DMARC und Mailinglisten
Hallo,
bei Mailinglisten wird das DMARC wirklich zum Problem. Habe mich jetzt auf einer Liste angemeldet die nicht DMARC-konform ist und prompt werden da Mails abgewiesen. Kriegt man das irgendwie in den Griff, ohne DMARC komplett zu deaktivieren?
Feb 20 06:28:35 s2 postfix/postscreen[20427]: CONNECT from [8.8.178.116]:46715 to [78.46.184.248]:25 Feb 20 06:28:35 s2 postfix/postscreen[20427]: PASS OLD [8.8.178.116]:46715 Feb 20 06:28:36 s2 postfix/smtpd[20429]: connect from mx2.freebsd.org[8.8.178.116] Feb 20 06:28:37 s2 postfix/smtpd[20429]: Anonymous TLS connection established from mx2.freebsd.org[8.8.178.116]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Feb 20 06:28:39 s2 policyd-spf[20438]: None; identity=helo; client-ip=8.8.178.116; helo=mx2.freebsd.org; envelope-from=owner-freebsd-current@freebsd.org; receiver=jf@fahrner.name Feb 20 06:28:39 s2 policyd-spf[20438]: Pass; identity=mailfrom; client-ip=8.8.178.116; helo=mx2.freebsd.org; envelope-from=owner-freebsd-current@freebsd.org; receiver=jf@fahrner.name Feb 20 06:28:39 s2 postfix/smtpd[20429]: 7224534141: client=mx2.freebsd.org[8.8.178.116] Feb 20 06:28:39 s2 postfix/cleanup[20440]: 7224534141: message-id=464530409.2420401.1424409908005.JavaMail.yahoo@mail.yahoo.com Feb 20 06:28:39 s2 opendkim[3180]: 7224534141: mx2.freebsd.org [8.8.178.116] not internal Feb 20 06:28:39 s2 opendkim[3180]: 7224534141: not authenticated Feb 20 06:28:40 s2 opendkim[3180]: 7224534141: bad signature data Feb 20 06:28:40 s2 opendmarc[3192]: 7224534141: authres: s2.fahrner.name;#012#011dkim=fail reason="no signature error" (2048-bit key; insecure) header.d=yahoo.com header.i=@yahoo.com header.b=Bk3hfdot;#012#011dkim-adsp=unknown (insecure policy); dkim-atps=neutral Feb 20 06:28:40 s2 opendmarc[3192]: 7224534141: recvspf: Pass (sender SPF authorized) identity=mailfrom; client-ip=8.8.178.116; helo=mx2.freebsd.org; envelope-from=owner-freebsd-current@freebsd.org; receiver=jf@fahrner.name Feb 20 06:28:40 s2 postfix/pickup[19499]: A037634145: uid=118 from=<opendmarc> Feb 20 06:28:40 s2 postfix/cleanup[20444]: A037634145: message-id=20150220052840.A037634145@s2.fahrner.name Feb 20 06:28:40 s2 opendmarc[3192]: 7224534141: yahoo.com fail Feb 20 06:28:40 s2 opendkim[3180]: A037634145: DKIM-Signature header added (s=mail, d=fahrner.name) Feb 20 06:28:40 s2 postfix/cleanup[20440]: 7224534141: milter-reject: END-OF-MESSAGE from mx2.freebsd.org[8.8.178.116]: 5.7.1 rejected by DMARC policy for yahoo.com; from=owner-freebsd-current@freebsd.org to=jf@fahrner.name proto=ESMTP helo=<mx2.freebsd.org>
* Joachim Fahrner jf@fahrner.name:
Hallo,
bei Mailinglisten wird das DMARC wirklich zum Problem. Habe mich jetzt auf einer Liste angemeldet die nicht DMARC-konform ist und prompt werden da Mails abgewiesen. Kriegt man das irgendwie in den Griff, ohne DMARC komplett zu deaktivieren?
Nein.
p@rick
Am 21.02.2015 um 09:01 schrieb Patrick Ben Koetter:
- Joachim Fahrner jf@fahrner.name:
Hallo,
bei Mailinglisten wird das DMARC wirklich zum Problem. Habe mich jetzt auf einer Liste angemeldet die nicht DMARC-konform ist und prompt werden da Mails abgewiesen. Kriegt man das irgendwie in den Griff, ohne DMARC komplett zu deaktivieren?
Nein.
p@rick
Ich glaube Patrick hat Recht. Zur Zeit ist der Wurm drin beim DMARC. Eben wurde wieder eine Mail rejected, diesmal aus der postfix-de Liste, die bisher nie Probleme bei mir machte:
Feb 21 13:28:24 s2 postfix/postscreen[14621]: CONNECT from [141.42.206.35]:54068 to [78.46.184.248]:25
Feb 21 13:28:24 s2 postfix/postscreen[14621]: PASS OLD [141.42.206.35]:54068
Feb 21 13:28:24 s2 postfix/smtpd[14622]: connect from postfix.charite.de[141.42.206.35]
Feb 21 13:28:24 s2 postfix/smtpd[14622]: Anonymous TLS connection established from postfix.charite.de[141.42.206.35]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
Feb 21 13:28:26 s2 policyd-spf[14630]: None; identity=helo; client-ip=141.42.206.35; helo=postfix.charite.de; envelope-from=postfix-users-bounces+jf=fahrner.name@de.postfix.org; receiver=jf@fahrner.name
Feb 21 13:28:26 s2 policyd-spf[14630]: None; identity=mailfrom; client-ip=141.42.206.35; helo=postfix.charite.de; envelope-from=postfix-users-bounces+jf=fahrner.name@de.postfix.org; receiver=jf@fahrner.name
Feb 21 13:28:26 s2 postfix/smtpd[14622]: 2B59234005: client=postfix.charite.de[141.42.206.35]
Feb 21 13:28:26 s2 postfix/cleanup[14632]: 2B59234005: message-id=54E877DE.8030108@nerd-residenz.de
Feb 21 13:28:26 s2 opendkim[3180]: 2B59234005: postfix.charite.de [141.42.206.35] not internal
Feb 21 13:28:26 s2 opendkim[3180]: 2B59234005: not authenticated
Feb 21 13:28:26 s2 opendkim[3180]: 2B59234005: message has signatures from de.postfix.org, nerd-residenz.de
Feb 21 13:28:26 s2 opendkim[3180]: 2B59234005: DKIM verification successful
Feb 21 13:28:26 s2 opendkim[3180]: 2B59234005: s=200801 d=de.postfix.org SSL error:04091068:rsa routines:INT_RSA_VERIFY:bad signature
Feb 21 13:28:26 s2 opendmarc[12917]: 2B59234005: authres: s2.fahrner.name;#012#011dkim=pass (1024-bit key; insecure) header.d=de.postfix.org header.i=@de.postfix.org header.b=R6ZoWnV6;#012#011dkim=fail reason="signature verification failed" (1024-bit key; insecure) header.d=nerd-residenz.de header.i=@nerd-residenz.de header.b=HouiEsoN;#012#011dkim-adsp=none (insecure policy); dkim-atps=neutral
Feb 21 13:28:26 s2 opendmarc[12917]: 2B59234005: recvspf: None (no SPF record) identity=mailfrom; client-ip=141.42.206.35; helo=postfix.charite.de; envelope-from=postfix-users-bounces+jf=fahrner.name@de.postfix.org; receiver=jf@fahrner.name
Feb 21 13:28:26 s2 opendmarc[12917]: 2B59234005: nerd-residenz.de fail
Feb 21 13:28:26 s2 postfix/pickup[14116]: 81BF434144: uid=118 from=<opendmarc>
Feb 21 13:28:26 s2 postfix/cleanup[14636]: 81BF434144: message-id=20150221122826.81BF434144@s2.fahrner.name
Feb 21 13:28:26 s2 opendkim[3180]: 81BF434144: DKIM-Signature header added (s=mail, d=fahrner.name)
Feb 21 13:28:26 s2 postfix/cleanup[14632]: 2B59234005: milter-hold: END-OF-MESSAGE from postfix.charite.de[141.42.206.35]: milter triggers HOLD action; from=postfix-users-bounces+jf=fahrner.name@de.postfix.org to=jf@fahrner.name proto=ESMTP helo=<postfix.charite.de>
Ich hau den OpenDMARC-milter nachher raus. Eigentlich schade, weil ich da schon so viel Zeit investiert hatte. Irgendwie ist das DMARC "broken by design".
Am 21.02.2015 um 13:43 schrieb Joachim Fahrner:
reason="signature verification failed" (1024-bit key; insecure) header.d=nerd-residenz.de
schaetze man musste den nerd-residenz.de DKIM/DMARC mal checken, die Liste sollte passen
Best Regards MfG Robert Schetterer
Am 21.02.2015 um 14:13 schrieb Robert Schetterer:
Am 21.02.2015 um 13:43 schrieb Joachim Fahrner:
reason="signature verification failed" (1024-bit key; insecure) header.d=nerd-residenz.de
schaetze man musste den nerd-residenz.de DKIM/DMARC mal checken, die Liste sollte passen
Best Regards MfG Robert Schetterer
Wie sind denn deine Software Versionen derzeit ?
du solltest mind postfix-2.11.3
http://www.postfix.org/announcements/postfix-2.11.3.html
und bei opendmarc und opendkim gabs auch ein paar patches soweit ich erinnere
Gruss Robert
Am 21.02.2015 um 14:37 schrieb Robert Schetterer:
Am 21.02.2015 um 14:13 schrieb Robert Schetterer:
Am 21.02.2015 um 13:43 schrieb Joachim Fahrner:
reason="signature verification failed" (1024-bit key; insecure) header.d=nerd-residenz.de
schaetze man musste den nerd-residenz.de DKIM/DMARC mal checken, die Liste sollte passen
Best Regards MfG Robert Schetterer
Wie sind denn deine Software Versionen derzeit ?
du solltest mind postfix-2.11.3
http://www.postfix.org/announcements/postfix-2.11.3.html
und bei opendmarc und opendkim gabs auch ein paar patches soweit ich erinnere
Gruss Robert
Liste sieht fuer mich gut aus
Feb 21 14:39:47 mail policyd-spf[31196]: spfcheck: pyspf result: "['None', '', 'mailfrom']" Feb 21 14:39:47 mail policyd-spf[31196]: None; identity=mailfrom; client-ip=141.42.206.35; helo=postfix.charite.de; envelope-from=postfix-users-bounces+robert=schetterer.org@de.postfix.org; receiver=robert@schetterer.org
Feb 21 14:39:47 mail postfix/smtpd[31184]: CC8D151A01E7: client=postfix.charite.de[141.42.206.35] Feb 21 14:39:47 mail postfix/cleanup[31185]: CC8D151A01E7: message-id=54E88A07.908@schetterer.org Feb 21 14:39:47 mail opendkim[20451]: CC8D151A01E7: message has signatures from de.postfix.org, schetterer.org Feb 21 14:39:47 mail opendkim[20451]: CC8D151A01E7: DKIM verification successful Feb 21 14:39:47 mail opendkim[20451]: CC8D151A01E7: s=200801 d=de.postfix.org SSL Feb 21 14:39:47 mail opendmarc[3882]: CC8D151A01E7: schetterer.org none
nichts beschwert sich
Am 21.02.2015 um 14:13 schrieb Robert Schetterer:
Am 21.02.2015 um 13:43 schrieb Joachim Fahrner:
reason="signature verification failed" (1024-bit key; insecure) header.d=nerd-residenz.de
schaetze man musste den nerd-residenz.de DKIM/DMARC mal checken, die Liste sollte passen
Mir fällt auf dass diese Domain nur einen DMARC Eintrag hat, aber keinen für DKIM. Das macht doch keinen Sinn, oder?
_dmarc.nerd-residenz.de descriptive text "v=DMARC1; p=quarantine"
Am 21.02.2015 um 16:04 schrieb Joachim Fahrner:
Mir fällt auf dass diese Domain nur einen DMARC Eintrag hat, aber keinen für DKIM. Das macht doch keinen Sinn, oder?
_dmarc.nerd-residenz.de descriptive text "v=DMARC1; p=quarantine"
Außerdem fällt mir noch auf dass die Domain nerd-residenz.de SPF verlangt, aber wohl keiner drin war.
Feb 21 13:28:26 s2 opendmarc[12917]: 2B59234005: recvspf: None (no SPF record) identity=mailfrom; client-ip=141.42.206.35; helo=postfix.charite.de; envelope-from=postfix-users-bounces+jf=fahrner.name@de.postfix.org; receiver=jf@fahrner.name
Feb 21 13:28:26 s2 opendmarc[12917]: 2B59234005: nerd-residenz.de fail
nerd-residenz.de descriptive text "v=spf1 mx -all"
Am 21.02.2015 um 16:20 schrieb Joachim Fahrner:
Am 21.02.2015 um 16:04 schrieb Joachim Fahrner:
Mir fällt auf dass diese Domain nur einen DMARC Eintrag hat, aber keinen für DKIM. Das macht doch keinen Sinn, oder?
_dmarc.nerd-residenz.de descriptive text "v=DMARC1; p=quarantine"
Außerdem fällt mir noch auf dass die Domain nerd-residenz.de SPF verlangt, aber wohl keiner drin war.
das sollte nicht zaehlen der Absender ist de.postfix.org, dessen SPF sollte zeahlen, den gibts aber scheinbar nicht
dig -t txt de.postfix.org
; <<>> DiG 9.9.5-3ubuntu0.2-Ubuntu <<>> -t txt de.postfix.org ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16255 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;de.postfix.org. IN TXT
;; AUTHORITY SECTION: de.postfix.org. 13988 IN SOA ns.sys4.de. hostmaster.sys4.de. 2012102901 86400 3600 604800 86400
das werd ich mal melden
nach meinem dafuerhalten ging das bei dir schief weil die Liste keinen SPF hat und DKIM ( warum auch immer ) schief ging
Feb 21 13:28:26 s2 opendmarc[12917]: 2B59234005: recvspf: None (no SPF record) identity=mailfrom; client-ip=141.42.206.35; helo=postfix.charite.de; envelope-from=postfix-users-bounces+jf=fahrner.name@de.postfix.org; receiver=jf@fahrner.name
Feb 21 13:28:26 s2 opendmarc[12917]: 2B59234005: nerd-residenz.de fail
nerd-residenz.de descriptive text "v=spf1 mx -all"
Best Regards MfG Robert Schetterer
Am 21.02.2015 um 16:04 schrieb Joachim Fahrner:
Am 21.02.2015 um 14:13 schrieb Robert Schetterer:
Am 21.02.2015 um 13:43 schrieb Joachim Fahrner:
reason="signature verification failed" (1024-bit key; insecure) header.d=nerd-residenz.de
schaetze man musste den nerd-residenz.de DKIM/DMARC mal checken, die Liste sollte passen
Mir fällt auf dass diese Domain nur einen DMARC Eintrag hat, aber keinen für DKIM. Das macht doch keinen Sinn, oder?
_dmarc.nerd-residenz.de descriptive text "v=DMARC1; p=quarantine"
uff da muesste ich die rfc nochmal lesen
wenigstens spf hat sie
nerd-residenz.de. 600 IN TXT "v=spf1 mx -all"
-all meint strict
soweit ich erinnere, ohne gewaehr, muss default mind eins erfuellt sein SPF oder DKIM
hast du meine anderen Mails gelesen..., auf welchem Software Stand bist du denn bei opendmarc , opendkim, postfix, da hat sich ja einiges getan
ausserdem wenn ich deine Ursprungsmail nochmal lese faellt mir
Feb 21 13:28:26 s2 opendkim[3180]: 2B59234005: s=200801 d=de.postfix.org SSL error:04091068:rsa routines:INT_RSA_VERIFY:bad signature
auf. Ich wuerde also eher fast sagen da ging was schief
Best Regards MfG Robert Schetterer
Am 21.02.2015 um 16:27 schrieb Robert Schetterer:
hast du meine anderen Mails gelesen..., auf welchem Software Stand bist du denn bei opendmarc , opendkim, postfix, da hat sich ja einiges getan
Postfix ist die ganz normale stable Version aus Debian Wheezy, also 2.9.6-2. Daran möchte ich auch nichts ändern, weil Debian mich schön mit Sicherheitsupdates versorgt. ;-)
opendkim ist auch von Wheezy in der Version 2.6.8-4. Mit opendmarc 1.3.0 hatte ich mich damals ja lange beschäftigt und selber 2 Bugs rausgemacht. War mir danach ziemlich sicher dass es nun in meiner Umgebung sauber läuft, und möchte da ungern erneut meine Freizeit drin investieren. Immerhin läuft das jetzt seit 26. September ohne Probleme.
ausserdem wenn ich deine Ursprungsmail nochmal lese faellt mir Feb 21 13:28:26 s2 opendkim[3180]: 2B59234005: s=200801 d=de.postfix.org SSL error:04091068:rsa routines:INT_RSA_VERIFY:bad signature auf.
Hab grad mal durch mein Log gegrept, dieser SSL error beim Opendkim taucht häufiger auf. Dem muss ich mal nachgehen.
Am 21.02.2015 um 16:57 schrieb Joachim Fahrner:
Am 21.02.2015 um 16:27 schrieb Robert Schetterer:
hast du meine anderen Mails gelesen..., auf welchem Software Stand bist du denn bei opendmarc , opendkim, postfix, da hat sich ja einiges getan
Postfix ist die ganz normale stable Version aus Debian Wheezy, also 2.9.6-2. Daran möchte ich auch nichts ändern, weil Debian mich schön mit Sicherheitsupdates versorgt. ;-)
kann ich nicht empfehlen du solltest updaten, evtl aus Sid
http://www.postfix.org/announcements/postfix-2.11.3.html
Fix for configurations that prepend message headers with Postfix access maps, policy servers or Milter applications. Postfix now hides its own Received: header from Milters and exposes prepended headers to Milters, regardless of the mechanism used to prepend a header. This fix reverts a partial solution that was released on October 13, 2014, and replaces it with a complete solution.
diese milter fixes sollten dir besonders bei opendmarc das Leben erleichtern
opendkim ist auch von Wheezy in der Version 2.6.8-4. Mit opendmarc 1.3.0 hatte ich mich damals ja lange beschäftigt und selber 2 Bugs rausgemacht. War mir danach ziemlich sicher dass es nun in meiner Umgebung sauber läuft, und möchte da ungern erneut meine Freizeit drin investieren. Immerhin läuft das jetzt seit 26. September ohne Probleme.
...vergiss es du wirst immer Zeit investieren muessen
ausserdem wenn ich deine Ursprungsmail nochmal lese faellt mir Feb 21 13:28:26 s2 opendkim[3180]: 2B59234005: s=200801 d=de.postfix.org SSL error:04091068:rsa routines:INT_RSA_VERIFY:bad signature auf.
Hab grad mal durch mein Log gegrept, dieser SSL error beim Opendkim taucht häufiger auf. Dem muss ich mal nachgehen.
jo solltest du auf jeden Fall
Best Regards MfG Robert Schetterer
Am 21.02.2015 um 17:02 schrieb Robert Schetterer:
kann ich nicht empfehlen du solltest updaten, evtl aus Sid http://www.postfix.org/announcements/postfix-2.11.3.html Fix for configurations that prepend message headers with Postfix access maps, policy servers or Milter applications. Postfix now hides its own Received: header from Milters and exposes prepended headers to Milters, regardless of the mechanism used to prepend a header. This fix reverts a partial solution that was released on October 13, 2014, and replaces it with a complete solution. diese milter fixes sollten
Das war ja das mit Problem mit dem "verlorenen ersten Milter-Header", mit dem ich lange gekämpft hatte. Dafür habe ich ja einen funktionierenden Workaround gefunden, indem ich zu Beginn einen Dummy-Header einfüge. Wegen dem brauche ich jetzt nicht upgraden. ;-)
Hab grad mal durch mein Log gegrept, dieser SSL error beim Opendkim taucht häufiger auf. Dem muss ich mal nachgehen.
jo solltest du auf jeden Fall
Hab das grad mal gecheckt. Diese SSL-Error treten immer bei Listenmails auf. Offenbar ändert die Liste irgendwelche Header die Bestandteil der Signatur sind. Siehe auch: http://sourceforge.net/p/opendkim/bugs/210/
Am 21.02.2015 um 17:09 schrieb Joachim Fahrner:
Am 21.02.2015 um 17:02 schrieb Robert Schetterer:
kann ich nicht empfehlen du solltest updaten, evtl aus Sid http://www.postfix.org/announcements/postfix-2.11.3.html Fix for configurations that prepend message headers with Postfix access maps, policy servers or Milter applications. Postfix now hides its own Received: header from Milters and exposes prepended headers to Milters, regardless of the mechanism used to prepend a header. This fix reverts a partial solution that was released on October 13, 2014, and replaces it with a complete solution. diese milter fixes sollten
Das war ja das mit Problem mit dem "verlorenen ersten Milter-Header", mit dem ich lange gekämpft hatte. Dafür habe ich ja einen funktionierenden Workaround gefunden, indem ich zu Beginn einen Dummy-Header einfüge. Wegen dem brauche ich jetzt nicht upgraden. ;-)
Hab grad mal durch mein Log gegrept, dieser SSL error beim Opendkim taucht häufiger auf. Dem muss ich mal nachgehen.
jo solltest du auf jeden Fall
Hab das grad mal gecheckt. Diese SSL-Error treten immer bei Listenmails auf. Offenbar ändert die Liste irgendwelche Header die Bestandteil der Signatur sind. Siehe auch: http://sourceforge.net/p/opendkim/bugs/210/
ich glaube nicht das es da einen Zusammenhang gibt mit der postfix Liste
http://lists.dmarc.org/pipermail/dmarc-discuss/2014-October/003113.html https://sys4.de/de/blog/2014/10/13/yahoo-dmarc-dkim-probleme/
yahoo wollte das zurucknehmen, und in postfix sollte es einen fix dazu geben, das hab ich aber aus dem Auge verloren, auf jeden Fall noch ein Grund upzugraden ... *g
Best Regards MfG Robert Schetterer
Am 21.02.2015 um 17:41 schrieb Robert Schetterer:
yahoo wollte das zurucknehmen, und in postfix sollte es einen fix dazu geben, das hab ich aber aus dem Auge verloren, auf jeden Fall noch ein Grund upzugraden ... *g
Eher ein Grund das Zeug komplett zu deaktivieren. *g
* Joachim Fahrner jf@fahrner.name:
Am 21.02.2015 um 17:41 schrieb Robert Schetterer:
yahoo wollte das zurucknehmen, und in postfix sollte es einen fix dazu geben, das hab ich aber aus dem Auge verloren, auf jeden Fall noch ein Grund upzugraden ... *g
Eher ein Grund das Zeug komplett zu deaktivieren. *g
So handhabe ich es zur Zeit. Ich nutze DMARC nicht aktiv.
DMARC ist in einer IETF-WG in Überarbeitung. Die ersten, grundlegenden Schritte scheinen getan. Wenn die Arbeiten produktionsreife erlangen, sehe ich es mir wieder an.
Man _will_ senderseitige Policies. Sie schaffen rechtliche Sicherheit. Sie unterbinden z.B. Phishing. Sie müssen sich in bestehende E-Mail Methoden einpassen. Der letzte Teil fehlte im ersten Anlauf.
p@rick
Am 21.02.2015 um 18:35 schrieb Joachim Fahrner:
Am 21.02.2015 um 17:41 schrieb Robert Schetterer:
yahoo wollte das zurucknehmen, und in postfix sollte es einen fix dazu geben, das hab ich aber aus dem Auge verloren, auf jeden Fall noch ein Grund upzugraden ... *g
Eher ein Grund das Zeug komplett zu deaktivieren. *g
hm , ich habe es absichtlich in use , seit ein paar Monaten und noch keine Probleme damit , allerdings ist es ein low Traffic Server, schwierig da Aussagen zum machen, auf jeden Fall operiert Dmarc schon am Rande was technisch grade noch so geht und verkompliziert Mail doch erheblich, ich kann jeden verstehen der das zur Zeit noch nicht einsetzt.
Best Regards MfG Robert Schetterer
Am 21.02.2015 um 23:17 schrieb Robert Schetterer:
hm , ich habe es absichtlich in use , seit ein paar Monaten und noch keine Probleme damit , allerdings ist es ein low Traffic Server, schwierig da Aussagen zum machen, auf jeden Fall operiert Dmarc schon am Rande was technisch grade noch so geht und verkompliziert Mail doch erheblich, ich kann jeden verstehen der das zur Zeit noch nicht einsetzt.
Ich hab mir damals im September, als ich mit den Bugs im OpenDMARC gekämpft habe, ein kleines Python-Script zum auswerten des Maillogs gemacht, um zu sehen was alles warum abgewiesen wurde. Ich hab das Script mal angehängt, vielleicht findet es jemand nützlich (hoffentlich verträgt die Liste Anhänge).
Mit dem Script schaue ich mir regelmässig das Log an. Wegen DMARC wurde bisher noch keine Mail abgewiesen (ausser jetzt die false positives aus der Liste). Von daher kann man glaube ich gut drauf verzichten. :-D
Am 21.02.2015 um 16:27 schrieb Robert Schetterer:
Feb 21 13:28:26 s2 opendkim[3180]: 2B59234005: s=200801 d=de.postfix.org SSL error:04091068:rsa routines:INT_RSA_VERIFY:bad signature
auf. Ich wuerde also eher fast sagen da ging was schief
es koennte auch ein mehrfaches bzw kombiniertes Problem/Bug sein, die header werden aber auch echt schwierig zu lesen .....mit den ganzen checks, die Liste sollte auf jeden Fall mal einen SPF und eine dmarc policy bekommen, eine pot. Fehlerquelle weniger, am Ende wuerde ich aber in diesem Fall sagen das opendmarc works as desigend und das Problem liegt "davor"
Best Regards MfG Robert Schetterer
Hi,
da ist tatsächlich was bei mir im argen.
Ich frage mich nur gerade was :-(
rm
Moin,
ich bin der Meinung bei mir passt alles nach nochmaliger Überprüfung.
postfix hat hier die 2.11.0 und opendkim die v2.9.1
rm
hm, trotzdem sind meine Mails über die Liste kaputt.
Jemand ne Idee was hier schief läuft?
rm
Am 23.02.2015 um 19:22 schrieb Ralph J.Mayer:
hm, trotzdem sind meine Mails über die Liste kaputt.
Jemand ne Idee was hier schief läuft?
rm
dkim=fail (1024-bit key) reason="fail (message has been altered)" header.d=nerd-residenz.de header.b=HJBnhUWI
Best Regards MfG Robert Schetterer
Am 23.02.2015 um 19:39 schrieb Robert Schetterer:
Am 23.02.2015 um 19:22 schrieb Ralph J.Mayer:
hm, trotzdem sind meine Mails über die Liste kaputt.
Jemand ne Idee was hier schief läuft?
rm
dkim=fail (1024-bit key) reason="fail (message has been altered)" header.d=nerd-residenz.de header.b=HJBnhUWI
Best Regards MfG Robert Schetterer
ist aber bei meiner private Mail Adresse auch so
Authentication-Results: mail.sys4.de (amavisd-new); dkim=pass (1024-bit key) header.d=de.postfix.org header.b=IhaueEQt; dkim=fail (1024-bit key) reason="fail (message has been altered)" header.d=schetterer.org header.b=YTpIzNXg
muss ich erst drueber nachgruebeln, an sich macht die Liste erstmal nichts verkehrt.....
Best Regards MfG Robert Schetterer
Am 23.02.2015 um 19:46 schrieb Robert Schetterer:
ist aber bei meiner private Mail Adresse auch so
Authentication-Results: mail.sys4.de (amavisd-new); dkim=pass (1024-bit key) header.d=de.postfix.org header.b=IhaueEQt; dkim=fail (1024-bit key) reason="fail (message has been altered)" header.d=schetterer.org header.b=YTpIzNXg
muss ich erst drueber nachgruebeln, an sich macht die Liste erstmal nichts verkehrt.....
Habt ihr nach dem DKIM-Milter noch was laufen was die Header verändert?
* Jochen Fahrner jf@fahrner.name:
Am 23.02.2015 um 19:46 schrieb Robert Schetterer:
ist aber bei meiner private Mail Adresse auch so
Authentication-Results: mail.sys4.de (amavisd-new); dkim=pass (1024-bit key) header.d=de.postfix.org header.b=IhaueEQt; dkim=fail (1024-bit key) reason="fail (message has been altered)" header.d=schetterer.org header.b=YTpIzNXg
muss ich erst drueber nachgruebeln, an sich macht die Liste erstmal nichts verkehrt.....
Habt ihr nach dem DKIM-Milter noch was laufen was die Header verändert?
Im Moment haben wir fies hohen Krankenstand. Sobald die Lage sich entspannt hat, gehen wir dem nach.
p@rick
Am 24.02.2015 um 08:36 schrieb Patrick Ben Koetter:
- Jochen Fahrner jf@fahrner.name:
Habt ihr nach dem DKIM-Milter noch was laufen was die Header verändert?
Im Moment haben wir fies hohen Krankenstand. Sobald die Lage sich entspannt hat, gehen wir dem nach.
Die Mails von sys4 passen, da braucht ihr nicht suchen. Nur mit den Mails von Robert (privat) und Ralph stimmt was nicht.
Am 24.02.2015 um 08:44 schrieb Jochen Fahrner:
Am 24.02.2015 um 08:36 schrieb Patrick Ben Koetter:
- Jochen Fahrner jf@fahrner.name:
Habt ihr nach dem DKIM-Milter noch was laufen was die Header verändert?
Im Moment haben wir fies hohen Krankenstand. Sobald die Lage sich entspannt hat, gehen wir dem nach.
Die Mails von sys4 passen, da braucht ihr nicht suchen. Nur mit den Mails von Robert (privat) und Ralph stimmt was nicht.
Also an meinem Dkim Schluessel liegt es nicht, ich glaube der ML bzw eine angeschlossene Software macht was "falsch", Patrick wird das checken wenn es zeitlich passt.
Best Regards MfG Robert Schetterer
Am 24.02.2015 um 19:32 schrieb Robert Schetterer:
Also an meinem Dkim Schluessel liegt es nicht, ich glaube der ML bzw eine angeschlossene Software macht was "falsch", Patrick wird das checken wenn es zeitlich passt.
Aber wieso stimmen dann die Mails von sys4 und von mir?
Schick mir doch mal direkt was von deiner Privatadresse.
Am 24.02.2015 um 20:02 schrieb Joachim Fahrner:
Am 24.02.2015 um 19:32 schrieb Robert Schetterer:
Also an meinem Dkim Schluessel liegt es nicht, ich glaube der ML bzw eine angeschlossene Software macht was "falsch", Patrick wird das checken wenn es zeitlich passt.
Aber wieso stimmen dann die Mails von sys4 und von mir?
Schick mir doch mal direkt was von deiner Privatadresse.
done
Best Regards MfG Robert Schetterer
Am 21.02.2015 um 08:43 schrieb Joachim Fahrner:
Hallo,
bei Mailinglisten wird das DMARC wirklich zum Problem. Habe mich jetzt auf einer Liste angemeldet die nicht DMARC-konform ist und prompt werden da Mails abgewiesen. Kriegt man das irgendwie in den Griff, ohne DMARC komplett zu deaktivieren?
nur wenn du eine Art whitelisting vorschaltest wuerde ich aber nicht tun, oeffentliche Listen sollten sich schlichtweg DMARC konform verhalten
Feb 20 06:28:35 s2 postfix/postscreen[20427]: CONNECT from [8.8.178.116]:46715 to [78.46.184.248]:25 Feb 20 06:28:35 s2 postfix/postscreen[20427]: PASS OLD [8.8.178.116]:46715 Feb 20 06:28:36 s2 postfix/smtpd[20429]: connect from mx2.freebsd.org[8.8.178.116] Feb 20 06:28:37 s2 postfix/smtpd[20429]: Anonymous TLS connection established from mx2.freebsd.org[8.8.178.116]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Feb 20 06:28:39 s2 policyd-spf[20438]: None; identity=helo; client-ip=8.8.178.116; helo=mx2.freebsd.org; envelope-from=owner-freebsd-current@freebsd.org; receiver=jf@fahrner.name Feb 20 06:28:39 s2 policyd-spf[20438]: Pass; identity=mailfrom; client-ip=8.8.178.116; helo=mx2.freebsd.org; envelope-from=owner-freebsd-current@freebsd.org; receiver=jf@fahrner.name Feb 20 06:28:39 s2 postfix/smtpd[20429]: 7224534141: client=mx2.freebsd.org[8.8.178.116] Feb 20 06:28:39 s2 postfix/cleanup[20440]: 7224534141: message-id=464530409.2420401.1424409908005.JavaMail.yahoo@mail.yahoo.com Feb 20 06:28:39 s2 opendkim[3180]: 7224534141: mx2.freebsd.org [8.8.178.116] not internal Feb 20 06:28:39 s2 opendkim[3180]: 7224534141: not authenticated Feb 20 06:28:40 s2 opendkim[3180]: 7224534141: bad signature data Feb 20 06:28:40 s2 opendmarc[3192]: 7224534141: authres: s2.fahrner.name;#012#011dkim=fail reason="no signature error" (2048-bit key; insecure) header.d=yahoo.com header.i=@yahoo.com header.b=Bk3hfdot;#012#011dkim-adsp=unknown (insecure policy); dkim-atps=neutral Feb 20 06:28:40 s2 opendmarc[3192]: 7224534141: recvspf: Pass (sender SPF authorized) identity=mailfrom; client-ip=8.8.178.116; helo=mx2.freebsd.org; envelope-from=owner-freebsd-current@freebsd.org; receiver=jf@fahrner.name Feb 20 06:28:40 s2 postfix/pickup[19499]: A037634145: uid=118 from=<opendmarc> Feb 20 06:28:40 s2 postfix/cleanup[20444]: A037634145: message-id=20150220052840.A037634145@s2.fahrner.name Feb 20 06:28:40 s2 opendmarc[3192]: 7224534141: yahoo.com fail Feb 20 06:28:40 s2 opendkim[3180]: A037634145: DKIM-Signature header added (s=mail, d=fahrner.name) Feb 20 06:28:40 s2 postfix/cleanup[20440]: 7224534141: milter-reject: END-OF-MESSAGE from mx2.freebsd.org[8.8.178.116]: 5.7.1 rejected by DMARC policy for yahoo.com; from=owner-freebsd-current@freebsd.org to=jf@fahrner.name proto=ESMTP helo=<mx2.freebsd.org>
Best Regards MfG Robert Schetterer
Am 21.02.2015 um 09:06 schrieb Robert Schetterer:
Am 21.02.2015 um 08:43 schrieb Joachim Fahrner:
Hallo,
bei Mailinglisten wird das DMARC wirklich zum Problem. Habe mich jetzt auf einer Liste angemeldet die nicht DMARC-konform ist und prompt werden da Mails abgewiesen. Kriegt man das irgendwie in den Griff, ohne DMARC komplett zu deaktivieren?
nur wenn du eine Art whitelisting vorschaltest wuerde ich aber nicht tun, oeffentliche Listen sollten sich schlichtweg DMARC konform verhalten
das hier koennte helfen
http://manpages.ubuntu.com/manpages/saucy/man5/opendmarc.conf.5.html
IgnoreHosts (string) Specifies the path to a file that contains a list of hostnames, IP addresses, and/or CIDR expressions identifying hosts whose SMTP connections are to be ignored by the filter. If not specified, defaults to "127.0.0.1" only.
IgnoreMailFrom (string) Gives a list of domain names whose mail (based on the From: domain) is to be ignored by the filter. The list should be comma-separated. Matching against this list is case- insensitive. The default is an empty list, meaning no mail is ignored.
Feb 20 06:28:35 s2 postfix/postscreen[20427]: CONNECT from [8.8.178.116]:46715 to [78.46.184.248]:25 Feb 20 06:28:35 s2 postfix/postscreen[20427]: PASS OLD [8.8.178.116]:46715 Feb 20 06:28:36 s2 postfix/smtpd[20429]: connect from mx2.freebsd.org[8.8.178.116] Feb 20 06:28:37 s2 postfix/smtpd[20429]: Anonymous TLS connection established from mx2.freebsd.org[8.8.178.116]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) Feb 20 06:28:39 s2 policyd-spf[20438]: None; identity=helo; client-ip=8.8.178.116; helo=mx2.freebsd.org; envelope-from=owner-freebsd-current@freebsd.org; receiver=jf@fahrner.name Feb 20 06:28:39 s2 policyd-spf[20438]: Pass; identity=mailfrom; client-ip=8.8.178.116; helo=mx2.freebsd.org; envelope-from=owner-freebsd-current@freebsd.org; receiver=jf@fahrner.name Feb 20 06:28:39 s2 postfix/smtpd[20429]: 7224534141: client=mx2.freebsd.org[8.8.178.116] Feb 20 06:28:39 s2 postfix/cleanup[20440]: 7224534141: message-id=464530409.2420401.1424409908005.JavaMail.yahoo@mail.yahoo.com Feb 20 06:28:39 s2 opendkim[3180]: 7224534141: mx2.freebsd.org [8.8.178.116] not internal Feb 20 06:28:39 s2 opendkim[3180]: 7224534141: not authenticated Feb 20 06:28:40 s2 opendkim[3180]: 7224534141: bad signature data Feb 20 06:28:40 s2 opendmarc[3192]: 7224534141: authres: s2.fahrner.name;#012#011dkim=fail reason="no signature error" (2048-bit key; insecure) header.d=yahoo.com header.i=@yahoo.com header.b=Bk3hfdot;#012#011dkim-adsp=unknown (insecure policy); dkim-atps=neutral Feb 20 06:28:40 s2 opendmarc[3192]: 7224534141: recvspf: Pass (sender SPF authorized) identity=mailfrom; client-ip=8.8.178.116; helo=mx2.freebsd.org; envelope-from=owner-freebsd-current@freebsd.org; receiver=jf@fahrner.name Feb 20 06:28:40 s2 postfix/pickup[19499]: A037634145: uid=118 from=<opendmarc> Feb 20 06:28:40 s2 postfix/cleanup[20444]: A037634145: message-id=20150220052840.A037634145@s2.fahrner.name Feb 20 06:28:40 s2 opendmarc[3192]: 7224534141: yahoo.com fail Feb 20 06:28:40 s2 opendkim[3180]: A037634145: DKIM-Signature header added (s=mail, d=fahrner.name) Feb 20 06:28:40 s2 postfix/cleanup[20440]: 7224534141: milter-reject: END-OF-MESSAGE from mx2.freebsd.org[8.8.178.116]: 5.7.1 rejected by DMARC policy for yahoo.com; from=owner-freebsd-current@freebsd.org to=jf@fahrner.name proto=ESMTP helo=<mx2.freebsd.org>
Best Regards MfG Robert Schetterer
Best Regards MfG Robert Schetterer
Am 21.02.2015 um 09:26 schrieb Robert Schetterer:
Am 21.02.2015 um 09:06 schrieb Robert Schetterer:
das hier koennte helfen http://manpages.ubuntu.com/manpages/saucy/man5/opendmarc.conf.5.html IgnoreHosts (string)
Guter Hinweis. Das sollte helfen. Danke!
Die Datei gab's bei mir sogar schon, und es war auch schon was drin: bugs.launchpad.net. Man wird alt und vergesslich. ;-)
participants (6)
-
Joachim Fahrner -
Jochen Fahrner
-
Patrick Ben Koetter -
Ralph J.Mayer -
Robert Schetterer -
Robert Schetterer