[postfix-users] OpenDMARC und dhl.com

Robert Schetterer rs at sys4.de
Mi Sep 17 07:37:56 CEST 2014


Am 17.09.2014 um 07:19 schrieb Robert Schetterer:
> Am 17.09.2014 um 01:23 schrieb David Schweikert:
>> On Tue, Sep 16, 2014 at 22:00:51 +0200, Patrick Ben Koetter wrote:
>>> * Joachim Fahrner <jf at fahrner.name>:
>>>> DHL.com hat eine Dmarc-Policy mit p=reject, besitzt SPF aber sendet
>>>> teilweise ohne DKIM-Signatur. Google Mail verkraftet das, nicht jedoch
>>>> OpenDMARC. Trotz Compilierung mit "--with-spf" und Konfig
>>>> "SPFIgnoreResults true" und "SPFSelfValidate true" scheitert OpenDMARC.
>>>>
>>>> Man kann natürlich dhl.com auf die Ignore-Liste setzen, aber das ist ja
>>>> wohl nicht Sinn und Zweck der Übung.
>>>>
>>>> Jetzt kann man natürlich auf dhl.com schimpfen, weil die keine
>>>> DKIM-Signatur senden (würde ich ja gerne), aber wenn es Google
>>>> akzeptiert sollte das bei OpenDMARC nicht anders ein.
>>>
>>> Sehe ich nicht so. DMARC setzt vorraus, dass SPF und DKIM gesetzt und korrekt
>>> sind. Die Senderdomain spezifiziert was passieren soll, wenn das nicht
>>> eingehalten wird. Die Policy der DHL ist reject. OpenDMARC setzt diese policy
>>> um. Das Problem sind die Fehler auf der Senderseite und nicht der Filter, der
>>> sie Policy der Senderdomain umsetzt.
>>
>> Soviel ich weiss, stimmt das nicht. Dass sowohl SPF als auch DKIM
>> ueberprueft werden, ist als Rubustheit-Massnahme gedacht, um moeglichst
>> alle use-cases abzudecken und den Betrieb zu vereinfachen.
>> Grundsaetzlich wuerde Ja sonst DKIM ausreichen...
>>
>> DMARC sagt, dass SPF *oder* DKIM reichen. Siehe auch hier:
>> https://datatracker.ietf.org/doc/draft-kucherawy-dmarc-base/?include_text=1
>>
>> 4. Policy:
>> ...
>>    A Mail Receiver MUST consider an arriving message to pass the DMARC
>>    test if and only if one or more of the underlying message
>>    authentication mechanisms pass with proper identifier alignment.
> 
> ich wuerde das anders verstehen, weil gar kein DKIM Key existiert, das
> ist ungleich zu der TEST zu einem existierenden KEY scheitert
> ich sehe schon ich werde die rfc heute nochmal durchlesen *g

https://datatracker.ietf.org/doc/draft-kucherawy-dmarc-base/?include_text=1

der Text meint wohl wenn mind "eine" gueltige DKIM signatur dabei ist
lass es durch

failure and nonexistence of
   authentication mechanisms are equivalent.

wenns DKIM nicht gibt = Fehler => je nach policy bei dhl.com reject


reject:  The Domain Owner wishes for Mail Receivers to reject
         email that fails the DMARC mechanism check.  Rejection SHOULD
         occur during the SMTP transaction.  See Section 15.4 for some
         discussion of SMTP rejection methods and their implications.

ich wuerde sagen der dmarc-milter macht das schon richtig

die policy ist Mist , wenn es systeme gibt die ohne DKIM key senden
> 
>>
>> Warum es in OpenDKIM nicht funktioniert, weiss ich auch nicht.
>> Vielleicht funktioniert es besser mit "SPFIgnoreResults false" und einen
>> anderen SPF query daemon?
>>
>> Gruss
>> David
>> _______________________________________________
>> postfix-users mailing list
>> postfix-users at de.postfix.org
>> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>>
> 
> 
> 
> 
> Best Regards
> MfG Robert Schetterer
> 



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein


Mehr Informationen über die Mailingliste postfix-users