Verständnissfrage DMARC und SPF

Hallo,

ich beschäftige mich gerade bei einem neuem Kunden mit SPF, DMARC und DKIM.
SPF scheint korrekt zu sein, DMARC hatte ich hinzugefügt um erst einmal einen Eindruck zu erhalten und DKIM gibt es aktuell noch nicht. Es handelt sich um ein hosted Exchange bei Busymouse24 aus Deutschland.

Nun habe ich hier einen Report den ich nicht nachvollziehen kann.
Laut dem Bericht wurde zuerst mit der Domäne mx01.busymouse24.de und erst danach mit der Domäne firmaxyz.de gesendet. Laut Busymouse war das nicht so und geht auch gar nicht. Was übersehe ich?

<feedback>
<report_metadata>
<org_name>Zammad GmbH</org_name>
<email>hostmaster+dmarc_reports@zammad.com</email>
<report_id>firmaxyz.de.1729641600.1729728000</report_id>
<date_range>
<begin>1729641600</begin>
<end>1729728000</end>
</date_range>
</report_metadata>
<policy_published>
<domain>firmaxyz.de</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<record>
<row>
<source_ip>193.22.255.32</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>firmaxyz.de</header_from>
</identifiers>
<auth_results>
<spf>
<domain>mx01.busymouse24.de</domain>
<result>none</result>
</spf>
</auth_results>
</record>
<record>
<row>
<source_ip>193.22.255.32</source_ip>
<count>2</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>firmaxyz.de</header_from>
</identifiers>
<auth_results>
<spf>
<domain>firmaxyz.de</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>

Der SPF-Eintrag der Domäne

nslookup -type=txt firmaxyz
text = "v=spf1 include:spf.busymouse24.de -all"  

Der included SPF Eintrag von Busymouse24

nslookup -type=txt spf.busymouse24.de
text = "v=spf1 a:relay01.onlineworkplace.de a:relay02.onlineworkplace.de a:mx01.busymouse24.de a:mx02.busymouse24.de ~all"  

nslookup mx01.busymouse24.de
Address:  193.22.255.32

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 668989

Url: https://administrator.de/contentid/668989

Ausgedruckt am: 21.11.2024 um 12:11 Uhr

3 Kommentare

Neuester Kommentar

Hi,

hast du auch eine richte Dmarc XML ? Hier kannst du diese mal übersetzen.
https://eu.dmarcadvisor.com/dmarc-xml/

Mit freundlichen Grüßen

Welchen SMTP-Absender trägt denn eine E-Mail, die z.B. durch einen Autoresponder oder einen NDR generiert wird?
Dieser Envelope-Sender wird gerne übersehen, speziell bei servergenerierten E-Mails.
Der wird teilweise als "Return-Path:"-Header in E-Mails ausgegeben, so dass man das darüber ausprobieren kann.

Zitat von @7Gizmo7:
hast du auch eine richte Dmarc XML ? Hier kannst du diese mal übersetzen.

Ja, die Datei ist korrekt. Siehe Oben. Ich habe nur den Hostnamen geändert und die 1. Zeile entfernt.

Zitat von @LordGurke:
Welchen SMTP-Absender trägt denn eine E-Mail, die z.B. durch einen Autoresponder oder einen NDR generiert wird?
Dieser Envelope-Sender wird gerne übersehen, speziell bei servergenerierten E-Mails.
Der wird teilweise als "Return-Path:"-Header in E-Mails ausgegeben, so dass man das darüber ausprobieren kann.

Das könnte gut sein.

<domain>mx01.busymouse24.de</domain>

Es passt alles zusammen, wenn dies wirklich eine Mail ist wo dieser Domäne als Absender benutzt wird.

Leider ist in den DMARC-Berichten keine konkrete Information zu der Mail enthalten.
Ich werde es mal beobachten ob ich das noch rausbekomme.

Stefan

gelöst Frage E-Mail

Mehr von StefanKittel

MySQL Erklärung für Qcache_lowmem_prunes gesuchtStefanKittel

Visualisieren einer Handvoll Werten über einen längeren Zeitraum onlineStefanKittel - 10 Kommentare

DNS Provider für MSP oder Reseller gesuchtStefanKittel - 8 Kommentare

Mehr dBi bei WLAN Antennen ist doch besser?StefanKittel - 7 Kommentare

Heiß diskutiert