DMARC report mit fail-Eintrag von Google - sind meine Einstellungen i.O.?

ninguem · 10. Dezember 2021

Hallo.

Ich befürchte, dass Empfänger, mit denen ich zuvor noch nie gemailt habe, meine Emails evtl. nicht erhalten. Nachfragen kann ich auch nicht, weil ich nur deren Emailadresse habe.

Hier zunächst einmal die aktuellen Mail-DNS-Einstellungen für meinedomain.de:

Code

@			TXT	    v=spf1 mx a include:_spf.webhosting.systems ~all
@			MX    10    mx2f8c.netcup.net
key1._domainkey		CNAME	    key1._domainkey.webhosting.systems
key2._domainkey		CNAME	    key2._domainkey.webhosting.systems
_dmarc 			TXT         v=DMARC1;p=none;rua=mailto:report.dmarc@meinedomain.de;fo=1;adkim=s;aspf=s

Wenn ich nun eine Email verschicke - an eine gmail.com-Adresse oder wie in diesem Fall an adressteil@domaindesempfaengers.es, deren Domain möglicherweise mit Google Mail verwendet wird - erhalte ich nach einer gewissen Zeit (1 Tag oder mehr) folgenden DMARC report von Google zurück (persönliche Angaben des Empfängers etc. anonymisiert):

XML

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <report_metadata>      <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>https://support.google.com/a/answer/123456</extra_contact_info>
    <report_id>5497553123456123456</report_id>
    <date_range>
      <begin>1639008000</begin>
      <end>1639094399</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>meinedomain.de</domain>
    <adkim>s</adkim>
    <aspf>s</aspf>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>46.XX.XX.XX</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>meinedomain.de</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>meinedomain.de</domain>
        <result>pass</result>
        <selector>key2</selector>
      </dkim>
      <spf>
        <domain>meinedomain.de</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>209.XX.XX.XX</source_ip>
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
        <reason>
          <type>local_policy</type>
          <comment>arc=pass</comment>
        </reason>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>meinedomain.de</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>domaindesempfaengers.es</domain>
        <result>fail</result>
        <selector>google</selector>
      </dkim>
      <spf>
        <domain>domaindesempfaengers.es</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
</feedback>

Alles anzeigen

Habe ich falsche Einstellungen? Etwas vergessen? Bin etwas ratlos...

Danke.

Nikelaos · 10. Dezember 2021

Mich interessiert das auch und ich stehe ebenso ratlos vor den Reports...bin bei meiner Recherche vor ein paar Wochen auf diese Site gestoßen, habe mich allrdings noch nicht näher damit befassen können: https://easydmarc.com/blog/wha…now-about-dkim-dkim-fail/

Vielleicht hat ja jemand eine 100-Worte Version in deutsch?

kehrer47 · 11. Dezember 2021

leg dir einfach eine gmail-adr zu zum testen.

vlt. mal aspf=r versuchen

m_ueberall · 12. Dezember 2021

Zitat von ninguem
Hier zunächst einmal die aktuellen Mail-DNS-Einstellungen für meinedomain.de:
Code
@            TXT        v=spf1 mx a include:_spf.webhosting.systems ~all
@                       MX    10    mx2f8c.netcup.net
[…]
[…] DMARC report von Google […]
Code
[…]
      <source_ip>209.XX.XX.XX</source_ip>
[…]

Kurze Nachfrage: Ist 209.XX.XX.XX die/eine der Domäne meinedomain.de zugeordnete IPv4-Adresse?

Ansonsten ist diese weder indirekt durch _spf.webhosting.systems noch durch mx2f8c.netcup.net abgedeckt und erklärt den SPF-spezifischen Fehler.

DKIM bezieht sich auf die versendete E-Mail selbst und ein Fehler lässt sich eigentlich nur dadurch erklären, dass beim Versand bei Nutzung dieser IP-Adresse etwas mit der Signierung falsch läuft. Die Ursache lässt sich ggf. dadurch ermitteln, dass man zwei E-Mails mit demselben Inhalt über verschiedene IP-Adressen (genauer: einmal via die beanstandete IPv4 209.XX.XX.XX und einmal nicht von dort) an eine eigene E-Mail-Adresse schickt, welche diese (immer) entgegennimmt.

dbachmann · 13. Dezember 2021

Guten Tag,

ich hatte vor einigen Monaten auch so meine Schwierigkeiten gehabt und bin dann auf folgende Seite gestoßen https://www.linuxbabe.com/mail-server/create-dmarc-record

Das Tutorial bin ich Schritt für Schritt durchgegangen und konnte alle meine Probleme lösen. Als weiteres Tool zum Testen habe ich die Seite https://mxtoolbox.com/ genutzt sowie https://www.mail-tester.com/ Die letzte Seite zeigt dir nochmal zahlreiche Infos zu deinen Mails und ob etwas mit deinen Mails an sich, etwas nicht stimmt.

ninguem · 13. Dezember 2021

Zitat von m_ueberall

Kurze Nachfrage: Ist 209.XX.XX.XX die/eine der Domäne meinedomain.de
zugeordnete IPv4-Adresse?

Nach kurzer Recherche: die 209er IP scheint Google zugeordnet zu sein.

Ist es möglich, dass die Fehlermeldung zustandekommt, wenn der Empfänger

- entweder meine Email an empfaengerdomain.com an seine gmail.com Adresse weiterleitet

- oder wenn er empfaengerdomain.com bei Google aufgeschaltet hat? (Man kann ja m.W.n. bei Google oder mailbox.org eigene Domains nutzen/aufschalten.)

Zitat von dbachmann

zum Testen habe ich die Seite https://mxtoolbox.com/ genutzt sowie https://www.mail-tester.com/

Mit mxtoolbox hatte ich bereits getestet, keine Auffälligkeiten. Das Ergebnis von mail-tester scheint ja ok zu sein, oder nicht?

[Blockierte Grafik: https://img.adminforge.de/rKx7E6px/B42Dw4oH.jpg]

tab · 13. Dezember 2021

Eine Weiterleitung deiner Mail von einem fremden Account zu Google kann schon schwierig werden. Der fremde Mailserver, der ursprüngliche Empfänger, ist nicht legitimiert, für deine Domain Mails zu versenden. Je nachdem wie er es macht stimmt dann meist entweder der DKIM-Key oder SPF nicht. Und Google ist nun mal relativ kleinlich (oder halt korrekt) in solchen Fällen.

ninguem · 14. Dezember 2021

Zitat von tab

Eine Weiterleitung deiner Mail von einem fremden Account zu Google kann schon schwierig werden. Der fremde Mailserver, der ursprüngliche Empfänger, ist nicht legitimiert, für deine Domain Mails zu versenden. Je nachdem wie er es macht stimmt dann meist entweder der DKIM-Key oder SPF nicht. Und Google ist nun mal relativ kleinlich (oder halt korrekt) in solchen Fällen.

Ist schon wieder passiert.

Code

<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
    <report_id>6140351331912345678</report_id>
    <date_range>
      <begin>1639353600</begin>
      <end>1639439999</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>meinedomain.de</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>none</p>
    <sp>none</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>209.85.220.42</source_ip> [Google IP]
      <count>4</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>meinedomain.de</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>meinedomain.de</domain>
        <result>pass</result>
        <selector>key2</selector>
      </dkim>
      <spf>
        <domain>empfaengerdomain.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>188.68.61.106</source_ip>    [netcup IP]
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>meinedomain.de</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>meinedomain.de</domain>
        <result>pass</result>
        <selector>key2</selector>
      </dkim>
      <spf>
        <domain>meinedomain.de</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>185.244.192.111</source_ip>    [netcup IP]
      <count>2</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>meinedomain.de</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>meinedomain.de</domain>
        <result>pass</result>
        <selector>key2</selector>
      </dkim>
      <spf>
        <domain>meinedomain.de</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>188.68.61.102</source_ip>    [netcup IP]
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>meinedomain.de</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>meinedomain.de</domain>
        <result>pass</result>
        <selector>key2</selector>
      </dkim>
      <spf>
        <domain>meinedomain.de</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>
</feedback>

Alles anzeigen

Ich kann ja vorher nicht wissen, ob Empfänger ihre Mails zu Google Mail um-/weiterleiten oder eine eigene Domain z.B. zusammen mit Google Workspaces für ihre Emailabwicklung nutzen.

Wenn ich möchte, dass meine Emails (auch bei Googleadressen) ankommen und nicht ungelesen im Spamordner landen - oder gleich zurückgewiesen werden-, habe ich dann überhaupt eine andere Wahl, als die policy auf p=none zu setzen? Doch würde das nicht dmarc als Schutz gegen Absenderfälschung aushebeln?

Wenn ich ohnehin p=none einstelle(n muss), kann ich zumindest die report-Emailadresse rausnehmen, damit ich nicht andauernd solche Berichte erhalte.

kehrer47 · 14. Dezember 2021

erstmal selber schaun ob die mail ok sind.

gibt ja auch einge webseiten dafuer.

mein erster test ist immer eine mail an check-auth@verifier.port25.com zu senden, body und subject leer lassen.

man bekommt sofort antwort, einen report.

.

ninguem · 14. Dezember 2021

Zitat von kehrer47

erstmal selber schaun ob die mail ok sind.

gibt ja auch einge webseiten dafuer.

mein erster test ist immer eine mail an check-auth@verifier.port25.com zu senden, body und subject leer lassen.

man bekommt sofort antwort, einen report.

.

Alles anzeigen

Hab meine Maileinstellungen inzwischen schon auf verschiedenen Seiten testen lassen (s.o.) und eigentlich ist immer alles ok.

So antwortete auch check-auth@verifier.port25.com für SPF, "iprev" und DKIM mit pass."iprev" SPF check: pass
"iprev" check: pas
DKIM check: pass

kehrer47 · 14. Dezember 2021

ich vermute alles ist ok, und deine mails kommen an, und die reports kommen, hast ja in dmarc deine email-adresse angeben.

ansonsten mail an testmail@lxsbbs.eu, dann geb ich dir meine gmail-testadr.

bei meinem neuen mail-server will ich demnaechst auch dmarc mit report-adr einrichten,:-)

hab im moment kein dmarc, und weil alles anzukommen scheint hat ich das damit nicht eilig.