Gelöst DMARC-Überprüfung bei ausgehenden E-Mails

[Postamt]

Moin zusammen,

ich analysiere aktuell unsere Mailzustellung nach extern und intern, um noch etwas mehr Performance rauszuholen.
Dabei ist mir aufgefallen, dass selbst bei ausgehenden E-Mails die DMARC-Prüfung der Absenderdomäne (eigene Domäne (Unternehmensdomäne)) stattfindet, obwohl das System selber merkt, dass es sich um eine "LocalAdress"(Absender E-Mail Adresse-Unternehmensbenutzer) handelt und von einem erlaubten Relay-Server kommt. Daher gehe ich eigentlich davon aus, dass das System bei diesen ausgehenden E-Mails keine DMARC-Überprüfung macht.

Wenn man nun auch noch Split DNS nutzt, sieht es noch schlechter aus, da er auf seinen hinterlegten DNS-Server unter der Unternehmensdomäne die dort auch eine Zone hat natürlich nichts finden kann und dies verzögert die Überprüfung nochmals.
Wenn nun jedoch ein DMARC-Eintrag vorhanden ist, failed die Überprüfung natürlich.

Eventuell weil kein SPF- und DKIM-Eintrag lokal im DNS vorhanden ist, aber das würde auch kein unterschied machen, da der Relaying-Server natürlich nicht im SPF als MX-Server hinterlegt ist.

Ist dies eine so gewollte Prozedur oder hat sich dort eventuell ein Fehler eingeschlichen?

Vielen Dank im Voraus.

Viele Grüße
Kevin

 

[Sören]

Ist dies eine so gewollte Prozedur oder hat sich dort eventuell ein Fehler eingeschlichen?

alles richtig so...

der einliefernde Server hätte ja auch per SPF autorisiert sein können, die eingelieferte Mail hätte auch eine Weiterleitung sein können, auf der ein ARC Siegel drauf ist

 

[Postamt]

Dem kann ich so nicht ganz zustimmen.
Da bei der Mailverarbeitung auch geprüft wird ob es sich beim einliefernden Server um einen "AllowedRelayServer" handelt und auch der Absender eine "LocalAdress" ist, noch vor der DMARC-Validierung, ergibt sich quasi schon, dass vom einliefernden Server eine E-Mail mit einer Unternehmensdomäne entgegengenommen wird, was die DMARC-Validierung für meine Unternehmensdomäne überflüssig macht.
SPF hat mit dieser Konstellation gar nichts zu tun.

Des Weiteren nochmals im Bezug auf Split DNS, was in der Regel, von jedem Unternehmen verwendet wird.
Mir ist kein Unternehmen bekannt, welches auf seinen nicht öffentlichen DNS-Servern DMARC-Records (und auch SPF, DKIM etc.) hinterlegt hat, damit z.B. NSP prüfen kann ob der einliefernde Server (mein interner Server) mit meiner Unternehmensdomäne eine E-Mail verschicken darf und ich "meine" E-Mail annehmen darf, obwohl es sich um einen Relay-Server handelt.

Also diese Vorgehensweise ergibt rein logisch keinen Sinn, eventuell gibt es bestimmt auch Ausnahmen, aber in der Regel wird es so sein.

Wenn dadurch nun eine E-Mail Verarbeitung ~2 Sekunden länger braucht, weil eben der DMARC-Record nicht gefunden wird, ist es noch tragbar.
Bei mehreren Tausend E-Mails in kurzer Zeit sieht die Sache nun schon anders aus.

Hier wäre sinvoll, wenn NSP erkennt, es handelt sich um einen Relay-Server und die E-Mail ist eine "LocalAdress", dann muss keine DMARC-Validierung vorgenommen werden und eventuell weitere Prüfungen/Validierung ebenfalls nicht.

Viele Grüße
Kevin

 

[Sören]

Da bei der Mailverarbeitung auch geprüft wird ob es sich beim einliefernden Server um einen "AllowedRelayServer" handelt

ja und genau diese Option gibt es, dass der eigene SPF geprüft wird: