Re: SPF Funktionalität testen

Christoph Kukulies kuku at kukulies.org
Di Okt 3 10:23:22 CEST 2023 

Danke, Patrick,

habe zwar jetzt meinen DMARC Eintrag endlich formal korrekt (da wird noch gemeckert:

DMARC Quarantine/Reject policy not enabled

aber von irgendetwas, was auf SPF hindeutet, sehe ich in dem Maitheader der
an mich selbst addressierten Email nichts.

Grüße,
Christoph

> Am 02.10.2023 um 14:46 schrieb Patrick Ben Koetter <p at sys4.de>:
> 
> Christoph,
> 
> * Christoph Kukulies <kuku at kukulies.org>:
>> Auf einer Webseite von ionos.de <http://ionos.de/> steht u.a.:
>> 
>> Senden Sie eine E-Mail an sich selbst.
>> Öffnen Sie die Mail und schauen Sie sich den Mail-Header <https://www.ionos.de/digitalguide/e-mail/e-mail-technik/e-mail-header-welche-informationen-enthaelt-er/> (Kopfzeile) bzw. den Quelltext an. Je nach Mail-Client erfolgt dies über das Menü „Ansicht“ oder über das Kontextmenü (rechte Maustaste).
>> Der SPF-Eintrag ist mit „Received-SPF“ gekennzeichnet.
>> 
>> Ich habe mein SPF bei MXTOOLBOX gegengecheckt und habe dort eine positive (grün) Antwort bekommen.
>> Wenn ich mir nach obigem Rezept aber eine Email selbst sende und den Header angucke,
>> finde ich keinen solchen "Received-SPF". Kann das noch eine Fehlkonfiguration sein? Ich habe dovecot laufen.
> 
> Du betreibst Deine eigene Mailinfrastruktur und nutzt nicht die von IONOS,
> oder? Wenn Du Deine eigene Mailinfrastruktur betreibst, dann würde ich statt
> eines (proprietären) Received-SPF:-Headers einen standardierten
> Authentication-Results:-Header erwarten in welchem z. B. stehen könnte:
> 
> Authentication-Results: mail.sys4.de; dkim=pass header.d=bsi.bund.de
>        header.s=211014-e768-ed25519 header.b=uNMteZR/; dkim=pass
>        header.d=bsi.bund.de header.s=211014-e768-rsa header.b=hFfByFmY;
>        dmarc=pass (policy=reject) header.from=bsi.bund.de; spf=pass
>        (mail.sys4.de: domain of sender at bsi.bund.de designates
>        77.87.228.74 as permitted sender)
>        smtp.mailfrom=sender at bsi.bund.de
> 
> Übersetzt heißt das in etwa:
> 
> Der Server mail.sys4.de stellt nach Test fest die Nachricht von
> sender at bsi.bund.de hat sowoho den DKIM-Test mit dem Selektor
> 211014-e768-ed25519 erfolgreich bestanden (pass) als auch den mit dem Selektor
> 211014-e768-rsa. Damit hat die Nachricht auch den DMARC-Test der Senderdomain
> bestanden, welche auf reject gestellt wäre falls es zu Fehlern käme. Zuletzt
> stellt mail.sys4.de fest auch der SPF-Test war erfolgreich (pass), denn die
> domain of sender at bsi.bund.de listet die IP 77.87.228.74 als autorisiertes
> System für die Domain bsi.bund.de.
> 
> Programme, welche SPF (und / oder DKIM und DMARC) verifizieren vermerken ihre
> Testergebnisse typischerweise in einem Authentication-Results:-Header. Das
> könnten z. B. opendkim, dkimpy-milter, amavis und auch rspamd sein.
> 
>> Die einzigen spf-bezogenen Einträge, die ich habe, sind:
>> 
>> main.cf:
>> policy-spf_time_limit     = 3600s
>> 
>> master.cf:
>> policy-spf  unix  -  n   n   -   -   spawn
>>       user=nobody argv=/usr/bin/policyd-spf
> 
> Mit policyd-spf habe ich bisher nicht gearbeitet. Ich weiß nicht was dieses
> Skript einfügen würde.
> 
> p at rick
>

Mehr Informationen über die Mailingliste postfix-users