zweite Domain unterschiedliche DKIM Signatur

[jahlives]

gut möglich, ich weiss es aber nicht. Unter Linux nutzt man dazu normalerweise das Tool opendkim-genkey

 

[mexx81]

Okay und tausend Dank für Deine Hilfe!!!

 

[mexx81]

Hallo jahlives,

ich muss das Thema noch mal aufmachen, weil mir was aufgefallen ist. Hier ein Header einer Mail von mir an Google.de

Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of ich@meinserver.de designates xxx.xxx.xxx.xxx as permitted sender) smtp.mailfrom=ich@meinserver.de;
       dkim=pass header.i=@meinserver.de;
       dmarc=pass (p=QUARANTINE dis=NONE) header.from=meinserver.de
Received: from [xxx.xxx.xxx.xxx] (unknown [xxx.xxx.xxx.xxx])
	(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
	(No client certificate requested)
	(Authenticated sender: ICH)
	by meinserver.de (Postfix) with ESMTPSA id 3B1271D0E38D
	for <test@gmail.com>; Wed,  2 Sep 2015 13:50:11 +0200 (CEST)
Authentication-Results: meinserver.de; dmarc=fail header.from=meinserver.de

Wieso wird Authentication-Results zwei mal aufgeführt und beim ersten SPF, DKIM und DMARC korrekt zu sein scheint und beim zweiten DMARC mit fail ausgeworfen? Kannst Du Dir das erklären?

Großes Danke im voraus,
mexx

 

[jahlives]

leitest du dir die Mails von Gmail mittels SMTP an deinen Server weiter?

 

[mexx81]

Nein. Der Header den Du siehst ist eine Mail von meinen SMTP an Google Mail. Bei Yahoo sieht der Header ähnlich aus. SPF, DKIM, DMARC wird als pass angegeben aber im zweiten Authentication-Results wird dmarc fail ausgegeben.

 

[jahlives]

aber der zweite ist gemäss dem Header von deinem Server. Der kann imho eigentlich nur dann zustande kommen wenn eine Mail via SMTP verarbeitet wird. Drum die Frage ob du dir die externen Mails via SMTP weiterleiten lässt. Denn DMARC + SPF werden bei Weiterleitungen praktisch totgeschossen. Die funzen dann nicht mehr korrekt.

 

[mexx81]

Wie gesagt, es ist keine Weiterleitung.

Ich habe auf der Seite http://dkimvalidator.com/ einen Test gemacht und dies ist das Ergebnis. Man schickt für den Test eine Mail an eine Mailadresse und bekommt ein Ergebnis.

Received: from meinserver.de (meinserver.de [xxx.xxx.xxx.xxx])
	by ip-10-212-6-2 (Postfix) with ESMTPS id D9E03380D67
	for <kdlqmjmzpopttu@dkimvalidator.com>; Wed,  2 Sep 2015 12:42:15 +0000 (UTC)
Received: from [xxx.xxx.xxx.xxx] (unknown [xxx.xxx.xxx.xxx])
	(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
	(No client certificate requested)
	(Authenticated sender: ICH)
	by meinserver.de (Postfix) with ESMTPSA id AF21D1D0E38D
	for <KDLQmJMZpopTTU@dkimvalidator.com>; Wed,  2 Sep 2015 14:42:10 +0200 (CEST)
Authentication-Results: meinserver.de; dmarc=fail header.from=meinserver.de
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=meinserver.de;
	s=meinserver; t=1441197730;
	bh=frcCV1k9oG9oKj3dpUqdJg1PxRT2RSN/XKdLCPjaYaY=;
	h=From:To:Subject:Date:Reply-To;
	b=C35MkVrov3Pw+mYHFDSFgm2Ld47zjcgy7gzoBpwnPEFvH9pJOqGiHfK2L76QvtHgt
	 35ouR8uXBp2Y6ATEsDaTDQkIy8ssfQFdWvmWjljVEbmPF4Cx1s3bQWHo1+dpkd//bP
	 dmy7gHKahcM6RsLLg66t+3SECQXMuuUhkkeFebPE=
From: ich@meinserver.de
To: KDLQmJMZpopTTU@dkimvalidator.com
Subject: sds
Date: Wed, 02 Sep 2015 12:42:09 +0000
Message-Id: <em3e0387b4-0404-4685-8f8f-88ddeeec1fa8@nb-000-040-w7>
Reply-To: it@meinserver.de
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
X-MailScanner-ID: AF21D1D0E38D.AB343
X-MailScanner: Found to be clean
X-MailScanner-SpamScore: ss
X-MailScanner-From: ich@meinserver.de
X-Spam-Status: No

DKIM Signature

Message contains this DKIM Signature:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=meinserver.de;
	s=meinserver; t=1441197730;
	bh=frcCV1k9oG9oKj3dpUqdJg1PxRT2RSN/XKdLCPjaYaY=;
	h=From:To:Subject:Date:Reply-To;
	b=C35MkVrov3Pw+mYHFDSFgm2Ld47zjcgy7gzoBpwnPEFvH9pJOqGiHfK2L76QvtHgt
	 35ouR8uXBp2Y6ATEsDaTDQkIy8ssfQFdWvmWjljVEbmPF4Cx1s3bQWHo1+dpkd//bP
	 dmy7gHKahcM6RsLLg66t+3SECQXMuuUhkkeFebPE=


Signature Information:
v= Version:         1
a= Algorithm:       rsa-sha256
c= Method:          relaxed/simple
d= Domain:          meinserver.de
s= Selector:        meinserver
q= Protocol:        
bh=                 frcCV1k9oG9oKj3dpUqdJg1PxRT2RSN/XKdLCPjaYaY=
h= Signed Headers:  From:To:Subject:Date:Reply-To
b= Data:            C35MkVrov3Pw+mYHFDSFgm2Ld47zjcgy7gzoBpwnPEFvH9pJOqGiHfK2L76QvtHgt
	 35ouR8uXBp2Y6ATEsDaTDQkIy8ssfQFdWvmWjljVEbmPF4Cx1s3bQWHo1+dpkd//bP
	 dmy7gHKahcM6RsLLg66t+3SECQXMuuUhkkeFebPE=
Public Key DNS Lookup


Building DNS Query for meinserver._domainkey.meinserver.de
Retrieved this publickey from DNS: k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDQ9+0z+FC+vvs7WtbSbEbEEPjdgzsJsCSzujIBQrM5783qs3NhK+v5F/LAVsEuICAWo8TPP7APJ0ZSLC4b/mR8vbexQHZElV2m5UIj5vh/OOmMp9qSsva2GHtBdNHBZ3Sq7tzfJ4P32u0d3hafYI3yZrXTMWFqIf2dRKfVzEBcQQIDAQAB
Validating Signature


result = pass
Details:

Spamscore

SpamAssassin Score: -0.101
Message is NOT marked as spam
Points breakdown: 
-0.0 SPF_HELO_PASS          SPF: HELO matches SPF record
-0.1 DKIM_VALID_AU          Message has a valid DKIM or DK signature from author's
                            domain
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily valid
-0.1 DKIM_VALID             Message has at least one valid DKIM or DK signature

Also es ist definitiv keine Weiterleitung. Ich verstehe den Fehler noch nicht. Ist es ein Problem mit den DKIM oder DMARC->DKIM Prüfung. Einzelne checks auf DKIM und DMARC ergeben keine Fehler.

 

[jahlives]

meinserver.de scheint bei dieser Mail einen Check zu machen, obwohl das bei einer auth Mail nicht sein müsste. Wenn ich raten müsste würde ich behaupten, dass Syno hier die DKIM Implementation verbockt hat Postfix gibt die auth Mail an den DKIM Dienst, welcher die Mail unterschreibt und via localhost wieder in den Postfixprozess zurückspitzt. Hier würde ich vermuten, dass Syno den DKIM Dienst auch an diesem localhost Interface angebunden hat und für den ist das dann eine Mail welche geprüft werden muss. Diese Prüfung failed dann natürlich. Eigentlich sollte die Variable InternalHosts in der opendkim-Konfig das localhost Interface ausschliessen, aber wer weiss wie das bei dir konfiguriert ist

 

[mexx81]

Ich hab was raus gefunden. Wenn ich wie im Bild DMARC deaktiviere...



...erscheint beim Versand vom Mails im Header des empfangenden Mailservers keine zweite Zeile Authentication-Results.

Delivered-To: test@gmail.com
Received: by 10.25.30.82 with SMTP id e79csp471427lfe;
        Wed, 2 Sep 2015 05:59:22 -0700 (PDT)
X-Received: by 10.180.104.68 with SMTP id gc4mr4048146wib.67.1441198762943;
        Wed, 02 Sep 2015 05:59:22 -0700 (PDT)
Return-Path: <ich@meinserver.de>
Received: from meinserver.de (meinserver.de. [xxx.xxx.xxx.xxx])
        by mx.google.com with ESMTPS id wb6si39594396wjc.121.2015.09.02.05.59.22
        for <ich@gmail.com>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Wed, 02 Sep 2015 05:59:22 -0700 (PDT)
Received-SPF: pass (google.com: domain of ich@meinserver.de designates xxx.xxx.xxx.xxx as permitted sender) client-ip=xxx.xxx.xxx.xxx;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of ich@meinserver.de designates xxx.xxx.xxx.xxx as permitted sender) smtp.mailfrom=ich@meinserver.de;
       dkim=pass header.i=@meinserver.de;
       dmarc=pass (p=NONE dis=NONE) header.from=meinserver.de
Received: from [ xxx.xxx.xxx.xxx] (unknown [ xxx.xxx.xxx.xxx])
	(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
	(No client certificate requested)
	(Authenticated sender: IT)
	by meinserver.de (Postfix) with ESMTPSA id E4EF61D05BF1;
	Wed,  2 Sep 2015 14:59:19 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=meinserver.de;
	s=meinserver; t=1441198760;
	bh=b1GhjvcXGMenQWnip2vbxd+z6c+GUju0kqSNQi+mFPg=;
	h=From:To:Subject:Date:Reply-To;
	b=XL+k4OV9wW3EIm/IUnup/B7+LMf7xhyLLdYPiLUxPqPW/qSYuKlzpnzH0SJtcgxWH
	 iKaw5pFMQ1s4m58WpRpr/o9hErwud24jneTfbosuSiha7U0gXC+D7yrlOYHbV0i5RW
	 8WTWzF9RSwYKTyxip6MG5qj7HkXFaEU+tVKLdoyk=
From: "ich" <ich@meinserver.de>
To: "test@yahoo.com" <test@yahoo.com>, "test@gmail.com"
 <test@gmail.com>
Subject: test
Date: Wed, 02 Sep 2015 12:59:18 +0000
Message-Id: <em2808ea28-7d50-4e29-9b1d-8b404e4e388c@nb-000-040-w7>
Reply-To: "ich" <ich@meinserver.de>
Mime-Version: 1.0
Content-Type: multipart/signed; boundary="------=_MB82A6EC2C-63D1-4D76-9762-8C501A98C7D2";
 protocol="application/x-pkcs7-signature"; micalg=SHA1
Content-Transfer-Encoding: 7bit
X-MailScanner-ID: E4EF61D05BF1.A3DC0
X-MailScanner: Found to be clean
X-MailScanner-From: ich@meinserver.de
X-Spam-Status: No

Was mich ein wenig nervt ist, dass meine Mail bei yahoo dennoch in den Spam Ordner verschoben wird, obwohl im Header ganz klar drin steht, dass es sich bei der Mail um kein Spam handelt. Das Thema hatten wir aber auch schon. Unabhängig von den herkömlichen Spamchecks, nutzten die großen Anbieter wahrscheinlich auch so etwas wie IP Pool Listen von Bussines und privaten IP Adressen. Auch wenn ich eine statische IP habe, so stammt diese nicht aus einen Pool von IP Adressen, die seitens der Telekom oder anderen Providern als Bussines IPs deklariert sind. So eine Vermutung.

 

[jahlives]

wenn du den Hacken rausnimmst und es funzt, dann hat Syno *** gebaut

 

[mexx81]

Na dann hat diese lange Diskussion immerhin einen Nutzen gehabt. Danke Dir!