Re: [postfix-users] OpenDMARC und dhl.com

Am 17.09.2014 um 11:19 schrieb Jochen Fahrner:

Lustig: jetzt geht zwar DHL, dafür werden jetzt DMARC-Reports von Google abgewiesen. ;-)

Sep 17 11:12:27 s2 postfix/postscreen[29962]: CONNECT from [2607:f8b0:4003:c01::249]:37530 to [2a01:4f8:d13:3016::2]:25 Sep 17 11:12:33 s2 postfix/postscreen[29962]: PASS NEW [2607:f8b0:4003:c01::249]:37530 Sep 17 11:12:35 s2 postfix/smtpd[29971]: connect from mail-ob0-x249.google.com[2607:f8b0:4003:c01::249] Sep 17 11:12:36 s2 postfix/smtpd[29971]: Anonymous TLS connection established from mail-ob0-x249.google.com[2607:f8b0:4003:c01::249]: TLSv1 with cipher ECDHE-RSA-RC4-SHA (128/128 bits) Sep 17 11:12:37 s2 policyd-spf[29978]: None; identity=helo; client-ip=2607:f8b0:4003:c01::249; helo=mail-ob0-x249.google.com; envelope-from=noreply-dmarc-support@google.com; receiver=dmarc@fahrner.name Sep 17 11:12:37 s2 policyd-spf[29978]: Pass; identity=mailfrom; client-ip=2607:f8b0:4003:c01::249; helo=mail-ob0-x249.google.com; envelope-from=noreply-dmarc-support@google.com; receiver=dmarc@fahrner.name Sep 17 11:12:37 s2 postfix/smtpd[29971]: 47544341FA: client=mail-ob0-x249.google.com[2607:f8b0:4003:c01::249] Sep 17 11:12:37 s2 postfix/cleanup[29980]: 47544341FA: message-id=14117120610198414199@google.com Sep 17 11:12:37 s2 opendmarc[29698]: 47544341FA: google.com fail Sep 17 11:12:37 s2 postfix/pickup[29793]: 8C12734449: uid=118 from=<opendmarc> Sep 17 11:12:37 s2 postfix/cleanup[29984]: 8C12734449: message-id=20140917091237.8C12734449@s2.fahrner.name Sep 17 11:12:37 s2 opendkim[6724]: 8C12734449: DKIM-Signature header added (s=mail, d=fahrner.name) Sep 17 11:12:37 s2 postfix/cleanup[29980]: 47544341FA: milter-hold: END-OF-MESSAGE from mail-ob0-x249.google.com[2607:f8b0:4003:c01::249]: milter triggers HOLD action; from=noreply-dmarc-support@google.com to=dmarc@fahrner.name proto=ESMTP helo=<mail-ob0-x249.google.com>

Kann es sein dass SPF ein Problem mit ipv6 Adressen hat?

uff ich weiss das google "beim hinsenden" hin und wieder mails von ipv6 Adressen als Spam markiert hat , der workaround waere ein transport nur auf ipv4 fuer google, mein letzter Stand dazu ist dass es daran liegen koennte das viele Sender vergessen auch fuer ihre ipv6 Adressen zusaetzlich SPF policies zu veroeffentlichen ( inkl harte SPF A Eintrage fuer ihren mailserver hostnamen ), damals waren die google Seiten dazu nicht hilfreich, und ich konnte es auch final nicht verifizieren

zu deiner Frage

dig -t txt google.com

; <<>> DiG 9.7.0-P1 <<>> -t txt google.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33915 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION: ;google.com. IN TXT

;; ANSWER SECTION: google.com. 3600 IN TXT "v=spf1 include:_spf.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all"

dig -t txt _spf.google.com

; <<>> DiG 9.7.0-P1 <<>> -t txt _spf.google.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33721 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION: ;_spf.google.com. IN TXT

;; ANSWER SECTION: _spf.google.com. 300 IN TXT "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"

dig -t txt _netblocks.google.com

; <<>> DiG 9.7.0-P1 <<>> -t txt _netblocks.google.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42680 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION: ;_netblocks.google.com. IN TXT

;; ANSWER SECTION: _netblocks.google.com. 400 IN TXT "v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20 ip4:173.194.0.0/16 ~all"

dig -t txt _netblocks2.google.com

; <<>> DiG 9.7.0-P1 <<>> -t txt _netblocks2.google.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55896 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION: ;_netblocks2.google.com. IN TXT

;; ANSWER SECTION: _netblocks2.google.com. 2958 IN TXT "v=spf1 ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36 ip6:2800:3f0:4000::/36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~all"

dig -t txt _netblocks3.google.com

; <<>> DiG 9.7.0-P1 <<>> -t txt _netblocks3.google.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 913 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION: ;_netblocks3.google.com. IN TXT

;; ANSWER SECTION: _netblocks3.google.com. 883 IN TXT "v=spf1 ~all"

es gibt also ipv6 Angaben, alles ist im Testing mode, die scheinen auch ok zu sein nach deinem policy-spf

Sep 17 11:12:37 s2 policyd-spf[29978]: Pass; identity=mailfrom;

Sep 17 11:12:37 s2 opendmarc[29698]: 47544341FA: google.com fail

ok wieder opendmarc

in meinem report ist ein DKIM KEY drinn , ich geh mal davon aus dass der Ok ist

ich wuerde hier auf einen bug tippen, da gabs wohl mit DKIM schon mal Probleme, die aber gefixed worden sind , per se wg ipv6 hab ich jetzt nichts gefunden

ich empfehle ein Ticket bei opendmarc aufzumachen

Best Regards MfG Robert Schetterer