7
DMARC Report trotz erfolgreicher SPF und DKIM Prüfung
Hallo zusammen,
ich befasse mich ein wenig mit DMARC, SPF und DKIM; ich hatte nämlich regelmäßig DMARC Reports erhalten, in denen stand, dass zB: die DKIM-Prüfung fehl schlug.
Nun habe ich also SPF, DKIM und DMARC korrekt integriert und geprüft; funktioniert alles soweit wie geplant.
Jetzt bekomme ich aber immer noch DMARC Reports (von Google und von GLS). Dort steht auch das DKIM und SPF Test 'pass' sind, aber die Berichte kommen eben.
Ich dachte, dass die Berichte nur kommen, wenn etwas falsch läuft, sprich wenn die Tests schief laufen, also bei korrekt integrierten DKIM/SPF E-Mails von anderen Servern oder mit falscher oder ohne (DKIM)Sigantur verschickt werden.
Sehe ich das falsch? Kommen tatsächlich immer irgendwelche DMARC-Berichte?
Ich füge hier mal einen Bericht bespielhaft ein:
Die Domain und die IP habe ich geschwärzt, aber sind die korrekten Daten von den Servern die senden dürfen, bzw. die korrekte Domain.
Wo ist der Fehler bzw. mein Denk-Fehler?
VG,
JustTheNextUser
ich befasse mich ein wenig mit DMARC, SPF und DKIM; ich hatte nämlich regelmäßig DMARC Reports erhalten, in denen stand, dass zB: die DKIM-Prüfung fehl schlug.
Nun habe ich also SPF, DKIM und DMARC korrekt integriert und geprüft; funktioniert alles soweit wie geplant.
Jetzt bekomme ich aber immer noch DMARC Reports (von Google und von GLS). Dort steht auch das DKIM und SPF Test 'pass' sind, aber die Berichte kommen eben.
Ich dachte, dass die Berichte nur kommen, wenn etwas falsch läuft, sprich wenn die Tests schief laufen, also bei korrekt integrierten DKIM/SPF E-Mails von anderen Servern oder mit falscher oder ohne (DKIM)Sigantur verschickt werden.
Sehe ich das falsch? Kommen tatsächlich immer irgendwelche DMARC-Berichte?
Ich füge hier mal einen Bericht bespielhaft ein:
<?xml version="1.0" encoding="UTF-8"?>
-<feedback>
-<report_metadata>
<org_name>google.com</org_name>
<email>noreply-dmarc-support@google.com</email>
<extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
<report_id>118XXXXXXXXXXXXXX506</report_id>
-<date_range>
<begin>1593129600</begin>
<end>1593215999</end>
</date_range>
</report_metadata>
-<policy_published>
<domain>meine-domain.tld</domain>
<adkim>s</adkim>
<aspf>s</aspf>
<p>quarantine</p>
<sp>quarantine</sp>
<pct>100</pct>
</policy_published>
-<record>
-<row>
<source_ip>XXX.XXX.XXX.XXX</source_ip>
<count>1</count>
-<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
-<identifiers>
<header_from>meine-domain.tld</header_from>
</identifiers>
-<auth_results>
-<dkim>
<domain>meine-domain.tld</domain>
<result>pass</result>
<selector>dkim2020r</selector>
</dkim>
-<spf>
<domain>meine-domain.tld</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>Die Domain und die IP habe ich geschwärzt, aber sind die korrekten Daten von den Servern die senden dürfen, bzw. die korrekte Domain.
Wo ist der Fehler bzw. mein Denk-Fehler?
VG,
JustTheNextUser
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 583172
Url: https://administrator.de/contentid/583172
Printed on: April 26, 2024 at 00:04 o'clock
7 Comments
Latest comment
Wie sieht denn deine DMARC-Policy aus?
Du kannst auch explizit Reports für alle Vorgänge anfordern, das dürfte bei dir vermutlich gesetzt sein.
Du kannst auch explizit Reports für alle Vorgänge anfordern, das dürfte bei dir vermutlich gesetzt sein.
1
Der DMARC Eintrag lautet:
v=DMARC1; p=quarantine; rua=mailto:dmarc@meine-domain.tld; ruf=mailto:dmarc@meine-domain.tld; rf=afrf; sp=quarantine; fo=1; ri=3600; adkim=s; aspf=s
Ich hatte es so verstanden, dass mit 'fo=1' nur dann ein Bericht erzeugt wird, wenn mindestens einer der beiden Einträge (DKIM / SPF) fehlschlägt.
v=DMARC1; p=quarantine; rua=mailto:dmarc@meine-domain.tld; ruf=mailto:dmarc@meine-domain.tld; rf=afrf; sp=quarantine; fo=1; ri=3600; adkim=s; aspf=s
Ich hatte es so verstanden, dass mit 'fo=1' nur dann ein Bericht erzeugt wird, wenn mindestens einer der beiden Einträge (DKIM / SPF) fehlschlägt.
Ich habe eben nochmal die Kopfzeilen einer Mail geprüft.
Die E-Mail wird versendet von test@meine-domain.tld über den Server mx0.meine-domain.tld
Möglicherweise liegt hier das Problem, da 'adkim' und 'aspf' auf 'strikt' stehen?
Ich dachte, dass sich die Einstellungen auf die E-Mail-Adresse beziehen und nicht auf den Server, aber einen Versuch ist es wohl wert.
Ich probiere also mal die Einstellung 'relaxed':
adkim=r; aspf=r
VG
Die E-Mail wird versendet von test@meine-domain.tld über den Server mx0.meine-domain.tld
Möglicherweise liegt hier das Problem, da 'adkim' und 'aspf' auf 'strikt' stehen?
Ich dachte, dass sich die Einstellungen auf die E-Mail-Adresse beziehen und nicht auf den Server, aber einen Versuch ist es wohl wert.
Ich probiere also mal die Einstellung 'relaxed':
adkim=r; aspf=r
VG
Hallo,
leider war das auch nicht erfolgreich, ich bekomme immer noch DMARC-Reports.
Dort steht weiterhin, dass DKIM und SPF 'pass' sind.
Wobei dort auch steht: <disposition>none</disposition>
Es scheint also die Policy ('quarantine') nicht angewendet zu werden, wie es laut meines DMARC-Eintrags eigentlich geschehen soll.
Noch irgendjemand eine Idee hier?
VG
leider war das auch nicht erfolgreich, ich bekomme immer noch DMARC-Reports.
Dort steht weiterhin, dass DKIM und SPF 'pass' sind.
Wobei dort auch steht: <disposition>none</disposition>
Es scheint also die Policy ('quarantine') nicht angewendet zu werden, wie es laut meines DMARC-Eintrags eigentlich geschehen soll.
Noch irgendjemand eine Idee hier?
VG
Hallo nochmal,
ich habe mich ein bisschen eingelesen und es ist wohl üblich das ein DMARC Bericht (je nach DMARC Eintrag) alle 24 Stunden von Servern gesendet wird, über die E-Mail-Verkehr der entsprechenden Domain gelaufen ist.
Und je nachdem ob DKIM und/oder SPF funktionieren oder fehlschlagen und je nachdem was für Policys festgelegt wurden, handelt dann der Server der Gegenseite (hier in meinem Beispiel: <disposition>none</disposition> wurde also nicht eingegriffen, da alle Tests bestanden wurden).
Allerdings werden diese Reports wohl dennoch entsprechend regelmäßig verschickt, nicht nur im 'Fehlerfall'.
Die Infos dazu habe ich bei stackoverflow gefunden, nur falls jemand nochmal nachlesen möchte.
VG
ich habe mich ein bisschen eingelesen und es ist wohl üblich das ein DMARC Bericht (je nach DMARC Eintrag) alle 24 Stunden von Servern gesendet wird, über die E-Mail-Verkehr der entsprechenden Domain gelaufen ist.
Und je nachdem ob DKIM und/oder SPF funktionieren oder fehlschlagen und je nachdem was für Policys festgelegt wurden, handelt dann der Server der Gegenseite (hier in meinem Beispiel: <disposition>none</disposition> wurde also nicht eingegriffen, da alle Tests bestanden wurden).
Allerdings werden diese Reports wohl dennoch entsprechend regelmäßig verschickt, nicht nur im 'Fehlerfall'.
Die Infos dazu habe ich bei stackoverflow gefunden, nur falls jemand nochmal nachlesen möchte.
VG
Wie kann ich jetzt einstellen das ich nur im "Fehlerfall" eine Mail bekommme ?
Überhaupt nicht... gerne nochmal den von mir verlinkten stackoverflow-Beitrag oben studieren.
Reports werden immer generiert und versendet; egal ob Fehler gegenüber deinen festgelegten Policies oder nicht.
Diese Berichte wertest du dann selbstständig aus und entscheidest wo es Probleme/Handlungsbedarf gibt.
Das Auswerten kannst du manuell machen (Berichte lesen), aber sinnigerweise automatisiert (Berichte in Server laufen lassen).
Für DMARC-Auswertung gibt es einige (auch kostenfreie) Dienste im Internet, aber die meisten liegen außerhalb der EU und sind somit nicht DSGVO-konform.
Bestenfalls setzt du selbst ein DMARC-Empfangs- und Monitoring System auf, dann bist du Safe was die DSGVO angeht.
Dann kannst du die Berichte auswerten und prüfen ob Spam-/Phising-Kampagnen gegen die geprüften Domains laufen und entsprechend reagieren.
Viel Erfolg
