3
DKIM fail beim DMARC aggregated report für Subdomain
Hi all,
es ist nicht so, dass ich nicht etliche Wochen mit DMARC, DKIM, SPF verbracht hätte, aber ich stehe momentan echt auf dem Schlauch und versteh die Welt nicht mehr. Folgendes:
Ich hab die Domain example.tld und dafür SPF, DKIM und DMARC eingerichtet. Funktioniert auch alles tadellos so wie erwartet und konfiguriert. Sämtliche Tests sind OK. Da ich mir DMARC RUA und RUF reports zusende überprüfe ich täglich jeden einzelnen davon. Nach einigen RUA bzw. RUF Protokolle ist mir zu Beginn aufgefallen, dass es Fehler gibt, weil der header_from lautete mysubdomain.example.tld wobei mysubdomain dem Hostname meines Mailservers entspricht. Ich habe schnell verstanden, dass es sich um NDR handelte, die mein MTA versandte. Also Beispiel: mein MTA mit dem Hostnamen mysubdomain.example.tld generierte einen NDR mit from=<> und to=<irgend@jema.nd>. NDR werden RFC-mäßig immer mit <> als Absender generiert und der match findet dann über den lokalen Hostnamen statt, in meinem Fall also mysubdomain.example.tld. Da ich zu jenem Zeitpunkt SPF,DKIM und DMARC nur für example.tld eingerichtet hatte, schlug deshalb dieser Fehleralarm zu. Also habe ich auch für die subdomain.example.tld SPF, DKIM und DMARC eingerichtet mit demselben DKIM-Schlüsselpaar (stört ja nicht und funktioniert). Ich testete die neue Konfiguration anschliessend, indem ich direkt vom MTA aus der shell aus eine Mail mit from=<> an to=<meine@gmail.com> oder auch an to=<foobar@mail-tester.com> generierte und die Ergebnisse betrachtete. Alles super, keine Fehler, SPF und DKIM voll valide, alles toll.
Trotz allem erhalte ich regelmäßig von Google einen aggregated report (also RUA), der wie folgt aussieht. Die sensiblen privaten Daten habe ich verändert und mit grüner Farbe zur Hervorhebung kenntlich gemacht.
Ich verstehe beim besten Willen nicht, warum dkim als fail angezeigt wird. Aus dem header_from und domain Teil entnehme ich deutlich, dass die Mail von meinem MTA generiert wurde mit subdomain.example.tld aber wieso krieg ich dann diesen RUA Repport mit dkim = fail ? Ich möchte hinzufügen, dass ich testweise sogar von strict auf relaxed umgeschaltet habe, das änderte jedoch nix, DKIM war trotzdem auf FAIL.
kann mir jemand einen Tip oder Idee geben, wonach ich zu suchen habe?
Danke im Voraus
panguu
es ist nicht so, dass ich nicht etliche Wochen mit DMARC, DKIM, SPF verbracht hätte, aber ich stehe momentan echt auf dem Schlauch und versteh die Welt nicht mehr. Folgendes:
Ich hab die Domain example.tld und dafür SPF, DKIM und DMARC eingerichtet. Funktioniert auch alles tadellos so wie erwartet und konfiguriert. Sämtliche Tests sind OK. Da ich mir DMARC RUA und RUF reports zusende überprüfe ich täglich jeden einzelnen davon. Nach einigen RUA bzw. RUF Protokolle ist mir zu Beginn aufgefallen, dass es Fehler gibt, weil der header_from lautete mysubdomain.example.tld wobei mysubdomain dem Hostname meines Mailservers entspricht. Ich habe schnell verstanden, dass es sich um NDR handelte, die mein MTA versandte. Also Beispiel: mein MTA mit dem Hostnamen mysubdomain.example.tld generierte einen NDR mit from=<> und to=<irgend@jema.nd>. NDR werden RFC-mäßig immer mit <> als Absender generiert und der match findet dann über den lokalen Hostnamen statt, in meinem Fall also mysubdomain.example.tld. Da ich zu jenem Zeitpunkt SPF,DKIM und DMARC nur für example.tld eingerichtet hatte, schlug deshalb dieser Fehleralarm zu. Also habe ich auch für die subdomain.example.tld SPF, DKIM und DMARC eingerichtet mit demselben DKIM-Schlüsselpaar (stört ja nicht und funktioniert). Ich testete die neue Konfiguration anschliessend, indem ich direkt vom MTA aus der shell aus eine Mail mit from=<> an to=<meine@gmail.com> oder auch an to=<foobar@mail-tester.com> generierte und die Ergebnisse betrachtete. Alles super, keine Fehler, SPF und DKIM voll valide, alles toll.
Trotz allem erhalte ich regelmäßig von Google einen aggregated report (also RUA), der wie folgt aussieht. Die sensiblen privaten Daten habe ich verändert und mit grüner Farbe zur Hervorhebung kenntlich gemacht.
Ich verstehe beim besten Willen nicht, warum dkim als fail angezeigt wird. Aus dem header_from und domain Teil entnehme ich deutlich, dass die Mail von meinem MTA generiert wurde mit subdomain.example.tld aber wieso krieg ich dann diesen RUA Repport mit dkim = fail ? Ich möchte hinzufügen, dass ich testweise sogar von strict auf relaxed umgeschaltet habe, das änderte jedoch nix, DKIM war trotzdem auf FAIL.
kann mir jemand einen Tip oder Idee geben, wonach ich zu suchen habe?
Danke im Voraus
panguu
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 537519
Url: https://administrator.de/contentid/537519
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
3 Kommentare
Neuester Kommentar
wo sind die DMARC/DKIM Profis? 
keiner irgendeine Idee ?
keiner irgendeine Idee ?
ich habe heute einen weiteren Rapport an RUA erhalten, von einem anderen Server (also nicht von Google wie oben gezeigt). Dort sieht es ähnlich aus, wieder DKIM result fail. Diesmal sogar direkt von meiner Hauptdomain "meinedomain.tld", aber da gibt's noch eine Zusatzzeile wie folgt:
Hier der gesamte Report:
<?xml version="1.0"?>
-<feedback>
<version>1.0</version>
-<report_metadata>
<org_name>MB&T GmbH</org_name>
<email>technik@mb-t.net</email>
<extra_contact_info>technik@mb-t.net</extra_contact_info>
<report_id>007</report_id>
-<date_range>
<begin>1579564800</begin>
<end>1579651199</end>
</date_range>
</report_metadata>
-<policy_published>
<domain>mydomain.tld</domain>
<adkim>s</adkim>
<aspf>s</aspf>
<p>quarantine</p>
<sp>quarantine</sp>
<pct>100</pct>
<fo>0</fo>
</policy_published>
-<record>
-<row>
<source_ip>11.22.33.44</source_ip>
<count>1</count>
-<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
-<identifiers>
<envelope_to>schwerter.de</envelope_to>
<envelope_from>mydomain.tld</envelope_from>
<header_from>mydomain.tld</header_from>
</identifiers>
-<auth_results>
-<dkim>
<domain>mydomain.tld</domain>
<selector>mail</selector>
<result>fail</result>
<human_result>fail (body has been altered)</human_result>
</dkim>
-<spf>
<domain>mydomain.tld</domain>
<scope>mfrom</scope>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>
Wieso passiert das? Alle anderen Mails gehen ohne Probleme raus, keine Beanstandungen und wie gesagt sämtliche DKIM/DMARC/SPF Tests, die ich durchgeführt habe waren GRÜN=OK. Zum Vergleich hier noch ein Report von Google meiner Hauptdomain, ebenfalls von heute und aktuell:
<?xml version="1.0" encoding="UTF-8"?>
-<feedback>
-<report_metadata>
<org_name>google.com</org_name>
<email>noreply-dmarc-support@google.com</email>
<extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
<report_id>12345678901234567890</report_id>
-<date_range>
<begin>1579564800</begin>
<end>1579651199</end>
</date_range>
</report_metadata>
-<policy_published>
<domain>mydomain.tld</domain>
<adkim>s</adkim>
<aspf>s</aspf>
<p>quarantine</p>
<sp>quarantine</sp>
<pct>100</pct>
</policy_published>
-<record>
-<row>
<source_ip>11.22.33.44</source_ip>
<count>4</count>
-<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
-<identifiers>
<header_from>mydomain.tld</header_from>
</identifiers>
-<auth_results>
-<dkim>
<domain>mydomain.tld</domain>
<result>pass</result>
<selector>mail</selector>
</dkim>
-<spf>
<domain>mydomain.tld</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>
Bin für jeden Tip sehr dankbar, steh grad echt auf dem Schlauch. Liegt das Problem an mir oder evtl. an der Gegenseite? Aber selbst wenn die Gegenseite weiterleiten würde und SPF brechen würde (weil kein SRS), dürfte dieser DMARC Fehlerbericht nicht zustandekommen wie hier gezeigt.
HELP :/
<human_result>fail (body has been altered)</human_result>
Hier der gesamte Report:
<?xml version="1.0"?>
-<feedback>
<version>1.0</version>
-<report_metadata>
<org_name>MB&T GmbH</org_name>
<email>technik@mb-t.net</email>
<extra_contact_info>technik@mb-t.net</extra_contact_info>
<report_id>007</report_id>
-<date_range>
<begin>1579564800</begin>
<end>1579651199</end>
</date_range>
</report_metadata>
-<policy_published>
<domain>mydomain.tld</domain>
<adkim>s</adkim>
<aspf>s</aspf>
<p>quarantine</p>
<sp>quarantine</sp>
<pct>100</pct>
<fo>0</fo>
</policy_published>
-<record>
-<row>
<source_ip>11.22.33.44</source_ip>
<count>1</count>
-<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
-<identifiers>
<envelope_to>schwerter.de</envelope_to>
<envelope_from>mydomain.tld</envelope_from>
<header_from>mydomain.tld</header_from>
</identifiers>
-<auth_results>
-<dkim>
<domain>mydomain.tld</domain>
<selector>mail</selector>
<result>fail</result>
<human_result>fail (body has been altered)</human_result>
</dkim>
-<spf>
<domain>mydomain.tld</domain>
<scope>mfrom</scope>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>
Wieso passiert das? Alle anderen Mails gehen ohne Probleme raus, keine Beanstandungen und wie gesagt sämtliche DKIM/DMARC/SPF Tests, die ich durchgeführt habe waren GRÜN=OK. Zum Vergleich hier noch ein Report von Google meiner Hauptdomain, ebenfalls von heute und aktuell:
<?xml version="1.0" encoding="UTF-8"?>
-<feedback>
-<report_metadata>
<org_name>google.com</org_name>
<email>noreply-dmarc-support@google.com</email>
<extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
<report_id>12345678901234567890</report_id>
-<date_range>
<begin>1579564800</begin>
<end>1579651199</end>
</date_range>
</report_metadata>
-<policy_published>
<domain>mydomain.tld</domain>
<adkim>s</adkim>
<aspf>s</aspf>
<p>quarantine</p>
<sp>quarantine</sp>
<pct>100</pct>
</policy_published>
-<record>
-<row>
<source_ip>11.22.33.44</source_ip>
<count>4</count>
-<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
-<identifiers>
<header_from>mydomain.tld</header_from>
</identifiers>
-<auth_results>
-<dkim>
<domain>mydomain.tld</domain>
<result>pass</result>
<selector>mail</selector>
</dkim>
-<spf>
<domain>mydomain.tld</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>
Bin für jeden Tip sehr dankbar, steh grad echt auf dem Schlauch. Liegt das Problem an mir oder evtl. an der Gegenseite? Aber selbst wenn die Gegenseite weiterleiten würde und SPF brechen würde (weil kein SRS), dürfte dieser DMARC Fehlerbericht nicht zustandekommen wie hier gezeigt.
HELP :/
keiner ?
