DKIM fail beim DMARC aggregated report für Subdomain
Hi all,
es ist nicht so, dass ich nicht etliche Wochen mit DMARC, DKIM, SPF verbracht hätte, aber ich stehe momentan echt auf dem Schlauch und versteh die Welt nicht mehr. Folgendes:
Ich hab die Domain example.tld und dafür SPF, DKIM und DMARC eingerichtet. Funktioniert auch alles tadellos so wie erwartet und konfiguriert. Sämtliche Tests sind OK. Da ich mir DMARC RUA und RUF reports zusende überprüfe ich täglich jeden einzelnen davon. Nach einigen RUA bzw. RUF Protokolle ist mir zu Beginn aufgefallen, dass es Fehler gibt, weil der header_from lautete mysubdomain.example.tld wobei mysubdomain dem Hostname meines Mailservers entspricht. Ich habe schnell verstanden, dass es sich um NDR handelte, die mein MTA versandte. Also Beispiel: mein MTA mit dem Hostnamen mysubdomain.example.tld generierte einen NDR mit from=<> und to=<irgend@jema.nd>. NDR werden RFC-mäßig immer mit <> als Absender generiert und der match findet dann über den lokalen Hostnamen statt, in meinem Fall also mysubdomain.example.tld. Da ich zu jenem Zeitpunkt SPF,DKIM und DMARC nur für example.tld eingerichtet hatte, schlug deshalb dieser Fehleralarm zu. Also habe ich auch für die subdomain.example.tld SPF, DKIM und DMARC eingerichtet mit demselben DKIM-Schlüsselpaar (stört ja nicht und funktioniert). Ich testete die neue Konfiguration anschliessend, indem ich direkt vom MTA aus der shell aus eine Mail mit from=<> an to=<meine@gmail.com> oder auch an to=<foobar@mail-tester.com> generierte und die Ergebnisse betrachtete. Alles super, keine Fehler, SPF und DKIM voll valide, alles toll.
Trotz allem erhalte ich regelmäßig von Google einen aggregated report (also RUA), der wie folgt aussieht. Die sensiblen privaten Daten habe ich verändert und mit grüner Farbe zur Hervorhebung kenntlich gemacht.
Ich verstehe beim besten Willen nicht, warum dkim als fail angezeigt wird. Aus dem header_from und domain Teil entnehme ich deutlich, dass die Mail von meinem MTA generiert wurde mit subdomain.example.tld aber wieso krieg ich dann diesen RUA Repport mit dkim = fail ? Ich möchte hinzufügen, dass ich testweise sogar von strict auf relaxed umgeschaltet habe, das änderte jedoch nix, DKIM war trotzdem auf FAIL.
kann mir jemand einen Tip oder Idee geben, wonach ich zu suchen habe?
Danke im Voraus
panguu
es ist nicht so, dass ich nicht etliche Wochen mit DMARC, DKIM, SPF verbracht hätte, aber ich stehe momentan echt auf dem Schlauch und versteh die Welt nicht mehr. Folgendes:
Ich hab die Domain example.tld und dafür SPF, DKIM und DMARC eingerichtet. Funktioniert auch alles tadellos so wie erwartet und konfiguriert. Sämtliche Tests sind OK. Da ich mir DMARC RUA und RUF reports zusende überprüfe ich täglich jeden einzelnen davon. Nach einigen RUA bzw. RUF Protokolle ist mir zu Beginn aufgefallen, dass es Fehler gibt, weil der header_from lautete mysubdomain.example.tld wobei mysubdomain dem Hostname meines Mailservers entspricht. Ich habe schnell verstanden, dass es sich um NDR handelte, die mein MTA versandte. Also Beispiel: mein MTA mit dem Hostnamen mysubdomain.example.tld generierte einen NDR mit from=<> und to=<irgend@jema.nd>. NDR werden RFC-mäßig immer mit <> als Absender generiert und der match findet dann über den lokalen Hostnamen statt, in meinem Fall also mysubdomain.example.tld. Da ich zu jenem Zeitpunkt SPF,DKIM und DMARC nur für example.tld eingerichtet hatte, schlug deshalb dieser Fehleralarm zu. Also habe ich auch für die subdomain.example.tld SPF, DKIM und DMARC eingerichtet mit demselben DKIM-Schlüsselpaar (stört ja nicht und funktioniert). Ich testete die neue Konfiguration anschliessend, indem ich direkt vom MTA aus der shell aus eine Mail mit from=<> an to=<meine@gmail.com> oder auch an to=<foobar@mail-tester.com> generierte und die Ergebnisse betrachtete. Alles super, keine Fehler, SPF und DKIM voll valide, alles toll.
Trotz allem erhalte ich regelmäßig von Google einen aggregated report (also RUA), der wie folgt aussieht. Die sensiblen privaten Daten habe ich verändert und mit grüner Farbe zur Hervorhebung kenntlich gemacht.
Ich verstehe beim besten Willen nicht, warum dkim als fail angezeigt wird. Aus dem header_from und domain Teil entnehme ich deutlich, dass die Mail von meinem MTA generiert wurde mit subdomain.example.tld aber wieso krieg ich dann diesen RUA Repport mit dkim = fail ? Ich möchte hinzufügen, dass ich testweise sogar von strict auf relaxed umgeschaltet habe, das änderte jedoch nix, DKIM war trotzdem auf FAIL.
kann mir jemand einen Tip oder Idee geben, wonach ich zu suchen habe?
Danke im Voraus
panguu
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 537519
Url: https://administrator.de/forum/dkim-fail-beim-dmarc-aggregated-report-fuer-subdomain-537519.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
3 Kommentare
Neuester Kommentar