Amavis verschluckt Header

classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

Amavis verschluckt Header

Gregor Hermens
Hallo Liste,

ich bin dabei, für eingehende Mails eine DMARC-Überprüfung einzurichten. Das
Ergebnis soll nicht hart umgesetzt werden, sondern durch Auswertung der
Authentication-Results-Header in den Amavis-Score einfließen.

Da Amavis selbst zwar DKIM, aber nicht DMARC kann, bin ich aktuell bei
folgendem Aufbau:

1. postix-policyd-spf-python (als Policy-Service)
2. opendkim (als Milter)
3. opendmarc (als Milter)
4. amavisd-new (als Milter)

Jede einzelne Komponente liefert allein genommen das gewünschte Ergebnis. In
der Kombination fehlt jedoch immer der Authenication-Results-Header der
Komponente vor Amavis, in diesem Setup also opendmarc.

Wenn ich testweise opendmarc hinter Amavis einbinde fehlt stattdessen der von
opendkim eingefügte Header.

Woran kann das liegen? Ich finde in der Amavis-Konfiguration nichts, was ich
mit diesem Verhalten in Verbindung bringe...

Der Vollständigkeit halber:

Debian 7
postfix 2.9.6-2
postfix-policyd-spf-python 1.0-2
opendkim 2.6.8-4
opendmarc 1.3.0
amavisd-new 1:2.7.1-2
amavisd-milter 1.5.0
spamassassin 3.3.2-5+deb7u3

Gruß,
Gregor
--
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  [hidden email]
D-82216 Gernlinden    http://www.a-mazing.de/
Reply | Threaded
Open this post in threaded view
|

Re: Amavis verschluckt Header

Juri Haberland
On 05.07.2016 17:01, Gregor Hermens wrote:

> 1. postix-policyd-spf-python (als Policy-Service)
> 2. opendkim (als Milter)
> 3. opendmarc (als Milter)
> 4. amavisd-new (als Milter)
>
> Jede einzelne Komponente liefert allein genommen das gewünschte Ergebnis. In
> der Kombination fehlt jedoch immer der Authenication-Results-Header der
> Komponente vor Amavis, in diesem Setup also opendmarc.
>
> Wenn ich testweise opendmarc hinter Amavis einbinde fehlt stattdessen der von
> opendkim eingefügte Header.

Ich kann diese Beobachtung bestätigen, habe aber auch noch keine Ursache
oder Lösung gefunden, weshalb ich momentan Amavis vor allem anderen
betreibe und mit OpenDMARC hart abweise.

Ich habe zwar teilweise etwas neuere Versionen am laufen, das Problem
bleibt aber bestehen. Vermutlich ist das Problem amavisd-milter.

Gruß,
  Juri
Reply | Threaded
Open this post in threaded view
|

Re: Amavis verschluckt Header

Daniel Gompf
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo

Am 05.07.2016 um 22:38 schrieb Juri Haberland:

> On 05.07.2016 17:01, Gregor Hermens wrote:
>
>> 1. postix-policyd-spf-python (als Policy-Service) 2. opendkim
>> (als Milter) 3. opendmarc (als Milter) 4. amavisd-new (als
>> Milter)
>>
>> Jede einzelne Komponente liefert allein genommen das gewünschte
>> Ergebnis. In der Kombination fehlt jedoch immer der
>> Authenication-Results-Header der Komponente vor Amavis, in diesem
>> Setup also opendmarc.
>>
>> Wenn ich testweise opendmarc hinter Amavis einbinde fehlt
>> stattdessen der von opendkim eingefügte Header.
>
> Ich kann diese Beobachtung bestätigen, habe aber auch noch keine
> Ursache oder Lösung gefunden, weshalb ich momentan Amavis vor allem
> anderen betreibe und mit OpenDMARC hart abweise.
>
> Ich habe zwar teilweise etwas neuere Versionen am laufen, das
> Problem bleibt aber bestehen. Vermutlich ist das Problem
> amavisd-milter.

Ich habe nur den ersten Punkt nicht , SPF macht bei mir opendmarc (ich
denke zwar mit Fehlern) aber es sind alle Header drin. Ich verwende
auch neuere Versionen.

Gerade nochmal an Juris E-Mail geprüft, je ein Authentication-Results
Header für

DKIM
SPF
DMARC

in der Reihenfolge.

>
> Gruß, Juri
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iQEcBAEBAgAGBQJXfJzHAAoJENuvw56q5FOiU+cH/2Q/IY1SHZqSOP0y5h1DnNW+
NyyBrZsqh5aqCcn+8Rpg+BIYOS39cq3quIycqaPu8BPbsjsGHjkFM15ncVOmdKGf
gtR7W00hI9lwAtHxtA4vSOXVv+fqWLUJpwUK7yn4UsL6eIpMZKeShTFNP7j6u6Ew
yxvD5NimzemfQyKDfA1Q0pS1UpCHZTv4er76pUa/LHt5dad2ampDUbSHypFnFBfZ
sWLNAryTIg8KzjmZ6VDriWBrVGm7C7MYLj5iCGUOkALYsRnLT/pNpxxsZZlqRzQS
4MFXTheBgb5wzbw+KBZm0LK8yW55fTzpwsqKUGDaQq6ySUxFjtyIc26944t423Y=
=6B+i
-----END PGP SIGNATURE-----
Reply | Threaded
Open this post in threaded view
|

Re: Amavis verschluckt Header

Andreas Schulze
In reply to this post by Gregor Hermens
Am 05.07.2016 um 17:01 schrieb Gregor Hermens:
> opendmarc 1.3.0
damit solltest Du nicht arbeiten. Im letzten Jahr sind viele Erweiterungen und Bugfixes für OpenDMARC erstellt worden.
Meine Empfehlung: OpenDMARC selber bauen. wie? -> https://andreasschulze.de/dmarc/opendmarc



--
A. Schulze
DATEV eG
Reply | Threaded
Open this post in threaded view
|

Re: Amavis verschluckt Header

Urban Loesch
In reply to this post by Gregor Hermens
Hallo,

Am 05.07.2016 um 17:01 schrieb Gregor Hermens:

>
> Da Amavis selbst zwar DKIM, aber nicht DMARC kann, bin ich aktuell bei
> folgendem Aufbau:
>
> 1. postix-policyd-spf-python (als Policy-Service)
> 2. opendkim (als Milter)
> 3. opendmarc (als Milter)
> 4. amavisd-new (als Milter)
>
> Jede einzelne Komponente liefert allein genommen das gewünschte Ergebnis. In
> der Kombination fehlt jedoch immer der Authenication-Results-Header der
> Komponente vor Amavis, in diesem Setup also opendmarc.
>
> Wenn ich testweise opendmarc hinter Amavis einbinde fehlt stattdessen der von
> opendkim eingefügte Header.
>
> Woran kann das liegen? Ich finde in der Amavis-Konfiguration nichts, was ich
> mit diesem Verhalten in Verbindung bringe...

Ich bin mir jetzt nicht ganz sicher ob ich dich richtig verstanden habe.
Aber kann es sein, dass dein Postfix hier der Verursacher ist und den Header "unterdrückt"?

Siehe:
http://www.postfix.org/announcements/postfix-2.11.3.html

Grüße
Urban


Reply | Threaded
Open this post in threaded view
|

Re: Amavis verschluckt Header

Gregor Hermens
In reply to this post by Juri Haberland
Hallo Juri,

Am Dienstag, 5. Juli 2016 schrieb Juri Haberland:
> Ich kann diese Beobachtung bestätigen, habe aber auch noch keine Ursache
> oder Lösung gefunden, weshalb ich momentan Amavis vor allem anderen
> betreibe und mit OpenDMARC hart abweise.

wie gehst du damit um, daß bei p=quarantine die Mails in der Postfix-Queue auf
Hold gesetzt werden? Ich habe keine Möglichkeit gefunden, das zu
beeinflussen...

Gruß,
Gregor
--
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  [hidden email]
D-82216 Gernlinden    http://www.a-mazing.de/
Reply | Threaded
Open this post in threaded view
|

Re: Amavis verschluckt Header

Gregor Hermens
In reply to this post by Urban Loesch
Hallo Urban,

Am Mittwoch, 6. Juli 2016 schrieb Urban Loesch:

> Am 05.07.2016 um 17:01 schrieb Gregor Hermens:
> > Da Amavis selbst zwar DKIM, aber nicht DMARC kann, bin ich aktuell bei
> > folgendem Aufbau:
> >
> > 1. postix-policyd-spf-python (als Policy-Service)
> > 2. opendkim (als Milter)
> > 3. opendmarc (als Milter)
> > 4. amavisd-new (als Milter)
> >
> > Jede einzelne Komponente liefert allein genommen das gewünschte Ergebnis.
> > In der Kombination fehlt jedoch immer der Authenication-Results-Header
> > der Komponente vor Amavis, in diesem Setup also opendmarc.
> >
> > Wenn ich testweise opendmarc hinter Amavis einbinde fehlt stattdessen der
> > von opendkim eingefügte Header.
> >
> > Woran kann das liegen? Ich finde in der Amavis-Konfiguration nichts, was
> > ich mit diesem Verhalten in Verbindung bringe...
>
> Ich bin mir jetzt nicht ganz sicher ob ich dich richtig verstanden habe.
> Aber kann es sein, dass dein Postfix hier der Verursacher ist und den
> Header "unterdrückt"?
>
> Siehe:
> http://www.postfix.org/announcements/postfix-2.11.3.html

nein, denn das würde alle Milter betreffen. Der obige Patch war afair nötig,
damit überhaupt ein Milter die Header zu sehen bekommt, die vorhergehende
Milter gesetzt haben.

Gruß,
Gregor
--
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  [hidden email]
D-82216 Gernlinden    http://www.a-mazing.de/
Reply | Threaded
Open this post in threaded view
|

Re: Amavis verschluckt Header

Daniel Gompf
In reply to this post by Gregor Hermens
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Gregor

Am 08.07.2016 um 10:01 schrieb Gregor Hermens:

> Hallo Juri,
>
> Am Dienstag, 5. Juli 2016 schrieb Juri Haberland:
>> Ich kann diese Beobachtung bestätigen, habe aber auch noch keine
>> Ursache oder Lösung gefunden, weshalb ich momentan Amavis vor
>> allem anderen betreibe und mit OpenDMARC hart abweise.
>
> wie gehst du damit um, daß bei p=quarantine die Mails in der
> Postfix-Queue auf Hold gesetzt werden? Ich habe keine Möglichkeit
> gefunden, das zu beeinflussen...

Das ist hier https://sourceforge.net/p/opendmarc/tickets/138/
gepatcht. Schau dir mal die Seite von Andreas an, damit sollte dein
Opendmarc besser laufen.
https://andreasschulze.de/dmarc/opendmarc

>
> Gruß, Gregor
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iQEcBAEBAgAGBQJXf1/BAAoJENuvw56q5FOi4xUH/2YpMmJrT5Y4ntA1ifKtnHza
aw3R3vaf72RVtTH6aPTb2hky6fM+bCWo7Ww7GUiCU0vf6fC3am+sEdpQ6ZSC99N9
S3QHlLC+lZJKaf80sf9AgGX6hVwgPGINk3IbeIn4ghYQ4HntQwxayrZV3jFzQ6YT
BsqclJFO+BZbo37CWT13yPS60eE8G/kyIxF4wQvpVRQ4/8Wde2znTpVPR1/zMlVJ
0sUT2TbH97ubnA8L8dqDVCNvS57OaPVZCjzQKxRLrpvNOkvkalVUgjSshTLbaotw
7c2PSP53JkXl/sOzfBJvoKlildaNWb5SdPfD92po0tXZWwxITofDoJVC9NqE9fg=
=5/rt
-----END PGP SIGNATURE-----