• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

V13 DKIM Prüfung bestanden und gleichzeitig fehlgeschlagen

cktte

Member
Hallo zusammen, 

wir haben seit einigen Tagen das Problem, dass ein Kunde keine Mails zu uns senden kann, da der NoSpamProxy diese permanent ablehnt. In den Details steht, dass die DMARC prüfung fehlgeschlagen ist, obwohl die SPF und DKIM Prüfungen bestanden wurden, weiter steht aber im Text dass die DKIM Prüfung fehlgeschlagen ist.. Das ganze ist ein wenig verwirrend.

Warum genau werden denn nun diese Mails abgelehnt? Ich glaube es liegt an den Settings vom Kunden oder?

Hier 2 Bilder
https://abload.de/img/1raf0q.png
https://abload.de/img/2kmfxb.png

MessageTrack:
Code:
{
  "sender": {
    "localPart": "XXXXX",
    "domain": "Halliburton.com"
  },
  "headerFrom": {
    "localPart": "XXXXX",
    "domain": "Halliburton.com"
  },
  "mailId": "95b957ed-3e02-4cb7-8a6a-166054b66ccb",
  "messageId": "<DM6PR12MB4058627D988AC02E26C955459F6B9@DM6PR12MB4058.namprd12.prod.outlook.com>",
  "size": 40736,
  "subject": "XXXXXXXXX",
  "signed": "None",
  "encrypted": "None",
  "sent": "2022-08-16T18:57:36.597+02:00",
  "processingTime": "00:00:23.3400000",
  "status": "PermanentlyBlocked",
  "ruleName": "All inbound mails",
  "scl": 4,
  "validationStatus": "RejectPermanent",
  "rejectReason": "SpamOrVirus",
  "cyrenReferenceId": "str=0001.0A682F1F.62FBCC85.0029:SCFSTAT93300248,ss=1,re=-4.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0",
  "processingGatewayRole": "DMZ-INFRA01",
  "receiveConnectorName": "SMTP on all address",
  "clientIPAddress": "40.107.212.73",
  "wasReceivedFromRelayServer": false,
  "detailsWereDeleted": false,
  "urlSafeguardInfoWasDeleted": false,
  "senderCertificate": {
    "thumbprint": "0OLF60pwX1VgA2vSU6y7Vn+hX7A=",
    "subject": "CN=mail.protection.outlook.com, O=Microsoft Corporation, L=Redmond, S=Washington, C=US",
    "issuer": "CN=DigiCert Cloud Services CA-1, O=DigiCert Inc, C=US",
    "serialNumber": "09116131001D329680E3FE28F437212C",
    "validFrom": "2021-11-01T00:00:00+01:00",
    "validTo": "2022-10-31T23:59:59+01:00"
  },
  "senderConnectionSecurity": {
    "tlsProtocol": "Tls12",
    "hashAlgorithm": "Sha384",
    "keyExchangeAlgorithm": "DiffieHellmanEllipticKey",
    "keyExchangeAlgorithmStrength": 384,
    "cipherAlgorithm": "Aes256"
  },
  "deliveryAttempts": [
    {
      "recipient": "XXXXXXX",
      "deliveryDate": "2022-08-16T18:57:36.597+02:00",
      "status": "PermanentlyBlocked",
      "dane": "None",
      "statusMessage": "5.7.1 This email was rejected because it violates our security policy\r\n5.7.1   DMARC validation failed: Rfc5322FromDomain: Halliburton.com, ValidationResult: DkimAndSpfAlignmentFailed, OrganizationalDomain: Halliburton.com, DkimAlignment: False, SpfAlignment: False, ApplicablePolicy: Reject, EffectivePolicy: Reject",
      "sendConnector": ""
    }
  ],
  "levelOfTrust": {
    "domainBonus": 0,
    "addressPairingBonus": 0,
    "messageIdBonus": 0,
    "subjectBonus": 0,
    "dsnPoints": 0,
    "mailIsTrusted": false,
    "scl": 0,
    "senderDomainIsFreeMailer": false,
    "isSenderAuthenticated": false,
    "addressPairingIsWildcardEntry": false,
    "wasHeaderFromAddressUsedForValidation": false
  },
  "actions": [
    {
      "name": "URL Safeguard",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "CSA-Whitelist",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "Malware-Scanner",
      "time": "00:00:02.0900000",
      "decision": "Pass"
    }
  ],
  "filters": [
    {
      "name": "Reputationsfilter",
      "time": "00:00:16.4100000",
      "scl": 4,
      "message": "DMARC validation failed: Rfc5322FromDomain: Halliburton.com, ValidationResult: DkimAndSpfAlignmentFailed, OrganizationalDomain: Halliburton.com, DkimAlignment: False, SpfAlignment: False, ApplicablePolicy: Reject, EffectivePolicy: Reject"
    },
    {
      "name": "Cyren AntiSpam",
      "time": "00:00:00",
      "scl": 0
    },
    {
      "name": "Realtime Blocklists",
      "time": "00:00:04.1500000",
      "scl": 0
    },
    {
      "name": "Spam URI Realtime Blocklists",
      "time": "00:00:00.0700000",
      "scl": 0
    }
  ],
  "operations": [
    {
      "created": "2022-08-16T18:58:04.797+02:00",
      "operation": {
        "type": "ConnectionValidation",
        "data": "{\"$type\":\"ConnectionValidationEntry\",\"isConnectionSecured\":true,\"childValidationEntries\":[],\"typeName\":\"ConnectionValidation\"}"
      }
    },
    {
      "created": "2022-08-16T18:58:04.797+02:00",
      "operation": {
        "type": "DmarcValidationEntry",
        "data": "{\"$type\":\"DmarcValidationEntry\",\"effectivePolicy\":\"Reject\",\"rfc5322FromDomain\":\"Halliburton.com\",\"validationResult\":\"DkimAndSpfAlignmentFailed\",\"organizationalDomain\":\"Halliburton.com\",\"dkimResult\":[{\"failures\":\"SigningKeyLookupFailed\",\"authenticatedDomain\":\"halliburton.com\"}],\"spfResult\":[{\"result\":\"Pass\",\"domain\":\"NAM02-BN1-obe.outbound.protection.outlook.com\"},{\"result\":\"None\",\"domain\":\"Halliburton.com\"}],\"spfValidationStatus\":\"Validated\",\"dkimAlignment\":false,\"spfAlignment\":false,\"applicablePolicy\":\"Reject\",\"childValidationEntries\":[],\"typeName\":\"DmarcValidationEntry\"}"
      }
    },
    {
      "created": "2022-08-16T18:58:04.797+02:00",
      "operation": {
        "type": "MalwareScan",
        "data": "{\"$type\":\"MalwareScanValidationEntry\",\"cyrenZeroHourClassification\":{\"spamClassification\":\"Unknown\",\"virusClassification\":\"Unknown\",\"threatCount\":0,\"detectedThreatType\":\"None\",\"detectedThreatAccuracy\":\"None\",\"threatName\":\"\"},\"action\":\"Pass\",\"infectedMailParts\":[],\"availableScanners\":\"Cyren, Filebased, CyrenZeroHour\",\"hasAdministrativeNotificationBeenSent\":false,\"childValidationEntries\":[],\"typeName\":\"MalwareScan\"}"
      }
    },
    {
      "created": "2022-08-16T18:58:04.797+02:00",
      "operation": {
        "type": "SenderRecipientValidationEntry",
        "data": "{\"$type\":\"SenderRecipientValidationEntry\",\"localAddresses\":[],\"ownedDomainsInHeaderFromDisplayName\":[],\"dnsValidationResultWithAddress\":{\"result\":\"Success\"},\"headerFromContainsAngleBracketsWithInvalidEmailAddress\":false,\"headerFromIsInvalidWithEmptyMailFrom\":false,\"headerFromContainsMultipleAddresses\":false,\"headerFromDisplayNameContainsDomainDifferentFromEmailAddress\":false,\"headerToContainsAtSignOutsideOfEmailAddress\":false,\"headerToContainsAngleBracketsWithInvalidEmailAddress\":false,\"headerToIsEmpty\":false,\"headerFromOrToContainMultipleUnicodeLanguagePlanes\":false,\"headerToDoesNotContainLocalUser\":false,\"childValidationEntries\":[],\"typeName\":\"SenderRecipientValidationEntry\"}"
      }
    },
    {
      "created": "2022-08-16T18:58:04.797+02:00",
      "operation": {
        "type": "DnsValidationEntry",
        "data": "{\"$type\":\"DnsValidationEntry\",\"senderAddress\":\"40.107.212.73\",\"hasMailFromDomainARecord\":true,\"mailFromDomainARecordValue\":\"halliburton-com.mail.protection.outlook.com (104.47.58.110, 104.47.70.110)\",\"hasPtrRecord\":true,\"isPtrRecordValid\":true,\"ptrRecordValue\":\"mail-bn1nam07on2073.outbound.protection.outlook.com\",\"isPtrRecordForwardLookupValid\":true,\"ptrRecordForwardLookupValue\":\"40.93.25.73, 40.107.212.73\",\"childValidationEntries\":[],\"typeName\":\"DnsValidationEntry\"}"
      }
    }
  ]
}
 
Hallo Frank,
Ich hab die Bilder mal auf einem Hoster hochgeladen und verlinkt und das Log ebenso in dem Post aktualisiert

PS: jetzt werden auch schon die Mails (Benachrichtigungen vom Forum) von nospamproxy.com geblockt (Die DKIM-Prüfung ist bezogen auf die Domäne nospamproxy.com fehlgeschalgen)
 
Hallo,
also im Screenshot ist zu lesen das der Signaturschlüssel nicht gefunden worden ist.

Ich seh auch keine DKIM Eintrag als DNS Eintrag bei der Domain halliburton.com bzw kann keinen finden.
Kam mal eine E-Mail durch, ist der DKIM Selektor im header zu sehen?
Hast du Zugriff auf das Kunden System ? Wenn ja lass mal nach Extern von der Domain DKIM Test laufen: https://www.appmaildev.com/de/dkim

Aber da nun auch die NSP.com Mails blockiert werden, hat dein NSP einen korrekten DNS Server eingerichtet ?
und auch Zugriff drauf nicht das die Firewall DNS Abfragen sperrt.
 
> Kam mal eine E-Mail durch, ist der DKIM Selektor im header zu sehen?
Ja vor 2 Wochen gings noch, der selector war "selector1"

[font=Tahoma, Verdana, Arial, sans-serif][size=small][font=Tahoma, Verdana, Arial, sans-serif]> Hast du Zugriff auf das Kunden System ? Wenn ja lass mal nach Extern von der Domain DKIM Test laufen: https://www.appmaildev.com/de/dkim[/font][/SIZE][/font]
[font=Tahoma, Verdana, Arial, sans-serif][size=small][font=Tahoma, Verdana, Arial, sans-serif]nein, aber ich kann das mal weiterreichen[/font][/font][/size]

[font=Tahoma, Verdana, Arial, sans-serif][size=small][font=Tahoma, Verdana, Arial, sans-serif][size=small][font=Tahoma, Verdana, Arial, sans-serif]> Aber da nun auch die NSP.com Mails blockiert werden, hat dein NSP einen korrekten DNS Server eingerichtet ? [/font][font=Tahoma, Verdana, Arial, sans-serif]und auch Zugriff drauf nicht das die Firewall DNS Abfragen sperrt.[/font][/font][/size][/font][/size]
[font=Tahoma, Verdana, Arial, sans-serif][size=small][font=Tahoma, Verdana, Arial, sans-serif][size=small][font=Tahoma, Verdana, Arial, sans-serif]ja, DNS wird durch die Firewall gelassen (sehe zumindest nix im FW Log, dass da was geblockt wird. Könnte aber irgend eine Policy sein, die den Traffic checkt (wir haben eine FW seit ca 1 Woche), Ich denke aber, dass wenn es ein DNS Lookup Problem wäre würde es ja alle eingehenden Mails betreffen und nicht nur bestimmte Absender Domains[/font][/font][/size][/font][/size]
 
Hallo,
also online check vom DKIM der Domain sieht normal aus.

Was für eine Firewall, mach die nen DNS Proxy der darf der NSP direkt raus ?

Kannst du ein Nslookup am NSP machen?

mslookup
set q=txt
selector1._domainkey.halliburton.com

gibt bei mir

Nicht autorisierende Antwort:
selector1._domainkey.halliburton.com canonical name = selector1-halliburton-com._domainkey.halliburton.onmicrosoft.com
selector1-halliburton-com._domainkey.halliburton.onmicrosoft.com text =

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApgZXme8dYuWbO1jNm7LALOy2kGdYrjHpppV9i2QxTJ4AQoxPgN0byX4AbupoY0SLL+gdmNG8yhgjKBbfbVdtQSYtMAZtMsNpRgHaC/35r+2n2pJrt7yLzZ7vHFUO8YheILryTztMZr7JrHtrEtGcUI6H5uYyzKLx3d3o1j+DUnR4zbGcLPzcG7Ned5uPsZu/c"
"hUz5OtIypzzHJ8ltl6wICsdW/ITTodnnNYiJTG2JLecbHkY9mh/lYSgAION1v34QQBzV7Rv429Ule7glWrUVM+0BI3dPsr7wWJagGls/tTnvB4ptYHNT9Zl+1Bh81NSvCEYx8xTjeBS/ijizoRGmQIDAQAB;"


Etwas verwirrend finde ich nur
anonical name = selector1-halliburton-com._domainkey.halliburton.onmicrosoft.com


Edit: ich kann dir mal eine Mail schicken die ist auch vom NSP per DKIM Sign. ob die noch ankommt.
 
Hallo zusammen,

Frank hat mal wieder super unterstützt.

Falls es hilft möchte ich nur folgendes ergänzen:
Im Bereich Troubleshooting könnt ihr auf den Systemen das Logging für "Network connection" und "DNS Service" aktivieren.
Damit würded ihr direkt sehen was der NSP versucht wie aufzulösen =)


Gruß
Jan
 
Die Firewall ist eine Sophos XG, ich hab mal Testweise eine "NSP darf alles" Regel gebaut, in der alle Filter deaktiviert sind.
Die Firewall ist auch der DNS Proxy/Forwarder für die Internen PCs, ich hab aber zusätzlich noch 8.8.8.8 als sekundären DNS Server im NSP eingerichtet.
 
Ah eine Sophos XG oder XGS ?
Aktuellste SFOS drauf .. V19 ( Ohne MR1 - das Zickt wohl)

Test Mail ist raus:
Eine DKIM-Signatur unter Verwendung des Schlüssels mail auf domain.tld wurde auf die E-Mail aufgebracht.

Mail ausgehend hat heute etwas länger gedauert: S/MIME- und PGP-Signatur sowie Verschlüsselung (vorzugsweise ausgehend) 30 sek.
 
Prima.
und im Nachrichtenverlauf im Messagetracking war auch alles gut und die Prüfungen waren auch ok.
Ohne die Gegenseite zu kennen, ist es da schwierig.

Wie der Jan oben beschrieben hat,
=> Troubleshooting =>  das Logging für "Network connection" und "DNS Service" aktivieren.

Nslookups vom NSP Server aus sind aber alle erfolgreich?
im NSP unter Konfiguration => Verb.Systeme - welche DNS hat er eingetragen die von Windows/Firewall oder einen öffentlichen GoogleDNS oder CloudflairDNS oder den vom ISP 

Bei der ausgehenden Regel für NSP nach Extern an der XGS =>
sind aber nicht zufällig unten die Sicherheitsfunktionen aktiv ?

Anhang anzeigen 9
 

Anhänge

  • 18-08-_2022_11-41-45.jpg
    18-08-_2022_11-41-45.jpg
    48.2 KB · Aufrufe: 2
> Nslookups vom NSP Server aus sind aber alle erfolgreich?

ja das sieht auch gut aus:
Code:
Standardserver:  UnKnown
Address:  192.168.1.1

> set q=txt
> selector1._domainkey.halliburton.com
Server:  UnKnown
Address:  192.168.1.1

Nicht autorisierende Antwort:
selector1._domainkey.halliburton.com    canonical name = selector1-halliburton-com._domainkey.halliburton.onmicrosoft.com
selector1-halliburton-com._domainkey.halliburton.onmicrosoft.com        text =

        "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApgZXme8dYuWbO1jNm7LALOy2kGdYrjHpppV9i2QxTJ4AQoxPgN0byX4AbupoY0SLL+gdmNG8yhgjKBbfbVdtQSYtMAZtMsNpRgHaC/35r+2n2pJrt7yLzZ7vHFUO8YheILryTztMZr7JrHtrEtGcUI6H5uYyzKLx3d3o1j+DUnR4zbGcLPzcG7Ned5uPsZu/c"
        "hUz5OtIypzzHJ8ltl6wICsdW/ITTodnnNYiJTG2JLecbHkY9mh/lYSgAION1v34QQBzV7Rv429Ule7glWrUVM+0BI3dPsr7wWJagGls/tTnvB4ptYHNT9Zl+1Bh81NSvCEYx8xTjeBS/ijizoRGmQIDAQAB;"
>

im NSP ist eingetragen, dass er die Windows Settings nehmen soll, und dort steht  192.168.1.1 (Sophos XG) und 8.8.8.8, wobei die Sophos XG über Cloudflare (1.1.1.2 und 1.0.0.2) forwarded. Ich seh allerdings in den FW Logs, dass die Anfragen über 8.8.8.8 raus gehen

[font=Tahoma, Verdana, Arial, sans-serif]Bei der ausgehenden Regel für NSP nach Extern an der XGS => [/font][font=Tahoma, Verdana, Arial, sans-serif]sind aber nicht zufällig unten die Sicherheitsfunktionen aktiv ?[/font]
[font=Tahoma, Verdana, Arial, sans-serif]ne da is aktuell ALLES deaktiviert[/font]


[font=Tahoma, Verdana, Arial, sans-serif]Meine Theorie ist, dass der Absender der Mail einen DKIM Selector mitschickt, der im DNS nicht hinterlegt ist, kann das sein? Kann man das Prüfen über NSP (vermutlich muss das Logging an sein oder)?[/font]


is aber auch komisch wieso die mails von nsp-forum@nospamproxy.com ebenfalls abgewiesen werden.. in der Aktivitäten Übersicht steht: "Die DKIM-Prüfung ist bezogen auf die Domäne nospamproxy.com fehlgeschlagen: der Signaturschlüssel konnte nicht gefunden werden"
 
Mail von dir war auch ok.
Einzig. Es konnte keine SPF-Authorisierungsrichtlinie für die Domäne mail.domain.tld.de gefunden werden.

Nun in der Sophos SG gabs noch DNS Proxy - das gibts bei der XGS so nicht. damit hatte ich auch meine Probleme mit dem auflösen.
Daher habe ich dem NSP mitgeteilt das er öff. DNS Abfragen soll ISP DNS und einen von Cloudflare.

Wenn die Anfragen raus gehen ist das ja schon mal korrekt.
lass hier doch mal das Logging aktivieren wie oben beschrieben dann schauen wir mal ob wir da was finden.
Wenn die Notify Mail nicht durch kommt, ist das schon komisch, wenn es nur der eine Kunde wäre dann vielleicht noch Fehl.Konfig.
 
Hallo,

bei mir sieht das als Bsp so aus:
Allgemein:
'MAIL FROM'- und 'Header-From'-Adressen (empfohlen)
Erfordere eine Authentifizierung für alle Boni (empfohlen)

Boni:
oben 200 unten 25
Gewähre keinen Bonus für E-Mails, die von bekannten Anbietern freier E-Mail-Dienste gesendet wurden (empfohlen)

Stoppwörter : standard

und Intell. DSN automatisch

Das glaube ich nun nicht das es daran liegt, denn LOT besagt ja nur welches Vertrauen der NSP zu der Domain des Senders hat.
ist bei den Regeln das LOT eingeschaltet ?

weil du sagst keine änderung, kommen von der Domain so viele Mails oder weißt das System alles ab gerade?
 
> weil du sagst keine änderung, kommen von der Domain so viele Mails oder weißt das System alles ab gerade?
im Moment teste ich die NSP Mails über die "Passwort vegessen" Funktion des Forums hier. Die Mails werden ja ebenfalls geblockt

die Halliburton Mails kann ich aktuell nicht prüfen, das is eine US Konzern, da dauert die Kommunikation immer sehr lange und die Ansprechpartner arbeiten um die Uhrzeit auch noch nicht. Da krieg ich erst heute Abend bzw. Morgen Antworten.

Die letzte erfolgreiche Email-Kommunikation mit denen war am 02.08.2022. Wir hatten unsere Firewall am 10.08.2022 ausgetauscht und seit 11.08.2022 werden die Mails von Halliburton abgelehnt, das stinkt eigentlich Regelrecht nach der Firewall. Aber ich wüsste nicht warum ausgerechnet bei dem Kunden (und einem weiteren) keine Emails rein kommen, denn andere Absender können uns anschreiben.
 
Ich hab das Logging mal kurz aktiviert und so eine NSP Mail ausgelöst, siehe Anhang.
 

Anhänge

  • Net at Work Mail Gateway - Gateway Role_2022-08-18T15-05.zip
    29.5 KB · Aufrufe: 3
Zurück
Oben