DMARC-Reports und DKIM

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
cosinus
Beiträge: 4186
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

DMARC-Reports und DKIM

Beitrag von cosinus » 23.05.2024 19:29:54

Moin,

hab hier mal ne Frage zu den DMARC-Reports. Hab mich endlich im Büro dazu durchgerungen, DKIM zu aktivieren. Nur kurz und BTW, weil es sich nicht im Linux handelt: ist eingerichtet auf einem Windows 2016 mit Exchange 2016. Die DKIM-Signierung funktioniert einwandfrei, Testmails über Outlook aber auch wenn ich über Debian mit Exim4 und unserem Exchange als Smarthost sende werden diese korrekt signiert. Hab ich überprüft über meine web.de Adresse und dann Abruf mit Thunderbird und Prüfung über den DKIM-Verifier als auch über ein Test über eine Testmail an check-auth@verifier.port25.com - da passt alles, SPF, iprev und DKIM.

Was ich nicht verstehe: ich bekomm trotzdem (aggregation) Reportmails an die Mailadresse, die ich im DMARC-Record angegeben habe mit dem Ergebnis, "SPF pass" aber "DKIM fail" (steht so in der gepackten xml Datei)

Hat jemand eine Idee, wie ich herausfinden kann, um welche Mails von uns es sich da handeln kann, bei denen DKIM fehlschlägt?
Was übersehe ich hier? :?

reox
Beiträge: 2515
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: DMARC-Reports und DKIM

Beitrag von reox » 24.05.2024 09:28:37

Möglicherweise weitergeleitete Mails? ARC solltest du dann wohl auch noch machen ;)
Anhand der Reports kann man ja ca abschätzen wo sie herkommen, eine IP steht ja normalerweise immer dabei und dann müsstest du ggf mit deinem Mailserver Log vergleichen - aber ich finde die Reports mittlerweile nicht wirklich sinnvoll und schaue sie mir daher gar nicht mehr an.

Benutzeravatar
cosinus
Beiträge: 4186
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: DMARC-Reports und DKIM

Beitrag von cosinus » 24.05.2024 10:11:37

reox hat geschrieben: ↑ zum Beitrag ↑
24.05.2024 09:28:37
aber ich finde die Reports mittlerweile nicht wirklich sinnvoll und schaue sie mir daher gar nicht mehr an.
Ok, ich hab auch schon überlegt, das "rua" aus dem DMARC-DNS-Record zu entfernen.
Wie gesagt was das für Mails sind sehe ich in dem XML Report leider nicht :x

reox
Beiträge: 2515
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: DMARC-Reports und DKIM

Beitrag von reox » 24.05.2024 10:30:00

Also du kannst ja auf jeden Fall die IP des Servers sehen der die Mail verschickt hat. Ist das überhaupt eine IP von deinem Mailserver?
Zumindest bei mir ist es so, dass dort immer SPF und DKIM auf pass sind - aber wenn dort eine andere IP steht geht meistens irgendwas kaputt. Das passiert zB, wenn eine Mail über eine Mailingliste kommt. Dabei geht ja DKIM oft kaputt.

Benutzeravatar
cosinus
Beiträge: 4186
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: DMARC-Reports und DKIM

Beitrag von cosinus » 24.05.2024 10:51:49

Ja, SPF passt. In den Reports steht das, nur DKIM gibt immer ein fail.

Benutzeravatar
cosinus
Beiträge: 4186
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: DMARC-Reports und DKIM

Beitrag von cosinus » 24.05.2024 11:47:24

Ok, hab den Fehler gefunden :evil:
Eine E-Mail über Outlook verschickt wird korrekt signiert, aber NICHT wenn die im HTML-Format ist :facepalm:
Keine Ahnung was das nun wieder soll, ist aber kein Thema fürs debianforum :oops:

Benutzeravatar
cosinus
Beiträge: 4186
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: DMARC-Reports und DKIM

Beitrag von cosinus » 24.05.2024 13:10:29

Nach weiteren Tests scheint klar zu sein: Exchange ist nicht der Übeltäter, sondern das von uns eingesetzte Tool multisendcon. Irgendwas wird da bei HTML-Mails verändert nachdem Exchange das an multisendcon übergeben hat, dann stimmt natürlich die Signatur nicht mehr. Muss das aber nochmal in Ruhe testen. Mal sehen ob ich das in den Griff kriege vllt weiß der Hersteller des Tools ja was. :|

Antworten