[postfix-users] OpenDMARC und dhl.com

Robert Schetterer rs at sys4.de
Mi Sep 17 11:50:02 CEST 2014 

Am 17.09.2014 um 11:19 schrieb Jochen Fahrner:
> Lustig: jetzt geht zwar DHL, dafür werden jetzt DMARC-Reports von Google
> abgewiesen. ;-)
> 
> Sep 17 11:12:27 s2 postfix/postscreen[29962]: CONNECT from
> [2607:f8b0:4003:c01::249]:37530 to [2a01:4f8:d13:3016::2]:25
> Sep 17 11:12:33 s2 postfix/postscreen[29962]: PASS NEW
> [2607:f8b0:4003:c01::249]:37530
> Sep 17 11:12:35 s2 postfix/smtpd[29971]: connect from
> mail-ob0-x249.google.com[2607:f8b0:4003:c01::249]
> Sep 17 11:12:36 s2 postfix/smtpd[29971]: Anonymous TLS connection
> established from mail-ob0-x249.google.com[2607:f8b0:4003:c01::249]:
> TLSv1 with cipher ECDHE-RSA-RC4-SHA (128/128 bits)
> Sep 17 11:12:37 s2 policyd-spf[29978]: None; identity=helo;
> client-ip=2607:f8b0:4003:c01::249; helo=mail-ob0-x249.google.com;
> envelope-from=noreply-dmarc-support at google.com; receiver=dmarc at fahrner.name
> Sep 17 11:12:37 s2 policyd-spf[29978]: Pass; identity=mailfrom;
> client-ip=2607:f8b0:4003:c01::249; helo=mail-ob0-x249.google.com;
> envelope-from=noreply-dmarc-support at google.com; receiver=dmarc at fahrner.name
> Sep 17 11:12:37 s2 postfix/smtpd[29971]: 47544341FA:
> client=mail-ob0-x249.google.com[2607:f8b0:4003:c01::249]
> Sep 17 11:12:37 s2 postfix/cleanup[29980]: 47544341FA:
> message-id=<14117120610198414199 at google.com>
> Sep 17 11:12:37 s2 opendmarc[29698]: 47544341FA: google.com fail
> Sep 17 11:12:37 s2 postfix/pickup[29793]: 8C12734449: uid=118
> from=<opendmarc>
> Sep 17 11:12:37 s2 postfix/cleanup[29984]: 8C12734449:
> message-id=<20140917091237.8C12734449 at s2.fahrner.name>
> Sep 17 11:12:37 s2 opendkim[6724]: 8C12734449: DKIM-Signature header
> added (s=mail, d=fahrner.name)
> Sep 17 11:12:37 s2 postfix/cleanup[29980]: 47544341FA: milter-hold:
> END-OF-MESSAGE from mail-ob0-x249.google.com[2607:f8b0:4003:c01::249]:
> milter triggers HOLD action; from=<noreply-dmarc-support at google.com>
> to=<dmarc at fahrner.name> proto=ESMTP helo=<mail-ob0-x249.google.com>
> 
> 
> Kann es sein dass SPF ein Problem mit ipv6 Adressen hat?

uff ich weiss das google "beim hinsenden" hin und wieder mails von ipv6
Adressen als Spam markiert hat , der workaround waere ein transport nur
auf ipv4 fuer google, mein letzter Stand dazu ist dass es daran liegen
koennte das viele Sender vergessen auch fuer ihre ipv6 Adressen
zusaetzlich SPF policies zu veroeffentlichen ( inkl harte SPF A Eintrage
fuer ihren mailserver hostnamen ), damals waren die google Seiten dazu
nicht hilfreich, und ich konnte es auch final nicht verifizieren
> 

zu deiner Frage

dig -t txt google.com

; <<>> DiG 9.7.0-P1 <<>> -t txt google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33915
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;google.com.                    IN      TXT

;; ANSWER SECTION:
google.com.             3600    IN      TXT     "v=spf1
include:_spf.google.com ip4:216.73.93.70/31 ip4:216.73.93.72/31 ~all"

dig -t txt _spf.google.com

; <<>> DiG 9.7.0-P1 <<>> -t txt _spf.google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33721
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;_spf.google.com.               IN      TXT

;; ANSWER SECTION:
_spf.google.com.        300     IN      TXT     "v=spf1
include:_netblocks.google.com include:_netblocks2.google.com
include:_netblocks3.google.com ~all"

dig -t txt _netblocks.google.com

; <<>> DiG 9.7.0-P1 <<>> -t txt _netblocks.google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42680
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;_netblocks.google.com.         IN      TXT

;; ANSWER SECTION:
_netblocks.google.com.  400     IN      TXT     "v=spf1
ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20
ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20
ip4:74.125.0.0/16 ip4:64.18.0.0/20 ip4:207.126.144.0/20
ip4:173.194.0.0/16 ~all"


dig -t txt _netblocks2.google.com

; <<>> DiG 9.7.0-P1 <<>> -t txt _netblocks2.google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55896
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;_netblocks2.google.com.                IN      TXT

;; ANSWER SECTION:
_netblocks2.google.com. 2958    IN      TXT     "v=spf1
ip6:2001:4860:4000::/36 ip6:2404:6800:4000::/36 ip6:2607:f8b0:4000::/36
ip6:2800:3f0:4000::/36 ip6:2a00:1450:4000::/36 ip6:2c0f:fb50:4000::/36 ~all"

dig -t txt _netblocks3.google.com

; <<>> DiG 9.7.0-P1 <<>> -t txt _netblocks3.google.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 913
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;_netblocks3.google.com.                IN      TXT

;; ANSWER SECTION:
_netblocks3.google.com. 883     IN      TXT     "v=spf1 ~all"


es gibt also ipv6 Angaben, alles ist im Testing mode, die scheinen auch
ok zu sein nach deinem policy-spf


Sep 17 11:12:37 s2 policyd-spf[29978]: Pass; identity=mailfrom;


Sep 17 11:12:37 s2 opendmarc[29698]: 47544341FA: google.com fail

ok wieder opendmarc


in meinem report ist ein DKIM KEY drinn , ich geh mal davon aus dass der
Ok ist

ich wuerde hier auf einen bug tippen, da gabs wohl mit DKIM schon mal
Probleme, die aber gefixed worden sind , per se wg ipv6 hab ich jetzt
nichts gefunden

ich empfehle ein Ticket bei opendmarc aufzumachen



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users