3
Fehler bei SPF von Mailjet?
Hallo,
ich beschäftige mich gerade mit den Themen SPF, DKIM und DMARC.
Aktuell werte ich gerade DMARC-Berichte aus. Speziell welche, wo der Kunde mit einer Subdomäne Mails mit Mailjet versendet.
Hier habe ich SPF unaligned Fehler. Im täglichen Versand gibt es keine Problem. Aber GMX schickt mir diese Berichte ja nicht weil denen langweilig ist.
Soweit ich das sehenutzt mailjet das Feld envelope_from hier falsch. Bevor ich mich an deren Support wende und ein "Das kann gar nicht sein. Wird sind Profis" höre, wollte ich Euch mal fragen ob ich was falsch sehe.
Danke
ich beschäftige mich gerade mit den Themen SPF, DKIM und DMARC.
Aktuell werte ich gerade DMARC-Berichte aus. Speziell welche, wo der Kunde mit einer Subdomäne Mails mit Mailjet versendet.
Hier habe ich SPF unaligned Fehler. Im täglichen Versand gibt es keine Problem. Aber GMX schickt mir diese Berichte ja nicht weil denen langweilig ist.
Soweit ich das sehenutzt mailjet das Feld envelope_from hier falsch. Bevor ich mich an deren Support wende und ein "Das kann gar nicht sein. Wird sind Profis" höre, wollte ich Euch mal fragen ob ich was falsch sehe.
Danke
<record>
<row>
<source_ip>87.253.233.129</source_ip>
<count>53</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<envelope_from>a1521675.bnc3.mailjet.com</envelope_from>
<header_from>mail.firma.de</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>mail.firma.de</domain>
<selector>mailjet</selector>
<result>pass</result>
</dkim>
<spf>
<domain>a1521675.bnc3.mailjet.com</domain>
<scope>mfrom</scope>
<result>pass</result>
</spf>
</auth_results>
</record>
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669100
Url: https://administrator.de/contentid/669100
Ausgedruckt am: 21.11.2024 um 12:11 Uhr
3 Kommentare
Neuester Kommentar
Wie sieht denn dein DMARC-Record aus? Benutzt du rua und/oder ruf?
Bei rua bekommst du immer einen Bericht, bei ruf nur im Fehlerfall das Fehlerprotokoll
Bei rua bekommst du immer einen Bericht, bei ruf nur im Fehlerfall das Fehlerprotokoll
Mailjet setzt einen eigenen Envelope-Sender (wie die allermeisten Anbieter dieser Art), damit sie auch die Bounces bekommen. Dieser Fehler tritt dort dann prinzipbedingt auf, genau wie bei Mailinglisten oder Weiterleitungen mit SRS, es ist aber normalerweise kein Problem.
Mailserver, die nur SPF validieren, werden auch nur den Envelope-Sender validieren – mit positivem Ergebnis (siehe Zeile 24).
Mailserver, die auch DKIM validieren, werden die DKIM-Signaturen gegen den "From:"-Header validieren – ebenfalls mit positivem Ergebnis (Zeile 19).
DMARC kommt jetzt und prüft zusätzlich, ob Header-From und Envelope-From ebenfalls übereinstimmen.
Es reicht dass eine dieser Prüfungen erfolgreich ist, um eine E-Mail als authentifiziert zu betrachten. Bei umgeleiteten E-Mails hast du realistisch z.B. keine Chance, einen SPF-Pass hinzubekommen. Wenn du aber die Nachricht und die Header intakt lässt, wird eine vorhandene DKIM-Signatur weiterhin validieren.
Bei dieser Art des Mailversands ist es also Teil des Nutzungserlebnis dass du kein Alignment hinbekommst, darauf wird in RFC 7489, Abschnitt 10.5 "Interoperability Issues" eingegangen.
Mailserver, die nur SPF validieren, werden auch nur den Envelope-Sender validieren – mit positivem Ergebnis (siehe Zeile 24).
Mailserver, die auch DKIM validieren, werden die DKIM-Signaturen gegen den "From:"-Header validieren – ebenfalls mit positivem Ergebnis (Zeile 19).
DMARC kommt jetzt und prüft zusätzlich, ob Header-From und Envelope-From ebenfalls übereinstimmen.
Es reicht dass eine dieser Prüfungen erfolgreich ist, um eine E-Mail als authentifiziert zu betrachten. Bei umgeleiteten E-Mails hast du realistisch z.B. keine Chance, einen SPF-Pass hinzubekommen. Wenn du aber die Nachricht und die Header intakt lässt, wird eine vorhandene DKIM-Signatur weiterhin validieren.
Bei dieser Art des Mailversands ist es also Teil des Nutzungserlebnis dass du kein Alignment hinbekommst, darauf wird in RFC 7489, Abschnitt 10.5 "Interoperability Issues" eingegangen.
1
Zitat von @Snuffchen:
Wie sieht denn dein DMARC-Record aus? Benutzt du rua und/oder ruf?
Bei rua bekommst du immer einen Bericht, bei ruf nur im Fehlerfall das Fehlerprotokoll
Ich nutze beide.Wie sieht denn dein DMARC-Record aus? Benutzt du rua und/oder ruf?
Bei rua bekommst du immer einen Bericht, bei ruf nur im Fehlerfall das Fehlerprotokoll
Zitat von @LordGurke:
Mailjet setzt einen eigenen Envelope-Sender (wie die allermeisten Anbieter dieser Art), damit sie auch die Bounces bekommen. Dieser Fehler tritt dort dann prinzipbedingt auf, genau wie bei Mailinglisten oder Weiterleitungen mit SRS...
Mailjet setzt einen eigenen Envelope-Sender (wie die allermeisten Anbieter dieser Art), damit sie auch die Bounces bekommen. Dieser Fehler tritt dort dann prinzipbedingt auf, genau wie bei Mailinglisten oder Weiterleitungen mit SRS...
Danke!
Also brauche ich nicht nur einen DMARC-Sammler mit Zusammenfassung sondern auch eine Liste für welche Domänen mit welchem Versender (Mailjet) welche Fehler nur optisch sind wie auch welche wo das wirklich ein Problem ist. Na herzlichen Glühstrumpf.
Stefan
