OpenDMARC IgnoreAuthenticatedClients
Hallo,
noch ein Problem mit OpenDMARC: sobald ich die Policy für meine Domain auf p=reject ändere, kann ich keine Mails mehr versenden. Eigentlich sollte dafür die Option IgnoreAuthenticatedClients zuständig sein, aber es sieht so aus als wenn Postfix die Info "SASL authenticated" nicht an die milter durchreicht.
Ein Workaround ist hier von A. Schulze beschrieben: http://postfix.1071664.n5.nabble.com/Permit-SASL-authenticated-users-to-bypa...
Ist das Problem bekannt?
Am 17.09.2014 um 22:23 schrieb Joachim Fahrner:
Hallo,
noch ein Problem mit OpenDMARC: sobald ich die Policy für meine Domain auf p=reject ändere, kann ich keine Mails mehr versenden. Eigentlich sollte dafür die Option IgnoreAuthenticatedClients zuständig sein, aber es sieht so aus als wenn Postfix die Info "SASL authenticated" nicht an die milter durchreicht.
Ein Workaround ist hier von A. Schulze beschrieben: http://postfix.1071664.n5.nabble.com/Permit-SASL-authenticated-users-to-bypa...
Ist das Problem bekannt?
Nun wenn es schon auf der Liste steht dann ist es bekannt, der beschriebene Workaround ist eh eine "saubere" config, allerdings funktioniert das ja nur mit submission und/oder smtps ( wenn ich das auf die schnelle richtig interpretiert habe ) d.h wenn man via sasl auth ueber port 25 einliefern will geht der workaround nicht , und an sich sollte IgnoreAuthenticatedClients true so oder so funktionieren kann man im code dazu irgendwas sehen wie der milter das anstellt das er das auth erkennt, und an sich muesste er ja "durchlassen" auch ohne auth wenn deine policy stimmt, allerdings nutzt dann spf nichts, es muesste also schon der DKIM vorhanden sein bevor er den DMARC check macht, sollte eigentlich bei auth vorher auch alles keine Rolle spielen so waere zumindest meine Erwartungshaltung http://dokuwiki.nausch.org/doku.php/centos:mail_c6:mta_13 hm ...hier ist der DKIM Milter zuerst drann, die beschriebene DMARC Version dort scheint IgnoreAuthenticatedClients noch gar nicht gekonnt zu haben
teste mal den DKIM Milter zuerst signen zu lassen
Best Regards MfG Robert Schetterer
Am 17.09.2014 22:55, schrieb Robert Schetterer:
teste mal den DKIM Milter zuerst signen zu lassen
Also das nützt nix. Ich hab mir mal angesehen wie diese libmilter funktioniert. Jeder Milter installiert callbacks für die verschiedenen Protokoll-Stages in die er eingreifen möchte. Das heisst die laufen im Prinzip alle parallel, und Header die ein Milter einfügt bekommen die anderen offenbar nicht mit.
IgnoreAuthenticatedClients true so oder so funktionieren kann man im code dazu irgendwas sehen wie der milter das anstellt das er das auth erkennt,
Im Stage "Mail From" liest er ein Makro "auth_authen". Wenn es das gibt lässt er die Mail ohne weitere Prüfungen durch.
postconf -d sagt mir dass das Makro übergeben wird:
postconf -d|grep milter|grep macros milter_connect_macros = j {daemon_name} v milter_data_macros = i milter_end_of_data_macros = i milter_end_of_header_macros = i milter_helo_macros = {tls_version} {cipher} {cipher_bits} {cert_subject} {cert_issuer} milter_mail_macros = i {auth_type} {auth_authen} {auth_author} {mail_addr} {mail_host} {mail_mailer} milter_rcpt_macros = i {rcpt_addr} {rcpt_host} {rcpt_mailer} milter_unknown_command_macros =
Hab dann im opendmarc ein paar Statements eingebaut, damit ich den Inhalt dieser Makros sehe. Da kommt aber nix im opendmarc an.
Sep 18 08:31:03 s2 opendmarc[13894]: auth_authen=NULL Sep 18 08:31:03 s2 opendmarc[13894]: auth_author=NULL Sep 18 08:31:03 s2 opendmarc[13894]: auth_type=NULL
Somit kann das IgnoreAuthenticatedClients ja nicht funktionieren. Stellt sich die Frage, wieso kommt das nicht im Milter an?
Am 18.09.2014 um 08:47 schrieb Jochen Fahrner:
Am 17.09.2014 22:55, schrieb Robert Schetterer:
teste mal den DKIM Milter zuerst signen zu lassen
Also das nützt nix. Ich hab mir mal angesehen wie diese libmilter funktioniert. Jeder Milter installiert callbacks für die verschiedenen Protokoll-Stages in die er eingreifen möchte. Das heisst die laufen im Prinzip alle parallel, und Header die ein Milter einfügt bekommen die anderen offenbar nicht mit.
IgnoreAuthenticatedClients true so oder so funktionieren kann man im code dazu irgendwas sehen wie der milter das anstellt das er das auth erkennt,
Im Stage "Mail From" liest er ein Makro "auth_authen". Wenn es das gibt lässt er die Mail ohne weitere Prüfungen durch.
postconf -d sagt mir dass das Makro übergeben wird:
postconf -d|grep milter|grep macros milter_connect_macros = j {daemon_name} v milter_data_macros = i milter_end_of_data_macros = i milter_end_of_header_macros = i milter_helo_macros = {tls_version} {cipher} {cipher_bits} {cert_subject} {cert_issuer} milter_mail_macros = i {auth_type} {auth_authen} {auth_author} {mail_addr} {mail_host} {mail_mailer} milter_rcpt_macros = i {rcpt_addr} {rcpt_host} {rcpt_mailer} milter_unknown_command_macros =
Hab dann im opendmarc ein paar Statements eingebaut, damit ich den Inhalt dieser Makros sehe. Da kommt aber nix im opendmarc an.
Sep 18 08:31:03 s2 opendmarc[13894]: auth_authen=NULL Sep 18 08:31:03 s2 opendmarc[13894]: auth_author=NULL Sep 18 08:31:03 s2 opendmarc[13894]: auth_type=NULL
Somit kann das IgnoreAuthenticatedClients ja nicht funktionieren. Stellt sich die Frage, wieso kommt das nicht im Milter an?
check mal
http://www.postfix.org/MILTER_README.html
{auth_authen} MAIL, DATA, EOH, EOM SASL login name {auth_author} MAIL, DATA, EOH, EOM SASL sender {auth_type} MAIL, DATA, EOH, EOM SASL login method
milter_end_of_header_macros 6 or higher EOH
bzw setze mal testweise
milter_protocol = 6 ( wenn nicht schon geschehen )
steht hier auch so
http://blog.dobrev.eu/blog/2014/06/29/dmarc-or-how-social-networks-are-figth...
# Pass SMTP messages through smf-spf, OpenDKIM and finally OpenDMARC milter_default_action = accept milter_protocol = 6 smtpd_milters = inet:localhost:20002,inet:localhost:20003,inet:localhost:20004 non_smtpd_milters = inet:localhost:20002,inet:localhost:20003,inet:localhost:20004
ansonsten waer ich da ueberfragt, aber wietse auf der engl. Liste sollte das aufklaeren koennen bzw eigentlich sollte es dazu irgendwo Doku geben ... ich hab zwar auch macros in meinem Setup definiert die duerften nicht per se einfach so zu uebertragen sein, bzw man moechte eigentlich ja schon wissen was und warum man sowas tut
Best Regards MfG Robert Schetterer
Am 18.09.2014 09:35, schrieb Robert Schetterer:
Das mit dem IgnoreAuthenticatedClients wäre geklärt: wieder ein Bug im OpenDMARC. Für den smfi_getsymval() müssen die Makros in geschweifte Klammern geschrieben werden, die fehlten. Nun geht das.
Jetzt ist nur noch das Problem offen, warum meine eigenen Mails an die Liste beim eintreffen aus der Liste rejected werden. Ist bei der opendmarc-Liste das gleiche:
This is an authentication failure report for an email message received from IP 208.69.40.157 on Thu, 18 Sep 2014 10:55:42 +0200 (CEST).
Feedback-Type: auth-failure Version: 1 User-Agent: OpenDMARC-Filter/1.3.0 Auth-Failure: dmarc Authentication-Results: s2.fahrner.name; dmarc=fail header.from=fahrner.name Original-Envelope-Id: D48833418E Original-Mail-From: opendmarc-users-bounces@trusteddomain.org Source-IP: 208.69.40.157 Reported-Domain: fahrner.name
Received: from medusa.blackops.org (medusa.blackops.org [208.69.40.157]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by s2.fahrner.name (Postfix) with ESMTPS id D48833418E for jf@fahrner.name; Thu, 18 Sep 2014 10:55:40 +0200 (CEST) Received: from medusa.blackops.org (mailman@localhost.blackops.org [127.0.0.1]) by medusa.blackops.org (8.14.5/8.14.5) with ESMTP id s8I8s1cj066028; Thu, 18 Sep 2014 01:55:07 -0700 (PDT) (envelope-from opendmarc-users-bounces@trusteddomain.org) DKIM-Filter: OpenDKIM Filter v2.9.2 medusa.blackops.org s8I8s1cj066028 Authentication-Results: medusa.blackops.org; dkim=fail reason="no signature error" (1024-bit key; unprotected) header.d=fahrner.name header.i=@fahrner.name header.b=iYTlMh7Q; dkim-adsp=none (unprotected policy); dkim-atps=neutral X-SenderID: Sendmail Sender-ID Filter v1.0.0 medusa.blackops.org s8I8s1cj066028 Authentication-Results: medusa.blackops.org; sender-id=fail (NotPermitted) header.sender=opendmarc-users-bounces@trusteddomain.org; spf=fail (NotPermitted) smtp.mfrom=opendmarc-users-bounces@trusteddomain.org Received: from s2.fahrner.name (s2.fahrner.name [78.46.184.248]) by medusa.blackops.org (8.14.5/8.14.5) with ESMTP id s8I8rtje066023 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO) for opendmarc-users@trusteddomain.org; Thu, 18 Sep 2014 01:53:57 -0700 (PDT) (envelope-from jf@fahrner.name) DKIM-Filter: OpenDKIM Filter v2.9.2 medusa.blackops.org s8I8rtje066023 X-SenderID: Sendmail Sender-ID Filter v1.0.0 medusa.blackops.org s8I8rtje066023 Authentication-Results: medusa.blackops.org; sender-id=pass header.from=jf@fahrner.name; spf=pass smtp.mfrom=jf@fahrner.name Received: from [0.0.0.0] (ks3318883.kimsufi.com [5.135.167.82]) (using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by s2.fahrner.name (Postfix) with ESMTPSA id 7ED503418E for opendmarc-users@trusteddomain.org; Thu, 18 Sep 2014 10:53:54 +0200 (CEST) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=fahrner.name; s=mail; t=1411030435; bh=8X3FGyPdPk9Eb2imwPuiUOhJ+zKsOPSKVPeCBfhPBz4=; h=Date:From:To:Subject:References:In-Reply-To:From; b=iYTlMh7QfRRKTxSUnIgLvOqQNKHQvpArQuF5vPx4CHOs0SRJee4sFGYkZhiy9w73c POrnDMnnfaUtWFUnPpFtMnvoBYdDJLk1NJYtyVOSWeiUq7zD2WZPmV8q2Oj9DyXmuG tuPjIQFrvFzxYRqVdD3mBG9cd7GqZmotw3QQ63jw= Message-ID: 541A9D9C.7060207@fahrner.name Date: Thu, 18 Sep 2014 10:53:48 +0200 From: Jochen Fahrner jf@fahrner.name User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20130509 Thunderbird/17.0.6 MIME-Version: 1.0 To: opendmarc-users@trusteddomain.org References: 541A94CD.7080303@fahrner.name In-Reply-To: 541A94CD.7080303@fahrner.name X-Enigmail-Version: 1.6 X-Spam-Status: No, score=-2.5 required=5.0 tests=RP_MATCHES_RCVD autolearn=unavailable version=3.3.1 X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on medusa.blackops.org Subject: Re: [opendmarc-users] Postfix milter macros X-BeenThere: opendmarc-users@trusteddomain.org X-Mailman-Version: 2.1.14 Precedence: list List-Id: OpenDMARC discussion <opendmarc-users.trusteddomain.org> List-Unsubscribe: http://www.trusteddomain.org/mailman/options/opendmarc-users, mailto:opendmarc-users-request@trusteddomain.org?subject=unsubscribe List-Archive: http://www.trusteddomain.org/pipermail/opendmarc-users List-Post: mailto:opendmarc-users@trusteddomain.org List-Help: mailto:opendmarc-users-request@trusteddomain.org?subject=help List-Subscribe: http://www.trusteddomain.org/mailman/listinfo/opendmarc-users, mailto:opendmarc-users-request@trusteddomain.org?subject=subscribe Content-Type: multipart/mixed; boundary="===============2513832796962490823==" Errors-To: opendmarc-users-bounces@trusteddomain.org Sender: opendmarc-users-bounces@trusteddomain.org
Am 18.09.2014 um 11:03 schrieb Jochen Fahrner:
Am 18.09.2014 09:35, schrieb Robert Schetterer:
Das mit dem IgnoreAuthenticatedClients wäre geklärt: wieder ein Bug im OpenDMARC. Für den smfi_getsymval() müssen die Makros in geschweifte Klammern geschrieben werden, die fehlten. Nun geht das.
Jetzt ist nur noch das Problem offen, warum meine eigenen Mails an die Liste beim eintreffen aus der Liste rejected werden. Ist bei der opendmarc-Liste das gleiche:
evtl das hier
http://lists.opendkim.org/archive/opendkim/users/2014/07/3219.html http://lists.opendkim.org/archive/opendkim/users/2014/07/3220.html
This is an authentication failure report for an email message received from IP 208.69.40.157 on Thu, 18 Sep 2014 10:55:42 +0200 (CEST).
Feedback-Type: auth-failure Version: 1 User-Agent: OpenDMARC-Filter/1.3.0 Auth-Failure: dmarc Authentication-Results: s2.fahrner.name; dmarc=fail header.from=fahrner.name Original-Envelope-Id: D48833418E Original-Mail-From: opendmarc-users-bounces@trusteddomain.org Source-IP: 208.69.40.157 Reported-Domain: fahrner.name
Received: from medusa.blackops.org (medusa.blackops.org [208.69.40.157]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by s2.fahrner.name (Postfix) with ESMTPS id D48833418E for jf@fahrner.name; Thu, 18 Sep 2014 10:55:40 +0200 (CEST) Received: from medusa.blackops.org (mailman@localhost.blackops.org [127.0.0.1]) by medusa.blackops.org (8.14.5/8.14.5) with ESMTP id s8I8s1cj066028; Thu, 18 Sep 2014 01:55:07 -0700 (PDT) (envelope-from opendmarc-users-bounces@trusteddomain.org) DKIM-Filter: OpenDKIM Filter v2.9.2 medusa.blackops.org s8I8s1cj066028 Authentication-Results: medusa.blackops.org; dkim=fail reason="no signature error" (1024-bit key; unprotected) header.d=fahrner.name header.i=@fahrner.name header.b=iYTlMh7Q; dkim-adsp=none (unprotected policy); dkim-atps=neutral X-SenderID: Sendmail Sender-ID Filter v1.0.0 medusa.blackops.org s8I8s1cj066028 Authentication-Results: medusa.blackops.org; sender-id=fail (NotPermitted) header.sender=opendmarc-users-bounces@trusteddomain.org; spf=fail (NotPermitted) smtp.mfrom=opendmarc-users-bounces@trusteddomain.org Received: from s2.fahrner.name (s2.fahrner.name [78.46.184.248]) by medusa.blackops.org (8.14.5/8.14.5) with ESMTP id s8I8rtje066023 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO) for opendmarc-users@trusteddomain.org; Thu, 18 Sep 2014 01:53:57 -0700 (PDT) (envelope-from jf@fahrner.name) DKIM-Filter: OpenDKIM Filter v2.9.2 medusa.blackops.org s8I8rtje066023 X-SenderID: Sendmail Sender-ID Filter v1.0.0 medusa.blackops.org s8I8rtje066023 Authentication-Results: medusa.blackops.org; sender-id=pass header.from=jf@fahrner.name; spf=pass smtp.mfrom=jf@fahrner.name Received: from [0.0.0.0] (ks3318883.kimsufi.com [5.135.167.82]) (using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by s2.fahrner.name (Postfix) with ESMTPSA id 7ED503418E for opendmarc-users@trusteddomain.org; Thu, 18 Sep 2014 10:53:54 +0200 (CEST) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=fahrner.name; s=mail; t=1411030435; bh=8X3FGyPdPk9Eb2imwPuiUOhJ+zKsOPSKVPeCBfhPBz4=; h=Date:From:To:Subject:References:In-Reply-To:From; b=iYTlMh7QfRRKTxSUnIgLvOqQNKHQvpArQuF5vPx4CHOs0SRJee4sFGYkZhiy9w73c POrnDMnnfaUtWFUnPpFtMnvoBYdDJLk1NJYtyVOSWeiUq7zD2WZPmV8q2Oj9DyXmuG tuPjIQFrvFzxYRqVdD3mBG9cd7GqZmotw3QQ63jw= Message-ID: 541A9D9C.7060207@fahrner.name Date: Thu, 18 Sep 2014 10:53:48 +0200 From: Jochen Fahrner jf@fahrner.name User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20130509 Thunderbird/17.0.6 MIME-Version: 1.0 To: opendmarc-users@trusteddomain.org References: 541A94CD.7080303@fahrner.name In-Reply-To: 541A94CD.7080303@fahrner.name X-Enigmail-Version: 1.6 X-Spam-Status: No, score=-2.5 required=5.0 tests=RP_MATCHES_RCVD autolearn=unavailable version=3.3.1 X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on medusa.blackops.org Subject: Re: [opendmarc-users] Postfix milter macros X-BeenThere: opendmarc-users@trusteddomain.org X-Mailman-Version: 2.1.14 Precedence: list List-Id: OpenDMARC discussion <opendmarc-users.trusteddomain.org> List-Unsubscribe: http://www.trusteddomain.org/mailman/options/opendmarc-users, mailto:opendmarc-users-request@trusteddomain.org?subject=unsubscribe List-Archive: http://www.trusteddomain.org/pipermail/opendmarc-users List-Post: mailto:opendmarc-users@trusteddomain.org List-Help: mailto:opendmarc-users-request@trusteddomain.org?subject=help List-Subscribe: http://www.trusteddomain.org/mailman/listinfo/opendmarc-users, mailto:opendmarc-users-request@trusteddomain.org?subject=subscribe Content-Type: multipart/mixed; boundary="===============2513832796962490823==" Errors-To: opendmarc-users-bounces@trusteddomain.org Sender: opendmarc-users-bounces@trusteddomain.org
Best Regards MfG Robert Schetterer
Am 18.09.2014 11:29, schrieb Robert Schetterer:
evtl das hier
http://lists.opendkim.org/archive/opendkim/users/2014/07/3219.html http://lists.opendkim.org/archive/opendkim/users/2014/07/3220.html
Ich hab vorhin nicht aufgepasst was das für eine Mail war. HTML-Mails werden ja auch vom Listserver umgeschrieben. Vielleicht war's das? Werden wir gleich sehen, die ist jetzt ASCII.
Das macht mich jetzt schon wieder stutzig:
Sep 18 12:44:35 s2 postfix/smtpd[19045]: C183E3418E: client=postfix.charite.de[141.42.206.35] Sep 18 12:44:35 s2 postfix/cleanup[19030]: C183E3418E: message-id=541AB77B.8000904@fahrner.name Sep 18 12:44:35 s2 opendmarc[18751]: C183E3418E: fahrner.name fail Sep 18 12:44:35 s2 opendkim[2967]: C183E3418E: postfix.charite.de [141.42.206.35] not internal Sep 18 12:44:35 s2 opendkim[2967]: C183E3418E: not authenticated Sep 18 12:44:35 s2 opendkim[2967]: C183E3418E: message has signatures from de.postfix.org, fahrner.name Sep 18 12:44:35 s2 opendkim[2967]: C183E3418E: DKIM verification successful
opendmarc sagt fail, opendkim sagt successful.
Hat das OpenDMARC etwa noch mehr Bugs?
Robert, wie sah die Message bei dir aus? DKIM Signatur ok oder nicht?
Am 18.09.2014 11:03, schrieb Jochen Fahrner:
Das mit dem IgnoreAuthenticatedClients wäre geklärt: wieder ein Bug im OpenDMARC. Für den smfi_getsymval() müssen die Makros in geschweifte Klammern geschrieben werden, die fehlten. Nun geht das.
Ich hab mal ein Ticket dafür aufgemacht: https://sourceforge.net/p/opendmarc/tickets/103/
participants (3)
-
Joachim Fahrner -
Jochen Fahrner
-
Robert Schetterer