[postfix-users] OpenDMARC weist mir ständig Mails ab
Hallo,
das OpenDMARC weist mir ständig Mails ab. Soeben eine Mail von DHL:
This is an authentication failure report for an email message received from IP 149.239.170.7 on Tue, 16 Sep 2014 09:51:28 +0200 (CEST).
Feedback-Type: auth-failure Version: 1 User-Agent: OpenDMARC-Filter/1.3.0 Auth-Failure: dmarc Authentication-Results: s2.fahrner.name; dmarc=fail header.from=dhl.com Original-Envelope-Id: 4FE46341F9 Original-Mail-From: noreplyKSDHLPaket@dhl.com Source-IP: 149.239.170.7 Reported-Domain: dhl.com
Received: from ppd07007.deutschepost.de (ppd07007.deutschepost.de [149.239.170.7]) by s2.fahrner.name (Postfix) with ESMTP id 4FE46341F9 for jf@fahrner.name; Tue, 16 Sep 2014 09:51:26 +0200 (CEST) X-IronPort-AV: E=Sophos;i="5.04,531,1406584800"; d="scan'208";a="29366348" Received: from unknown (HELO af7lk085.deutschepost.dpwn.com) ([160.58.125.68]) by ppd07007.deutschepost.de with ESMTP; 16 Sep 2014 09:51:18 +0200 Received: from af7lk060 (unknown [160.58.125.1]) by af7lk085.deutschepost.dpwn.com (Postfix) with ESMTP id 7AFD720C63E; Tue, 16 Sep 2014 09:51:18 +0200 (CEST) Date: Tue, 16 Sep 2014 09:51:18 +0200 (CEST) From: "noreplyKSDHLPaket@dhl.com" noreplyKSDHLPaket@dhl.com To: "sendungsstatusnolp@deutschepost.de" sendungsstatusnolp@deutschepost.de, "jf@fahrner.name" jf@fahrner.name Message-ID: 731602045.54671410853878467.JavaMail.daycq@af7lk060 Subject: DHL Kontaktformular Sendungsstatus National (Identcode: 209629049994 / PLZ: 35075) MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_Part_5333_188892273.1410853878464"
Am 16.09.2014 um 10:00 schrieb Jochen Fahrner:
Hallo,
das OpenDMARC weist mir ständig Mails ab. Soeben eine Mail von DHL:
This is an authentication failure report for an email message received from IP 149.239.170.7 on Tue, 16 Sep 2014 09:51:28 +0200 (CEST).
bin derzeit ueberfragt frag auf der opendmarc liste , und poste dort deine Einstellungen, Version, bzw gibt es ein debug log des milters ich kann nicht sehen woran genau der verify gescheitert ist, deren dmarc policy gibt nicht viel her, daher sollten die defaults gelten
https://dmarcian.com/dmarc-inspector/dhl.com
ich wuerde einen bug im milter und/oder in der policy nicht ausschliessen
wenn ich raten muesste .... in der Mail ist kein DKIM Key deren dkim default policy ist zwar relaxed
Specifies "Alignment Mode" for DKIM signatures. "r" is for Relaxed, "s" is for Strict. Relaxed mode allows Authenticated DKIM d= domains that share a common Organizational Domain with an email's header-From: domain to pass the DMARC check. Strict mode requires exact matching between the DKIM d= domain and an email's header-From: domain.
hier gehts um einen DKIM Modus, aber soweit ich das verstehe muss in jedem Fall ein DKIM Key existieren, wenn der nicht da ist gilt wahrscheinlich policy Anweisung reject zu 100 %
der workaround waere wohl die domain auf die ignore Liste zu setzen
http://manpages.ubuntu.com/manpages/saucy/man5/opendmarc.conf.5.html
IgnoreMailFrom (string) Gives a list of domain names whose mail (based on the From: domain) is to be ignored by the filter. The list should be comma-separated. Matching against this list is case- insensitive. The default is an empty list, meaning no mail is ignored.
bzw global
RejectFailures (Boolean) If set, messages will be rejected if they fail the DMARC evaluation, or temp-failed if evaluation could not be completed. By default, no message will be rejected or temp-failed regardless of the outcome of the DMARC evaluation of the message. Instead, an Authentication-Results header field will be added. The default is "false".
ob es Sinn ergibt das auszuschalten , waere halt der sichere Weg.... wenn danach noch ein dkim-milter geschaltet ist kann sich ja der nochmal mit der Mail beschaeftigen
Feedback-Type: auth-failure Version: 1 User-Agent: OpenDMARC-Filter/1.3.0 Auth-Failure: dmarc Authentication-Results: s2.fahrner.name; dmarc=fail header.from=dhl.com Original-Envelope-Id: 4FE46341F9 Original-Mail-From: noreplyKSDHLPaket@dhl.com Source-IP: 149.239.170.7 Reported-Domain: dhl.com
Received: from ppd07007.deutschepost.de (ppd07007.deutschepost.de [149.239.170.7]) by s2.fahrner.name (Postfix) with ESMTP id 4FE46341F9 for jf@fahrner.name; Tue, 16 Sep 2014 09:51:26 +0200 (CEST) X-IronPort-AV: E=Sophos;i="5.04,531,1406584800"; d="scan'208";a="29366348" Received: from unknown (HELO af7lk085.deutschepost.dpwn.com) ([160.58.125.68]) by ppd07007.deutschepost.de with ESMTP; 16 Sep 2014 09:51:18 +0200 Received: from af7lk060 (unknown [160.58.125.1]) by af7lk085.deutschepost.dpwn.com (Postfix) with ESMTP id 7AFD720C63E; Tue, 16 Sep 2014 09:51:18 +0200 (CEST) Date: Tue, 16 Sep 2014 09:51:18 +0200 (CEST) From: "noreplyKSDHLPaket@dhl.com" noreplyKSDHLPaket@dhl.com To: "sendungsstatusnolp@deutschepost.de" sendungsstatusnolp@deutschepost.de, "jf@fahrner.name" jf@fahrner.name Message-ID: 731602045.54671410853878467.JavaMail.daycq@af7lk060 Subject: DHL Kontaktformular Sendungsstatus National (Identcode: 209629049994 / PLZ: 35075) MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_Part_5333_188892273.1410853878464"
-- Mit besten Grüßen Jochen Fahrner
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am 16.09.2014 10:56, schrieb Robert Schetterer:
wenn ich raten muesste .... in der Mail ist kein DKIM Key
Ich hab leider die Originalmail nicht, die wurde ja rejected. Laut meinem Postfix Log scheint wirklich keine DKIM Signature dringewesen zu sein:
Sep 16 09:51:26 s2 postfix/smtpd[23452]: connect from ppd07007.deutschepost.de[149.239.170.7] Sep 16 09:51:26 s2 opendmarc[1235]: configuration reloaded from /etc/opendmarc.conf Sep 16 09:51:27 s2 policyd-spf[23464]: None; identity=helo; client-ip=149.239.170.7; helo=ppd07007.deutschepost.de; envelope-from=noreplyksdhlpaket@dhl.com; receiver=jf@fahrner.name Sep 16 09:51:27 s2 policyd-spf[23464]: Pass; identity=mailfrom; client-ip=149.239.170.7; helo=ppd07007.deutschepost.de; envelope-from=noreplyksdhlpaket@dhl.com; receiver=jf@fahrner.name Sep 16 09:51:27 s2 postfix/smtpd[23452]: 4FE46341F9: client=ppd07007.deutschepost.de[149.239.170.7] Sep 16 09:51:27 s2 postfix/cleanup[23466]: 4FE46341F9: message-id=731602045.54671410853878467.JavaMail.daycq@af7lk060 Sep 16 09:51:27 s2 opendkim[23233]: 4FE46341F9: ppd07007.deutschepost.de [149.239.170.7] not internal Sep 16 09:51:27 s2 opendkim[23233]: 4FE46341F9: not authenticated Sep 16 09:51:28 s2 opendkim[23233]: 4FE46341F9: no signature data Sep 16 09:51:28 s2 opendmarc[1235]: 4FE46341F9: dhl.com fail Sep 16 09:51:28 s2 postfix/pickup[22799]: 12C3A34217: uid=118 from=<opendmarc> Sep 16 09:51:28 s2 postfix/cleanup[23471]: 12C3A34217: message-id=20140916075128.12C3A34217@s2.fahrner.name Sep 16 09:51:28 s2 opendkim[23233]: 12C3A34217: DKIM-Signature header added (s=mail, d=fahrner.name) Sep 16 09:51:28 s2 postfix/cleanup[23466]: 4FE46341F9: milter-reject: END-OF-MESSAGE from ppd07007.deutschepost.de[149.239.170.7]: 5.7.1 rejected by DMARC policy for dhl.com; from=noreplyKSDHLPaket@dhl.com to=jf@fahrner.name proto=ESMTP helo=<ppd07007.deutschepost.de>
Interessanterweise gehen bei DHL die Reports an die gleiche Adresse wie bei Paypal, nämlich an eine Firma agari.com
Am 16.09.2014 um 11:08 schrieb Jochen Fahrner:
Am 16.09.2014 10:56, schrieb Robert Schetterer:
wenn ich raten muesste .... in der Mail ist kein DKIM Key
Ich hab leider die Originalmail nicht, die wurde ja rejected. Laut meinem Postfix Log scheint wirklich keine DKIM Signature dringewesen zu sein:
das koennte also die Ursache sein , das sollte man aber nochmal verifizieren auf der opendmarc Liste, ich muss da ja nicht wirklich richtig liegen
Sep 16 09:51:26 s2 postfix/smtpd[23452]: connect from ppd07007.deutschepost.de[149.239.170.7] Sep 16 09:51:26 s2 opendmarc[1235]: configuration reloaded from /etc/opendmarc.conf Sep 16 09:51:27 s2 policyd-spf[23464]: None; identity=helo; client-ip=149.239.170.7; helo=ppd07007.deutschepost.de; envelope-from=noreplyksdhlpaket@dhl.com; receiver=jf@fahrner.name Sep 16 09:51:27 s2 policyd-spf[23464]: Pass; identity=mailfrom; client-ip=149.239.170.7; helo=ppd07007.deutschepost.de; envelope-from=noreplyksdhlpaket@dhl.com; receiver=jf@fahrner.name Sep 16 09:51:27 s2 postfix/smtpd[23452]: 4FE46341F9: client=ppd07007.deutschepost.de[149.239.170.7] Sep 16 09:51:27 s2 postfix/cleanup[23466]: 4FE46341F9: message-id=731602045.54671410853878467.JavaMail.daycq@af7lk060 Sep 16 09:51:27 s2 opendkim[23233]: 4FE46341F9: ppd07007.deutschepost.de [149.239.170.7] not internal Sep 16 09:51:27 s2 opendkim[23233]: 4FE46341F9: not authenticated Sep 16 09:51:28 s2 opendkim[23233]: 4FE46341F9: no signature data Sep 16 09:51:28 s2 opendmarc[1235]: 4FE46341F9: dhl.com fail Sep 16 09:51:28 s2 postfix/pickup[22799]: 12C3A34217: uid=118 from=<opendmarc> Sep 16 09:51:28 s2 postfix/cleanup[23471]: 12C3A34217: message-id=20140916075128.12C3A34217@s2.fahrner.name Sep 16 09:51:28 s2 opendkim[23233]: 12C3A34217: DKIM-Signature header added (s=mail, d=fahrner.name) Sep 16 09:51:28 s2 postfix/cleanup[23466]: 4FE46341F9: milter-reject: END-OF-MESSAGE from ppd07007.deutschepost.de[149.239.170.7]: 5.7.1 rejected by DMARC policy for dhl.com; from=noreplyKSDHLPaket@dhl.com to=jf@fahrner.name proto=ESMTP helo=<ppd07007.deutschepost.de>
Interessanterweise gehen bei DHL die Reports an die gleiche Adresse wie bei Paypal, nämlich an eine Firma agari.com
nun die bewerben sich als DMARC Profis...
100 S. Ellsworth Ave, 4th Floor San Mateo, CA 94401
in Deutschland gibt wohl niemand der sich damit auskennt *g
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am 16.09.2014 11:36, schrieb Robert Schetterer:
nun die bewerben sich als DMARC Profis... 100 S. Ellsworth Ave, 4th Floor San Mateo, CA 94401 in Deutschland gibt wohl niemand der sich damit auskennt *g
Und sich dann wundern wenn die NSA mitliest ;-)
Am 16.09.2014 10:56, schrieb Robert Schetterer:
der workaround waere wohl die domain auf die ignore Liste zu setzen
http://manpages.ubuntu.com/manpages/saucy/man5/opendmarc.conf.5.html
IgnoreMailFrom (string)
Wäre es in dem Fall nicht besser mit IgnoreHost den IP-Bereich der Post zu whitelisten? Ich denke mal mit dhl.com sind viele Phishing Mails unterwegs.
Am 16.09.2014 um 11:35 schrieb Jochen Fahrner:
Am 16.09.2014 10:56, schrieb Robert Schetterer:
der workaround waere wohl die domain auf die ignore Liste zu setzen
http://manpages.ubuntu.com/manpages/saucy/man5/opendmarc.conf.5.html
IgnoreMailFrom (string)
Wäre es in dem Fall nicht besser mit IgnoreHost den IP-Bereich der Post zu whitelisten? Ich denke mal mit dhl.com sind viele Phishing Mails unterwegs.
Eine Ip Liste muss du aber staendig nachpflegen, das wuerde ich hier nicht tun, dhl.com hat einen SPF Eintrag, zwar auch nicht als strict, aber wenn dein nachgeschalteter SPF policy Server eine config per domain hergibt die auch bei spf testing rejected waere das dann wohl in diesem Fall die bessere Loesung ( wenn du das willst ). Wobei ich bei dhl.com spam/pish mails mit clamav-milter und sanesecurity und spamass-milter gute Erfahrungen gemacht habe.
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
participants (2)
-
Jochen Fahrner -
Robert Schetterer