DKIM, SPF, DMARC Implementierung

    Hallo Community


    Ich habe pd-admin in der Version 4.115 mit der Serverumgebung 0.437 im Einsatz.

    Vor kurzem habe ich SPF, DKIM und DMARC für meine Maildomain eingerichtet.

    Ich gehe mal davon aus, dass alles richtig konfiguriert ist und auch funktioniert.


    Am pd-admin ist ja abgesehen von der DKIM Signierung nicht zu konfigurieren, trotzdem werfen sich für mich folgende Fragen auf:

    1. Versendet pd-admin ev. angeforderte aggregierte und/oder forensische DMARC Reports? (Sollte ja laut Standard so sein)
    2. Wenn ja, mit welcher Absender Mailadresse und kann man diese anpassen?
    3. Wie läuft die DKIM und SPF Prüfung im pd-admin ab - wird diese ausschließlich vom Spamassassin geprüft und mit Punkten bewertet? Bei einer "reject" DMARC Policy sollten die Mail ja unabhängig von der Punkteanzahl "zwingend" abgelehnt werden.

    Ich hoffe jemand kann mir etwas Licht ins Dunkel bringen.


    Vielen Dank und schöne Grüße

    Zu 1. und 2. - DMARC wird nicht berücksichtigt.


    Zu 3. - In spamassassin kann man einen Score für DKIM und SPF festlegen. Mit der SE 0.426 wurde

    DKIM: roberto-netqmail-1.06.patch-2023.07.05

    mit ausgeliefert. Die Signierung und Validierung der DKIM Signatur erfolgt somit in qmail. Es gibt aber keine weitere Aktion, außer eben der Signierung oder Validierung.


    Es gibt wohl ein spamassassin Plugin von AskDNS, womit DMARC abgefragt werden und ein Score vergeben werden kann. Ich weiß aber nicht, wie sinnvoll das ist. Denn man kann auch einfach Scores für DKIM und SPF festlegen.

    Danke für die rasche Antwort!


    Dass DMARC nicht implementiert ist, finde ich schade. Eine Umsetzung über Spamassassin finde ich auch nicht unbedingt Sinnvoll, da ja für SPF und DKIM separat Punkte vergeben werden können und der Vorteil der Reports für den Absender entfällt dadurch auch.


    Mit dem erwähnten Patch wurde dann ja auch SRS implementiert. So wie ich das sehe, ist es aber nicht aktiv.

    Ist ev. für die Zukunft eine RFC Konforme Implementierung von DMARC und SRS angedacht?

    SRS ist schon länger implementiert. Eventuell sind die vorhandenen .qmail Dateien der Mailboxen bzw. Weiterleitungen schon älteren Datums. Dann können die noch alte Einträge enthalten. Würde ich einmal rein schauen und mit aktuellen Dateien vergleichen.

    Danke für die Info!

    Zwischen Jänner und April 2019 muss es da eine Änderung gegeben haben.

    Bis Jänner 2019 ist nur eine Zeile in den .qmail Files "|/opt/pdadmin/bin/srs_forward.pl mail@domain.com"

    Ab April 2019 gibt es zusätzlich den Eintrag "|/opt/pdadmin/bin/forward_filter"

    Sieht irgendwie komsich aus - was ist denn nun richtig? Ich denke letzteres mit den 2 Einträgen, das würde aber bedeuten, dass srs ja schon sein 2017 aktiv ist (da hab ich den Server komplett neu installiert und Konfiguriert)

    Aktuelle Dateien sollten

    |/opt/pdadmin/bin/forward_filter

    |/opt/pdadmin/bin/srs_forward.pl <Mail>

    enthalten. Und SRS ist definitiv schon länger aktiv. Wenn man im News-Archiv schaut findet man z.B. zu PDA 4.26 (2016) eine entsprechende Ankündigung.

  • pumi

    Hat das Label [erledigt] hinzugefügt.
    Zitat von Sumeragi

    Zu 3. - In spamassassin kann man einen Score für DKIM und SPF festlegen. Mit der SE 0.426 wurde

    DKIM: roberto-netqmail-1.06.patch-2023.07.05

    mit ausgeliefert. Die Signierung und Validierung der DKIM Signatur erfolgt somit in qmail. Es gibt aber keine weitere Aktion, außer eben der Signierung oder Validierung.

    Ich hänge mich hier auch nochmal ran.

    Gibt es irgendwo eine Übersicht, welche Patches qmail genau mitbringt?


    Nach meinen Kenntnisstand sind es
    - netqmail-1.06 (http://netqmail.org/)

    - roberto-netqmail-1.06.patch-2023.07.05 (https://notes.sagredo.eu/en/qm…tching-qmail-82.html#dkim ?)

    -- Daniel Bradler verträgt das dann nicht mal ein Upate?



    Wird wirklich die DKIM Signatur beim Eingang validiert und wie äussert sich das dann?
    Ich sehe nur die DKIM Scores innerhalb von SpamAssassin.


    Um die DMARC Policies bei eingehenden Mails zu beachten finde ich derzeit nur eine Lösung per SpamAssassin:

    Setting up the DMARC filter in Spamassassin

    oder https://metacpan.org/pod/Mail::Qmail::Filter::DMARC

    Hallo,

    Zitat von Daniel Bradler

    Aktuell gibt es keine Pruefung im SMTP-Dialog, sondern nur die Bewertung durch SpamAssassin.

    ist soetwas in Planung?


    Gibt es eine Möglichkeit, es so restriktiv zu machen, wie bei Google?