure Erklärungen und eure Tipps!
<br>
<br>
Schließlich bedeutet das Ganze Folgendes für
E-Mail-Weiterleitungen bei meinem(einem) Mailserver.
<br>
<br>
DMARC-Eintrag muss bei allen Domains auf "none" oder ganz weg.
<br>
<br>
Denn, hat der Absender DKIM nicht richtig gesetzt UND wertet der
Empfänger den Eintrag aus UND ich setze ich auf
<br>
<br>
reject => Mails werden vom Empfänger abgewiesen
<br>
quarantine => Mails landen im Spam-Ordner (wohl noch schlimmer
als reject)
<br>
none => keine Wirkung, wozu dann der DMARC-Eintrag?
<br>
<br>
Habe ich es richtig interpretiert?
<br>
<br>
--
<br>
LG
<br>
Andre
<br>
Am 23.12.22 um 19:27 schrieb Florian via Postfixbuch-users:
<br>
<blockquote type="cite">Hi André,
<br>
<br>
Einen DMARC Eintrag zu erstellen ist IMMER eine gute Idee.
<br>
<br>
Der übliche Weg zur Einrichtung ist allerdings etwas anders, als
du es gemacht hast ;)
<br>
<br>
1. DMARC Record mit policy none erstellen, um Reports zu
empfangen und somit ein Bild darüber zu erlangen, wie die
Authentifizierung der eigenen Domains bereits richtig
eingerichtet ist
<br>
<br>
2. SPF und DKIM bei eigenen Versendungen zu ergänzen, wo es
fehlt.
<br>
<br>
3. Sobald du dir sicher bist, dass alle deine eigenen
Versendungen über deine Domain korrekt authentifizieren, kannst
du die Policy auf reject stellen, um die Domain abzusichern.
Jede Versendung, die nun von extern probiert, deine Domain im
FROM zu versenden (zB Phishing) wird künftig scheitern, weil
externe weder einen gültigen SPF in dein DNS bekommen, noch
einen DKIM key (daher auch das Erfordernis "aligned". Mit
fremden Domains kann man schließlich signieren was man will)
<br>
<br>
4. DMARC Reports weiter beobachten, ob jemand probiert die
Domain zu abusen (verhindrn kannst du es nicht, aber du hast
einen Informationsvorteil. Und mit reject Policy wird
hoffentlich ein Großteil des Traffics von den teilnehmenden
Mailservern abgelehnt). Und natürlich auch, um zu beobachten, ob
SPF / DKIM bei deinen eigenen Prozessen mal kaputt geht.
<br>
<br>
Es ist also ein gutes Monitoring-Tool. Je mehr Teilnehmer
mitmachen, desto besser. Daher auch der Apell an alle
Mailserverbetreiber, nicht nur DMARC zu konsumieren, sondern
auch Reports zu versenden. Mit rspamd läßt sich im Zusammenspiel
it dem Postfix recht einfach DMARC reporting aktivieren und
automatisieren: <a class="moz-txt-link-freetext" href="https://rspamd.com/doc/modules/dmarc.html">https://rspamd.com/doc/modules/dmarc.html</a>
<br>
<br>
Schöne Weihnachten und einen guten Rutsch :)
<br>
<br>
<br>
Florian Vierke
<br>
mobile: +49 177 8079538
<br>
Motto des Monats: ... und wo warst du am 12. Februar 2022? ...
und am 30. April?
<br>
<br>
Am 23.12.2022 um 16:07 schrieb Andre via Postfixbuch-users:
<br>
<blockquote type="cite">> // v=DMARC1; p=reject;
<br>
> Falls das dein echter Eintrag ist...
<br>
<br>
Ja, ist so. Hab jetzt auf "none" umgestellt. Da frage ich mich
jetzt wozu ich das Ganze gemacht hab.
<br>
<br>
-- <br>
LG
<br>
Andre
<br>
<br>
Am 23.12.22 um 15:53 schrieb Florian via Postfixbuch-users:
<br>
<blockquote type="cite">// v=DMARC1; p=reject;
<br>
<br>
PS:
<br>
<br>
Falls das dein echter Eintrag ist, würde ich stärkstens
empfehlen, dir auch die Reports zusenden zu lassen,
insbesondere wenn du eine reject policy fährst. Sonst kann
es Dir passieren, dass irgendein mailversendendes Tool oder
Prozess kein gültiges DMARC macht und die Mails dann
verloren gehen - und du bekommst es nicht einmal mit.
<br>
<br>
Es gibt kostenlose oder kostenpflichtige Möglichkeiten,
grafisch aufbearbeitete, wöchentliche Mails zu bekommen
(wenn man icht alles selber aufsetzen will). Das würde ich
in jedem Fall IMMER dringend empfehlen aufzusetzen. Bei
DMARCadvisor kannst du beispielsweise bis zu 2 Domains und
10.000 Mails pro Monat im Free tier testen. Aber wie gesagt,
es gibt viele Anbieter :)
<br>
<br>
Viele Grüße,
<br>
<br>
Florian Vierke
<br>
mobile: +49 177 8079538
<br>
Motto des Monats: ... und wo warst du am 12. Februar 2022?
... und am 30. April?
<br>
<br>
Am 23.12.2022 um 13:54 schrieb Andre via Postfixbuch-users:
<br>
<blockquote type="cite">Moin,
<br>
<br>
> Allerdings ist SPF alles andere als unumstritten...
<br>
<br>
Ja, sehe ich auch so. Schwachstellen im Design, wie hier
die Erfahrung mit den Subdomains zeigt.
<br>
<br>
Hab hier noch einen Fall.
<br>
<br>
Ich verwalte die Domain und habe SPF, DKIM und DMARC ist
eingerichtet, nennen wir sie hier example.com.
<br>
<br>
Der Kunde versendet vom google Mailserver und hat in
seinem Thunderbird <a class="moz-txt-link-abbreviated" href="mailto:kunde@gmail.com">kunde@gmail.com</a> als Benutzername und
Absender <a class="moz-txt-link-abbreviated" href="mailto:mail@example.com">mail@example.com</a> eingerichtet.
<br>
<br>
Im SPF von example.com habe ich google-Mailserver
inkludiert, sodass SPF nachweislich passt.
<br>
<br>
Die Mails von dem Kunden werden nicht signiert versendet.
<br>
<br>
Hier mein DMARC-Eintrag.
<br>
<br>
v=DMARC1; p=reject;
<br>
<br>
Schickt er sich selbst eine E-Mail, also an
<a class="moz-txt-link-abbreviated" href="mailto:kunde@gmail.com">kunde@gmail.com</a>, wird diese von google mit folgender
Begründung nicht angenommen:
<br>
<br>
-------------------------------
<br>
Action: failed
<br>
Status: 5.7.26
<br>
Diagnostic-Code: smtp; 550-5.7.26 Unauthenticated email
from example.com is not accepted due to
<br>
550-5.7.26 domain's DMARC policy. Please contact the
administrator of
<br>
550-5.7.26 example.com domain if this was a legitimate
mail. Please visit
<br>
-------------------------------
<br>
<br>
Ich dachte, es muss mindestens eins vom beiden, SPF oder
DKIM stimmen, oder halt beide, damit die Prüfung
durchgeht. In diesem Fall stimmt ja der SPF.
<br>
<br>
Warum wird die Mail trotzdem nicht angenommen?
<br>
Oder müssen tatsächlich BEIDE, SPF und DKIM, stimmen?
<br>
<br>
-- <br>
LG
<br>
Andre
<br>
</blockquote>
</blockquote>
</blockquote>
</blockquote>
</blockquote>
</body>
</html>