DHL und DMARC

classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

DHL und DMARC

mailinglisten-2

Hallo,

am Wochenende hatte ich ein Paket in die Packstation eingeliefert und - wie üblich - einen Beleg per E-Mail angefordert. Der ist aber nicht gekommen. Den Grund habe ich im Logfile meines Mailservers gefunden:

May 21 16:26:30 mail postfix/postscreen[28091]: PASS NEW [149.239.48.16]:59593
May 21 16:26:31 mail postfix/smtpd[28106]: connect from ppf01016.deutschepost.de[149.239.48.16]
May 21 16:26:31 mail postfix/smtpd[28106]: Anonymous TLS connection established from ppf01016.deutschepost.de[149.239.48.16]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
May 21 16:26:31 mail postfix/smtpd[28106]: B0FCC1F492: client=ppf01016.deutschepost.de[149.239.48.16]
May 21 16:26:31 mail postfix/cleanup[28111]: B0FCC1F492: message-id=[hidden email]
May 21 16:26:31 mail opendkim[3061]: B0FCC1F492: ppf01016.deutschepost.de [149.239.48.16] not internal
May 21 16:26:31 mail opendkim[3061]: B0FCC1F492: not authenticated
May 21 16:26:31 mail opendkim[3061]: B0FCC1F492: no signature data
May 21 16:26:31 mail opendmarc[8825]: B0FCC1F492: dhl.de fail
May 21 16:26:31 mail postfix/cleanup[28111]: B0FCC1F492: milter-reject: END-OF-MESSAGE from ppf01016.deutschepost.de[149.239.48.16]: 5.7.1 rejected by DMARC policy for dhl.de; from=[hidden email] to=<xxx> proto=ESMTP helo=<PPF01016.deutschepost.de>
May 21 16:26:31 mail postfix/smtpd[28106]: disconnect from ppf01016.deutschepost.de[149.239.48.16] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1 commands=6/7


Sehe ich das richtig, dass die ihr Mailsystem völlig falsch konfiguriert haben oder liegt der Fehler doch auf meiner Seite? Die DMARC-Policy sagt bei denen tatsächlich "REJECT" und die Mail kam unsigniert an. Aber irgendwie mag ich nicht so recht glauben, dass ein solches Milliarden-Unternehmen nicht fähig ist, seine (Mail-)Systeme korrekt einzustellen - daher meine Nachfrage hier.

Die E-Mail [hidden email] bringt dann auch noch schön Backscatter, bei [hidden email] wird sie zugestellt - aber auch nach zwei Tagen bislang Null Reaktion von denen. Hat jemand Erfahrungen mit deren IT? Ohne Einlieferungsbeleg ist ziemlich blöd...

Beste Grüße
Andreas

Reply | Threaded
Open this post in threaded view
|

Re: DHL und DMARC

Andreas Schulze
Am 24.05.2018 um 06:29 schrieb Andreas Pothe:
> Sehe ich das richtig, dass die ihr Mailsystem völlig falsch konfiguriert haben oder liegt der Fehler doch auf meiner Seite? Die DMARC-Policy sagt bei denen tatsächlich "REJECT" und die Mail kam unsigniert an. Aber irgendwie mag ich nicht so recht glauben, dass ein solches Milliarden-Unternehmen nicht fähig ist, seine (Mail-)Systeme korrekt einzustellen - daher meine Nachfrage hier.

bei DHL ist DMARC kaputt. Die schaffen es seit Jahren nicht, das zu fixen.


--
A. Schulze
DATEV eG
Reply | Threaded
Open this post in threaded view
|

Re: DHL und DMARC

Juri Haberland
In reply to this post by mailinglisten-2
On 2018-05-24 06:29, Andreas Pothe wrote:
> Hallo,
>
> am Wochenende hatte ich ein Paket in die Packstation eingeliefert und -
> wie üblich - einen Beleg per E-Mail angefordert. Der ist aber nicht
> gekommen. Den Grund habe ich im Logfile meines Mailservers gefunden:

Was  mir in deinem Log fehlt, ist SPF - womit checkst du das? Denn die
IP 149.239.48.16 ist im SPF record für dhl.de enthalten. Von daher hätte
DMARC eigentlich funktionieren müssen...

Gruß,
   Juri
Reply | Threaded
Open this post in threaded view
|

Re: DHL und DMARC

mailinglisten-2
Am 2018-05-24 08:03, schrieb Juri Haberland:

> On 2018-05-24 06:29, Andreas Pothe wrote:
>> Hallo,
>>
>> am Wochenende hatte ich ein Paket in die Packstation eingeliefert und
>> -
>> wie üblich - einen Beleg per E-Mail angefordert. Der ist aber nicht
>> gekommen. Den Grund habe ich im Logfile meines Mailservers gefunden:
>
> Was  mir in deinem Log fehlt, ist SPF - womit checkst du das? Denn die
> IP 149.239.48.16 ist im SPF record für dhl.de enthalten. Von daher
> hätte DMARC eigentlich funktionieren müssen...

Das scheint das Problem zu sein... Ich habe zwar openDkim vorgeschaltet,
aber keinen SPF-Checker. D. h. OpenDmarc bewertet ausschließlich DKIM,
nicht aber SPF. Jetzt, wo ich mir die Doku von openDkim nochmal
durchlese, wird mir das auch klar - man sollte sich immer (auch) die
Originalquelle ansehen und nicht Infos auf Drittseiten. *facepalm*
Lesson learned.

Dann gleich mal die Frage: Welcher SPF-Check-Milter ist für Postfix
empfehlenswert? Und wie ist das zu konfigurieren, damit OpenDmarc das
korrekt auswertet?

Danke soweit
VG Andreas

Reply | Threaded
Open this post in threaded view
|

Re: DHL und DMARC

Florian Pritz
On 24.05.2018 10:03, [hidden email] wrote:
> Dann gleich mal die Frage: Welcher SPF-Check-Milter ist für Postfix
> empfehlenswert? Und wie ist das zu konfigurieren, damit OpenDmarc das
> korrekt auswertet?

Wenn opendmarc gegen libspf2 gebaut wird kann es SPF intern prüfen. Die
option in der config dafür ist dann "SPFSelfValidate true".

Florian


signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: DHL und DMARC

mailinglisten-2
Am 2018-05-24 10:08, schrieb Florian Pritz:
> On 24.05.2018 10:03, [hidden email] wrote:
>> Dann gleich mal die Frage: Welcher SPF-Check-Milter ist für Postfix
>> empfehlenswert? Und wie ist das zu konfigurieren, damit OpenDmarc das
>> korrekt auswertet?
>
> Wenn opendmarc gegen libspf2 gebaut wird kann es SPF intern prüfen. Die
> option in der config dafür ist dann "SPFSelfValidate true".

Danke, das hilft und scheint auch gut zu laufen. Dann muss ich wohl mal
ganz schnell noch ein Paket versenden ;)