pd-admin auf Subdomain vs. Return Path vs. DMARC

  • Moin,


    ich habe pd-admin auf einer Subdomain laufen: sub.example.org

    example.org ist dabei eine normale von pd-admin verwaltete Domain.

    Für example.org habe ich seit kurzem SPF/DKIM und DMARC aktiviert.


    /var/qmail/control/me enthält sub.example.org


    Was mich primär irritiert ist der "leere" Return-Path der Reject Nachricht: Return-Path: <"<>"@sub.example.org>.

    Wie kann ich hier einen sinnvollen Return-Path setzen?


    Und wie handhabt ihr das mit DMARC bei Nutzung der Subdomain?

    Kann ich die Subdomain (sub.example.org), die ich für die pd-admin Installation nutze ("Hostname für pd-admin") selbst regulär in pd-admin anlegen und verwalten?

    Falls JA würde ich einen separaten DKIM Eintrag für sub.example.org erzeugen und nutzen (sofern die Mail Daemon Mails signiert auch werden!?).

    Falls NEIN kann ich ja nur die Subdomain bei DMARC ignorieren, also alles erlauben.

  • Es ist schwer zu verstehen, was genau hier das Problem/Ziel ist. Der Titel "... vs ... vs ..." ist auch irgendwie irritierend. Ich denke, dass es hier Verständnisprobleme gibt.

    ich habe pd-admin auf einer Subdomain laufen: sub.example.org

    Es handelt sich dabei dann um einen Full Qualified Domain Name [FQDN]. Dies ist empfohlen für die Nutzung von pd-admin.

    Was mich primär irritiert ist der "leere" Return-Path der Reject Nachricht: Return-Path: <"<>"@sub.example.org>.

    Wie kann ich hier einen sinnvollen Return-Path setzen?

    Bei der Mail handelt es sich um einen Mail-Rückläufer (Bounce Mail). Dieser wird von qmail selbst erzeugt. Der Return-Path, auch Envelope-Sender genannt, ist die Angabe des Absenders während des SMTP-Handshakes. Bei einem Mail-Rückläufer ist der Envelope-Sender immer "leer" bzw. "<>" [Bounce Message]. Dies soll Loops verhindern. Hier ist somit alles korrekt.

    Die ursprüngliche Mail wurde aufgrund der DMARC Richtlinie abgelehnt und kam zurück. Jedoch gibt es keine Mailbox zu dem Absender postmaster@ und es kam zu dem Fehler "Sorry, no mailbox here by that name.". Die ursprüngliche Mail wurde von dem Nutzer mit der UID 1020 erzeugt. War

    Subject: Rejected: Some Subject

    der original Betreff? Ist dies eine Test-Mail gewesen? Oder Spam?

    Und wie handhabt ihr das mit DMARC bei Nutzung der Subdomain?

    Gar nicht. Wozu auch? DMARC nutzt DKIM und SPF. Bei SPF wird die Domain des Envelope-Sender geprüft, bei DKIM wird die Mail signiert. Dies hilft bei der Erkennung von Manipulation der Mail und Authentifizierung des Absenders. DMARC erweitert dies um Richtlinien und Berichte. Ein guter Artikel dazu findet sich auf easydmarc.com.


    Das Einzige was ich bisher festgestellt habe, was relevant ist, ist ein SPF für den Hostnamen von pd-admin. Bei Weiterleitungen wird durch SRS der Envelope-Sender angepasst. Dann steht dort @sub.example.org. Der Empfänger prüft bei SPF dann diese sub.example.org. Bei Weiterleitungen an zum Beispiel Gmail macht ein fehlender SPF dann Probleme. Lösen lässt sich dies durch Setzen von sub IN TXT v=spf1 a -all in der Zone von example.org.

    Kann ich die Subdomain (sub.example.org), die ich für die pd-admin Installation nutze ("Hostname für pd-admin") selbst regulär in pd-admin anlegen und verwalten?

    Falls JA würde ich einen separaten DKIM Eintrag für sub.example.org erzeugen und nutzen (sofern die Mail Daemon Mails signiert auch werden!?).

    Falls NEIN kann ich ja nur die Subdomain bei DMARC ignorieren, also alles erlauben.

    Was genau soll denn erreicht werden? Ich weiß gar nicht, ob man sub.example.org anlegen kann. Vermutlich schon. Ich gehe aber davon aus, dass dies eher zu (neuen) Problemen führen würde. Bounce Mails werden nicht signiert. Die DKIM Signierung erfolgt durch qmail-remote, welches für die Zustellung von Mails an externe Hosts ist.