Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DKIM fail beim DMARC aggregated report für Subdomain

Mitglied: panguu

panguu (Level 2) - Jetzt verbinden

21.01.2020, aktualisiert 11:55 Uhr, 259 Aufrufe, 3 Kommentare

Hi all,

es ist nicht so, dass ich nicht etliche Wochen mit DMARC, DKIM, SPF verbracht hätte, aber ich stehe momentan echt auf dem Schlauch und versteh die Welt nicht mehr. Folgendes:

Ich hab die Domain example.tld und dafür SPF, DKIM und DMARC eingerichtet. Funktioniert auch alles tadellos so wie erwartet und konfiguriert. Sämtliche Tests sind OK. Da ich mir DMARC RUA und RUF reports zusende überprüfe ich täglich jeden einzelnen davon. Nach einigen RUA bzw. RUF Protokolle ist mir zu Beginn aufgefallen, dass es Fehler gibt, weil der header_from lautete mysubdomain.example.tld wobei mysubdomain dem Hostname meines Mailservers entspricht. Ich habe schnell verstanden, dass es sich um NDR handelte, die mein MTA versandte. Also Beispiel: mein MTA mit dem Hostnamen mysubdomain.example.tld generierte einen NDR mit from=<> und to=<irgend@jema.nd>. NDR werden RFC-mäßig immer mit <> als Absender generiert und der match findet dann über den lokalen Hostnamen statt, in meinem Fall also mysubdomain.example.tld. Da ich zu jenem Zeitpunkt SPF,DKIM und DMARC nur für example.tld eingerichtet hatte, schlug deshalb dieser Fehleralarm zu. Also habe ich auch für die subdomain.example.tld SPF, DKIM und DMARC eingerichtet mit demselben DKIM-Schlüsselpaar (stört ja nicht und funktioniert). Ich testete die neue Konfiguration anschliessend, indem ich direkt vom MTA aus der shell aus eine Mail mit from=<> an to=<meine@gmail.com> oder auch an to=<foobar@mail-tester.com> generierte und die Ergebnisse betrachtete. Alles super, keine Fehler, SPF und DKIM voll valide, alles toll.


Trotz allem erhalte ich regelmäßig von Google einen aggregated report (also RUA), der wie folgt aussieht. Die sensiblen privaten Daten habe ich verändert und mit grüner Farbe zur Hervorhebung kenntlich gemacht.

dmarc_dkim_fail_google - Klicke auf das Bild, um es zu vergrößern

Ich verstehe beim besten Willen nicht, warum dkim als fail angezeigt wird. Aus dem header_from und domain Teil entnehme ich deutlich, dass die Mail von meinem MTA generiert wurde mit subdomain.example.tld aber wieso krieg ich dann diesen RUA Repport mit dkim = fail ? Ich möchte hinzufügen, dass ich testweise sogar von strict auf relaxed umgeschaltet habe, das änderte jedoch nix, DKIM war trotzdem auf FAIL.

kann mir jemand einen Tip oder Idee geben, wonach ich zu suchen habe?

Danke im Voraus
panguu
Mitglied: panguu
22.01.2020 um 08:27 Uhr
wo sind die DMARC/DKIM Profis? keiner irgendeine Idee ?
Bitte warten ..
Mitglied: panguu
22.01.2020, aktualisiert um 15:03 Uhr
ich habe heute einen weiteren Rapport an RUA erhalten, von einem anderen Server (also nicht von Google wie oben gezeigt). Dort sieht es ähnlich aus, wieder DKIM result fail. Diesmal sogar direkt von meiner Hauptdomain "meinedomain.tld", aber da gibt's noch eine Zusatzzeile wie folgt:

<human_result>fail (body has been altered)</human_result>

Hier der gesamte Report:

<?xml version="1.0"?>
-<feedback>
<version>1.0</version>
-<report_metadata>
<org_name>MB&T GmbH</org_name>
<email>technik@mb-t.net</email>
<extra_contact_info>technik@mb-t.net</extra_contact_info>
<report_id>007</report_id>
-<date_range>
<begin>1579564800</begin>
<end>1579651199</end>
</date_range>
</report_metadata>
-<policy_published>
<domain>mydomain.tld</domain>
<adkim>s</adkim>
<aspf>s</aspf>
<p>quarantine</p>
<sp>quarantine</sp>
<pct>100</pct>
<fo>0</fo>
</policy_published>
-<record>
-<row>
<source_ip>11.22.33.44</source_ip>
<count>1</count>
-<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
-<identifiers>
<envelope_to>schwerter.de</envelope_to>
<envelope_from>mydomain.tld</envelope_from>
<header_from>mydomain.tld</header_from>
</identifiers>
-<auth_results>
-<dkim>
<domain>mydomain.tld</domain>
<selector>mail</selector>
<result>fail</result>
<human_result>fail (body has been altered)</human_result>
</dkim>
-<spf>
<domain>mydomain.tld</domain>
<scope>mfrom</scope>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>

Wieso passiert das? Alle anderen Mails gehen ohne Probleme raus, keine Beanstandungen und wie gesagt sämtliche DKIM/DMARC/SPF Tests, die ich durchgeführt habe waren GRÜN=OK. Zum Vergleich hier noch ein Report von Google meiner Hauptdomain, ebenfalls von heute und aktuell:

<?xml version="1.0" encoding="UTF-8"?>
-<feedback>
-<report_metadata>
<org_name>google.com</org_name>
<email>noreply-dmarc-support@google.com</email>
<extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>"
<report_id>12345678901234567890</report_id>
-<date_range>
<begin>1579564800</begin>
<end>1579651199</end>
</date_range>
</report_metadata>
-<policy_published>
<domain>mydomain.tld</domain>
<adkim>s</adkim>
<aspf>s</aspf>
<p>quarantine</p>
<sp>quarantine</sp>
<pct>100</pct>
</policy_published>
-<record>
-<row>
<source_ip>11.22.33.44</source_ip>
<count>4</count>
-<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
-<identifiers>
<header_from>mydomain.tld</header_from>
</identifiers>
-<auth_results>
-<dkim>
<domain>mydomain.tld</domain>
<result>pass</result>
<selector>mail</selector>
</dkim>
-<spf>
<domain>mydomain.tld</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>

Bin für jeden Tip sehr dankbar, steh grad echt auf dem Schlauch. Liegt das Problem an mir oder evtl. an der Gegenseite? Aber selbst wenn die Gegenseite weiterleiten würde und SPF brechen würde (weil kein SRS), dürfte dieser DMARC Fehlerbericht nicht zustandekommen wie hier gezeigt.

HELP :/
Bitte warten ..
Mitglied: panguu
27.01.2020 um 12:47 Uhr
keiner ?
Bitte warten ..
Ähnliche Inhalte
E-Mail

Mails landen trotz SPF, DKIM und DMARC im SPAM-Ordner von GMAIL und MS

Frage von atomiqueE-Mail8 Kommentare

Hallo zusammen, ich hab hier ein etwas dubioses Problem: Ich habe seit einiger Zeit einen Mailserver (Exchange 2013) am ...

E-Mail

DKIM und DMARC. Mit welchem von beiden fängt man am besten an, oder gehören die doch zusammen?

gelöst Frage von beidermachtvongreyscullE-Mail3 Kommentare

Guten Tag liebe Kolleginnen und Kollegen, eigentlich fahre ich mit meinem EX2010SP3 mit neuestem CU recht gut. Laut mail-tester.com ...

E-Mail

DKIM - mehrere Domains gleicher Schlüssek

gelöst Frage von Philipp711E-Mail2 Kommentare

Hallo, seit einigen Jahren haben wir DKIM am SMTP-Proxy aktiviert. Als wir mit DKIM angefangen haben, hatten wir nur ...

E-Mail

SPF gmail fail

Frage von D46505PlE-Mail2 Kommentare

Hallo Zusammen, auf einem Server befindet sich im Nameserver ein SPF Record für den Server selbst (IP4 und IP6). ...

Neue Wissensbeiträge
Microsoft Office

Office 365 Makro Schutz nicht immer per GPO möglich

Information von sabines vor 3 TagenMicrosoft Office5 Kommentare

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 5 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 5 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 6 TagenHumor (lol)21 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Reichweite bei Netzwerkdruckern mit Kupfer
gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOONetzwerkgrundlagen41 Kommentare

Guten Tag, aus gegebenem Anlass, möchte ich euch fragen, was aus eurer Sicht, eine akzeptable Reichweite bei einem Netzwerkdrucker ...

Visual Studio
Aufgabenplaner führt Programm inkorrekt aus
Frage von TallerBiskusVisual Studio22 Kommentare

Hallo Leute :) Ich habe ein sehr seltsames Phänomen. Folgende Gegebenheiten : Wir haben einen Windows Server 2012 R2 ...

Hardware
Stromausfalllogger
Frage von certifiedit.netHardware21 Kommentare

Guten Nachmittag, welche Geräte könnt Ihr empfehlen um Stromausfälle, optimalerweise auch Frequenzstörungen zu loggen? Geht hier um keinen konkreten ...

Server-Hardware
Neuer Server - Meinung
gelöst Frage von hukimanServer-Hardware18 Kommentare

Hallo Zusammen, für einen Kunden stelle ich aktuell den ersten Server zusammen, den ich selbst verkaufe. Es soll ein ...