• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

DKIM laut DMARC-Reports nicht in allen Mails - evtl. "autom. Antworten" ohne?

mabu

Well-known member
Hallo.

Ich habe mir gerade mal ein paar DMARC-Report-Mails von heute angeschaut (über https://us.dmarcian.com/xml-to-human-converter/). --> ganz nebenbei: falls jemand was DSGVO-konformes für die Auswertung von DMARC hat, bitte bei mir melden.

Und dort tauchen etliche Einträge auf, die vom NSP kommen, aber DKIM nicht okay ist. Für diesen DMARC-Check wird "fail" angezeigt.

Wir nutzen noch NSP 13.2.21327.1706.

In allen unseren Outbound-Regeln im NSP ist "DKIM-Signatur anwenden" vorhanden. Die einzige Regel, aufgrund der noch Mails verschickt werden, ist die Inbound-Regel für einige Sammeladressen, die die Aktion "Automatische Antwort" zugeordnet hat. Da gibt es ansonsten aber nichts zu konfigurieren wegen DKIM (kann man auch nicht hinzufügen).

Schaue ich mir so eine autom. Antwort in der Nachrichtenverfolgung an, gibt es ja nicht so viele Infos. "Aktivitäten" ist leer. Bei anderen ausgehenden Mails ist dort "DKIM-Signatur" mit dem Hinweis, was aufgebracht worden ist, zu lesen.

Daher die Frage, ob evtl. automatische Antworten keine DKIM-Signatur mitbekommen. Fände ich nicht so gut, muss ich sagen.

Ansonsten hätte ich gerade keine Idee, welche Mails das ansonsten sein sollten.

Danke vorab für Feedback.
 
Hallo Martin,
das mit den Automatischen Antworten muss ich checken. Die Frage ist aber, was genau mit DKIM nicht okay ist laut Report. War DKIM nicht da? Oder ist es fehlgeschlagen weil der Public Key nicht stimmte, oder es einen Bodymismatch gab?
Gruß Stefan
 
Hallo Stefan.

Ich füge mal Screenshot eines Reports an, den ich von Google.com erhalten habe. Geht um den Zeitraum 31.10. 0 bis 24 Uhr UTC.

Anhang anzeigen 8

29 der 42 Mails haben keinen DKIM-Selector. (Warum 6 anscheinend mit s2019r und s2019e gekennzeichnet sind, ist mir auch nicht ganz klar - gibt aber beide diese Einträge im NSP und auch in den DNS-Einträgen.)

Ich habe für die 29 sonst keine Erklärung, außer den "automatischen Antworten" durch die NSP-Aktion.

Exchange-Abwesenheiten können es z.B. nicht sein. Da haben wir das Problem, dass diese vom Exchange des RZs (ein Multimandantensystem) wohl nicht im absenderbasierten Routing zum NSP geroutet werden können. Diese Abwesenheitsinfos gehen über die Standard-Mailgateways des RZs raus, die bisher bei uns weder im SPF-Record stehen, noch wird da DKIM von uns aufgebracht. Finde ich auch nicht so richtig gut.

Ich versuche mich zwischendurch immer mal wieder an den DMARC-Reports. Leider scheint es hier immer noch nicht was DSGVO-konformes zu geben. Und die forensischen Reports scheinen in Deutschland ja komplett verpönt zu sein. Würde ich auch gerne mal sehen, aber traue mich nicht, den Eintrag im DMARC-Record mit einzutragen.

Ihr bietet in Richtung DMARC-Auswertung auch noch nichts an, oder?
 

Anhänge

  • DMARC-Report.jpg
    DMARC-Report.jpg
    158.9 KB · Aufrufe: 5
Hallo Martin,
es scheinen in der Tat die von uns erzeugten Automatischen Antworten zu sein. :-( Ich kippe es ins Entwicklungs-Team.
Zu den zwei Selektoren (s2019r und s2019e) ist die Antwort sehr leicht: NoSpamProxy erzeugt immer zwei DKIM SIgnaturen. Eine auf RSA-Basis (s2019r) und eine auf Basis von elliptischen Kurven (s2019e). Der prüfende Gateway kann sich dann eine aussuchen.

Zu DMARC haben wir derzeit leider noch nichts im Angebot. Zu gegebener Zeit veröffentlichen wir aber etwas dazu. :)

Gruß Stefan
 
Zurück
Oben