stefankittel
Goto Top

Verständnissfrage DMARC und SPF

Hallo,

ich beschäftige mich gerade bei einem neuem Kunden mit SPF, DMARC und DKIM.
SPF scheint korrekt zu sein, DMARC hatte ich hinzugefügt um erst einmal einen Eindruck zu erhalten und DKIM gibt es aktuell noch nicht. Es handelt sich um ein hosted Exchange bei Busymouse24 aus Deutschland.

Nun habe ich hier einen Report den ich nicht nachvollziehen kann.
Laut dem Bericht wurde zuerst mit der Domäne mx01.busymouse24.de und erst danach mit der Domäne firmaxyz.de gesendet. Laut Busymouse war das nicht so und geht auch gar nicht. Was übersehe ich?


<feedback>
<report_metadata>
<org_name>Zammad GmbH</org_name>
<email>hostmaster+dmarc_reports@zammad.com</email>
<report_id>firmaxyz.de.1729641600.1729728000</report_id>
<date_range>
<begin>1729641600</begin>
<end>1729728000</end>
</date_range>
</report_metadata>
<policy_published>
<domain>firmaxyz.de</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<record>
<row>
<source_ip>193.22.255.32</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>firmaxyz.de</header_from>
</identifiers>
<auth_results>
<spf>
<domain>mx01.busymouse24.de</domain>
<result>none</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>193.22.255.32</source_ip>
<count>2</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>firmaxyz.de</header_from>
</identifiers>
<auth_results>
<spf>
<domain>firmaxyz.de</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>

Der SPF-Eintrag der Domäne
nslookup -type=txt firmaxyz
text = "v=spf1 include:spf.busymouse24.de -all"  

Der included SPF Eintrag von Busymouse24
nslookup -type=txt spf.busymouse24.de
text = "v=spf1 a:relay01.onlineworkplace.de a:relay02.onlineworkplace.de a:mx01.busymouse24.de a:mx02.busymouse24.de ~all"  

nslookup mx01.busymouse24.de
Address:  193.22.255.32

Content-ID: 668989

Url: https://administrator.de/contentid/668989

Printed on: November 4, 2024 at 09:11 o'clock

7Gizmo7
7Gizmo7 Oct 24, 2024 at 18:55:03 (UTC)
Goto Top
Hi,

hast du auch eine richte Dmarc XML ? Hier kannst du diese mal übersetzen.
https://eu.dmarcadvisor.com/dmarc-xml/

Mit freundlichen Grüßen
LordGurke
Solution LordGurke Oct 24, 2024 at 19:20:24 (UTC)
Goto Top
Welchen SMTP-Absender trägt denn eine E-Mail, die z.B. durch einen Autoresponder oder einen NDR generiert wird?
Dieser Envelope-Sender wird gerne übersehen, speziell bei servergenerierten E-Mails.
Der wird teilweise als "Return-Path:"-Header in E-Mails ausgegeben, so dass man das darüber ausprobieren kann.
StefanKittel
StefanKittel Oct 24, 2024 at 22:28:57 (UTC)
Goto Top
Zitat von @7Gizmo7:
hast du auch eine richte Dmarc XML ? Hier kannst du diese mal übersetzen.
Ja, die Datei ist korrekt. Siehe Oben. Ich habe nur den Hostnamen geändert und die 1. Zeile entfernt.

Zitat von @LordGurke:
Welchen SMTP-Absender trägt denn eine E-Mail, die z.B. durch einen Autoresponder oder einen NDR generiert wird?
Dieser Envelope-Sender wird gerne übersehen, speziell bei servergenerierten E-Mails.
Der wird teilweise als "Return-Path:"-Header in E-Mails ausgegeben, so dass man das darüber ausprobieren kann.
Das könnte gut sein.
<domain>mx01.busymouse24.de</domain>
Es passt alles zusammen, wenn dies wirklich eine Mail ist wo dieser Domäne als Absender benutzt wird.

Leider ist in den DMARC-Berichten keine konkrete Information zu der Mail enthalten.
Ich werde es mal beobachten ob ich das noch rausbekomme.

Stefan