[postfix-users] OpenDMARC weist mir ständig Mails ab

Robert Schetterer rs at sys4.de
Di Sep 16 10:56:43 CEST 2014 

Am 16.09.2014 um 10:00 schrieb Jochen Fahrner:
> Hallo,
> 
> das OpenDMARC weist mir ständig Mails ab. Soeben eine Mail von DHL:
> 
> This is an authentication failure report for an email message received from IP
> 149.239.170.7 on Tue, 16 Sep 2014 09:51:28 +0200 (CEST).


bin derzeit ueberfragt
frag auf der opendmarc liste , und poste dort deine Einstellungen,
Version, bzw gibt es ein debug log des milters ich kann nicht sehen
woran genau der verify gescheitert ist, deren dmarc policy gibt nicht
viel her, daher sollten die defaults gelten

https://dmarcian.com/dmarc-inspector/dhl.com

ich wuerde einen bug im milter und/oder in der policy nicht ausschliessen

wenn ich raten muesste ....
in der Mail ist kein DKIM Key
deren dkim default policy ist zwar relaxed

Specifies "Alignment Mode" for DKIM signatures. "r" is for Relaxed, "s"
is for Strict. Relaxed mode allows Authenticated DKIM d= domains that
share a common Organizational Domain with an email's header-From: domain
to pass the DMARC check. Strict mode requires exact matching between the
DKIM d= domain and an email's header-From: domain.

hier gehts um einen DKIM Modus, aber soweit ich das verstehe muss in
jedem Fall ein DKIM Key existieren, wenn der nicht da ist gilt
wahrscheinlich policy Anweisung reject zu 100 %

der workaround waere wohl die domain auf die ignore Liste zu setzen

http://manpages.ubuntu.com/manpages/saucy/man5/opendmarc.conf.5.html

 IgnoreMailFrom (string)
              Gives  a  list  of  domain  names whose mail (based on the
From:
              domain) is to be ignored by the  filter.   The  list
should  be
              comma-separated.    Matching   against   this   list   is
 case-
              insensitive.  The default is an empty list, meaning no
mail  is
              ignored.


bzw global

  RejectFailures (Boolean)
              If  set,  messages  will  be  rejected  if  they  fail the
DMARC
              evaluation, or temp-failed if evaluation could not be
completed.
              By   default,   no  message  will  be  rejected  or
temp-failed
              regardless of  the  outcome  of  the  DMARC  evaluation
of  the
              message.   Instead,  an Authentication-Results header
field will
              be added.  The default is "false".

ob es Sinn ergibt das auszuschalten , waere halt der sichere Weg....
wenn danach noch ein dkim-milter geschaltet ist kann sich ja der nochmal
mit der Mail beschaeftigen

> 
> 
> 
> Feedback-Type: auth-failure
> Version: 1
> User-Agent: OpenDMARC-Filter/1.3.0
> Auth-Failure: dmarc
> Authentication-Results: s2.fahrner.name; dmarc=fail header.from=dhl.com
> Original-Envelope-Id: 4FE46341F9
> Original-Mail-From: noreplyKSDHLPaket at dhl.com
> Source-IP: 149.239.170.7
> Reported-Domain: dhl.com
> 
> 
> 
> Received: from ppd07007.deutschepost.de (ppd07007.deutschepost.de [149.239.170.7])
> 	by s2.fahrner.name (Postfix) with ESMTP id 4FE46341F9
> 	for <jf at fahrner.name>; Tue, 16 Sep 2014 09:51:26 +0200 (CEST)
> X-IronPort-AV: E=Sophos;i="5.04,531,1406584800"; 
>    d="scan'208";a="29366348"
> Received: from unknown (HELO af7lk085.deutschepost.dpwn.com) ([160.58.125.68])
>   by ppd07007.deutschepost.de with ESMTP; 16 Sep 2014 09:51:18 +0200
> Received: from af7lk060 (unknown [160.58.125.1])
> 	by af7lk085.deutschepost.dpwn.com (Postfix) with ESMTP id 7AFD720C63E;
> 	Tue, 16 Sep 2014 09:51:18 +0200 (CEST)
> Date: Tue, 16 Sep 2014 09:51:18 +0200 (CEST)
> From: "noreplyKSDHLPaket at dhl.com" <noreplyKSDHLPaket at dhl.com>
> To: "sendungsstatusnolp at deutschepost.de" <sendungsstatusnolp at deutschepost.de>, 
> 	"jf at fahrner.name" <jf at fahrner.name>
> Message-ID: <731602045.54671410853878467.JavaMail.daycq at af7lk060>
> Subject: DHL Kontaktformular Sendungsstatus National (Identcode:
>  209629049994 / PLZ: 35075)
> MIME-Version: 1.0
> Content-Type: multipart/mixed; 
> 	boundary="----=_Part_5333_188892273.1410853878464"
> 
> 
> -- 
> Mit besten Grüßen
> Jochen Fahrner
> 
> 
> 
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
> 



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users