pd-admin auf Subdomain mit DKIM Signatur wg. DMARC möglich?

  • Moin,


    ich habe pd-admin auf einer Subdomain laufen: sub.example.org

    example.org ist dabei eine normale von pd-admin verwaltete Domain.

    Für example.org habe ich seit kurzem SPF/DKIM und DMARC aktiviert.


    /var/qmail/control/me enthält sub.example.org


    Was mich primär irritiert ist der "leere" Return-Path der Reject Nachricht: Return-Path: <"<>"@sub.example.org>.

    Wie kann ich hier einen sinnvollen Return-Path setzen?


    Und wie handhabt ihr das mit DMARC bei Nutzung der Subdomain?

    Kann ich die Subdomain (sub.example.org), die ich für die pd-admin Installation nutze ("Hostname für pd-admin") selbst regulär in pd-admin anlegen und verwalten?

    Falls JA würde ich einen separaten DKIM Eintrag für sub.example.org erzeugen und nutzen (sofern die Mail Daemon Mails signiert auch werden!?).

    Falls NEIN kann ich ja nur die Subdomain bei DMARC ignorieren, also alles erlauben.

  • Es ist schwer zu verstehen, was genau hier das Problem/Ziel ist. Der Titel "... vs ... vs ..." ist auch irgendwie irritierend. Ich denke, dass es hier Verständnisprobleme gibt.

    ich habe pd-admin auf einer Subdomain laufen: sub.example.org

    Es handelt sich dabei dann um einen Full Qualified Domain Name [FQDN]. Dies ist empfohlen für die Nutzung von pd-admin.

    Was mich primär irritiert ist der "leere" Return-Path der Reject Nachricht: Return-Path: <"<>"@sub.example.org>.

    Wie kann ich hier einen sinnvollen Return-Path setzen?

    Bei der Mail handelt es sich um einen Mail-Rückläufer (Bounce Mail). Dieser wird von qmail selbst erzeugt. Der Return-Path, auch Envelope-Sender genannt, ist die Angabe des Absenders während des SMTP-Handshakes. Bei einem Mail-Rückläufer ist der Envelope-Sender immer "leer" bzw. "<>" [Bounce Message]. Dies soll Loops verhindern. Hier ist somit alles korrekt.

    Die ursprüngliche Mail wurde aufgrund der DMARC Richtlinie abgelehnt und kam zurück. Jedoch gibt es keine Mailbox zu dem Absender postmaster@ und es kam zu dem Fehler "Sorry, no mailbox here by that name.". Die ursprüngliche Mail wurde von dem Nutzer mit der UID 1020 erzeugt. War

    Subject: Rejected: Some Subject

    der original Betreff? Ist dies eine Test-Mail gewesen? Oder Spam?

    Und wie handhabt ihr das mit DMARC bei Nutzung der Subdomain?

    Gar nicht. Wozu auch? DMARC nutzt DKIM und SPF. Bei SPF wird die Domain des Envelope-Sender geprüft, bei DKIM wird die Mail signiert. Dies hilft bei der Erkennung von Manipulation der Mail und Authentifizierung des Absenders. DMARC erweitert dies um Richtlinien und Berichte. Ein guter Artikel dazu findet sich auf easydmarc.com.


    Das Einzige was ich bisher festgestellt habe, was relevant ist, ist ein SPF für den Hostnamen von pd-admin. Bei Weiterleitungen wird durch SRS der Envelope-Sender angepasst. Dann steht dort @sub.example.org. Der Empfänger prüft bei SPF dann diese sub.example.org. Bei Weiterleitungen an zum Beispiel Gmail macht ein fehlender SPF dann Probleme. Lösen lässt sich dies durch Setzen von sub IN TXT v=spf1 a -all in der Zone von example.org.

    Kann ich die Subdomain (sub.example.org), die ich für die pd-admin Installation nutze ("Hostname für pd-admin") selbst regulär in pd-admin anlegen und verwalten?

    Falls JA würde ich einen separaten DKIM Eintrag für sub.example.org erzeugen und nutzen (sofern die Mail Daemon Mails signiert auch werden!?).

    Falls NEIN kann ich ja nur die Subdomain bei DMARC ignorieren, also alles erlauben.

    Was genau soll denn erreicht werden? Ich weiß gar nicht, ob man sub.example.org anlegen kann. Vermutlich schon. Ich gehe aber davon aus, dass dies eher zu (neuen) Problemen führen würde. Bounce Mails werden nicht signiert. Die DKIM Signierung erfolgt durch qmail-remote, welches für die Zustellung von Mails an externe Hosts ist.

  • Sumeragi danke für die ausführliche Antwort.


    Die o.g. Konstellation kam zustande, durch ein volles Postfach.
    Dies scheint eine der Konstellationen zu sein, die nicht bereits im SMTP Dialog geprüft werden.


    D.h. mein Server generiert die erste Mail.
    Diese Mail wird NICHT per DKIM signiert.

    Code
    Return-Path: <"<>"@sub.example.org>
    From: Mail Delivery Subsystem <postmaster@sub.example.org>
    To: <user@external-domain.org>

    Weil ich zu dem Zeitpounkt für sub.example.org noch eine strikte DMARC Policy aktiv hatte, wurde die Mail vom externen Sever nicht entgegengenommen und landete wg. unbekanntem "<>"@sub.example.org schließlich beim Postmaster.


    Was möchte ich erreichen?

    - DKIM Signatur auch für (Mailer Daemon) Mails von der sub.example.org um hier auch eine DMARC Policy zu aktivieren

    - Ablehnung bei vollem Postfach bereits im SMTP Dialog


    Unabhängig davon interessiert mich, wie man selbst am besten die DMARC Policies der eingehenden Mails prüfen kann (das aber lieber in einem extra Thread).

  • kai

    Hat den Titel des Themas von „pd-admin auf Subdomain vs. Return Path vs. DMARC“ zu „pd-admin auf Subdomain mit DKIM Signatur wg. DMARC möglich?“ geändert.
  • - DKIM Signatur auch für (Mailer Daemon) Mails von der sub.example.org um hier auch eine DMARC Policy zu aktivieren


    Das muss derzeit manuell konfiguriert werden., z. B. mit

    Code
    dknewkey -d sub.example.org -t rsa -b 2048 default

    siehe https://notes.sagredo.eu/en/qm…ng-dkim-for-qmail-92.html


    - Ablehnung bei vollem Postfach bereits im SMTP Dialog

    Das sollte eigentlich der Fall sein. Ich muss es mir aber selbst noch einmal genauer ansehen.