AMAZONSES Mail - Dmarc Aggregate Report

Hay,

also unzippen kann man ja mal. Wenn da 'ne XML-Datei drin ist, dann ist es nur der übliche DMARC-Report, ansonsten wegwerfen... Solche Reports bekomme ich auch ständig), habe dafür eine eigene E-Mail-Adresse eingerichtet für den DMARC-Eintrag im DNS, damit es mir meine normalen E-Mails nicht vollmüllt...

CU, Peter

Zitat von Enrico

Hallo Schwarmwissen,

seit zwei Tagen erhalte ich eine Mail vom postmaster@amazonses.com,
die einen gzipten Anhang mit angeblichem DMARC Report enthält.

Und zwar an meinen admin Account, dessen mailcow-Server ich hier bei netcup installiert habe.

Gibt es hier weitere Mail-Server-Besitzer/Betreiber, die eine ähnliche Mail erhalten haben?

Den gzipten Anhang habe ich noch nicht entpackt.
Vorsichtshalber.

Danke für eure Hilfe.

Enrico

Alles anzeigen

Wenn dich der Anhang interessiert könntest du ihn ja dir mal in einer virtuellen Maschine anschauen oder z.B. online Sandbox Tools nutzen wie https://app.any.run (danach wäre die Datei aber öffentlich) - aber eigentlich schein die Domain zu Amazone zu gehören, sollte also nicht viel zu befürchten sein

Zitat von Enrico

seit zwei Tagen erhalte ich eine Mail vom postmaster@amazonses.com,

die einen gzipten Anhang mit angeblichem DMARC Report enthält.
Gibt es hier weitere Mail-Server-Besitzer/Betreiber, die eine ähnliche Mail erhalten haben?

Ja, hatte ich vor einiger Zeit erhalten; war nicht zu beanstanden, die .gz-komprimierte xml-Datei enthielt alle erwarteten Werte:

Delivered-To: root@vserver07.netcup.example.org
        by node1.example.org (Postfix) with ESMTPS id 1FF517E4A
        for <dmarc@example.org>; Fri, 27 Nov 2020 16:12:39 +0100 (CET)
To: dmarc@example.org
Subject: Dmarc Aggregate Report Domain: {example.org}  Submitter:
 {Amazon SES}  Date: {2020-11-26}  Report-ID:
 {72fa5e9b-310a-42f1-8c04-11f98a90357e}
MIME-Version: 1.0
Content-Type: multipart/mixed; 
        boundary="----=_Part_82991_612498035.1606489957230"
X-SES-Outgoing: 2020.11.27-54.240.14.83
Feedback-ID: 1.us-east-1.CTa/CO4t1eWkL0VlHBu5/eINCZhxZraAIsQC/FZHIgk=:AmazonSES
[…]

Hay,

Zitat von tom434

aber eigentlich schein die Domain zu Amazone zu gehören, sollte also nicht viel zu befürchten sein

gngngng... hmm....naja, also es ist nichts leichter gefälscht als eine absendene E-Mail-Adresse.

CU, Peter

Wenn du für deine Domain entsprechende DMARC Einstellungen gewählt hast, bekommst du solche Reports.

Die Betreiber machen nichts anderes als deine Bitte um diese Reports auszuführen.

Zitat von CmdrXay

Hay,

gngngng... hmm....naja, also es ist nichts leichter gefälscht als eine absendene E-Mail-Adresse.

CU, Peter

Das stimmt natürlich auch, daher wäre Methode mit einer virtualen Maschine die bessere (Wobei man gefälschte Mail Adressen meist erkennen kann)

Zitat von CmdrXay

gngngng... hmm....naja, also es ist nichts leichter gefälscht als eine absendene E-Mail-Adresse.

… und genau deswegen sollte man die Absendermetadaten auch lokal entsprechend automatisiert überprüfen (DKIM/SPF/DMARC) und ggf. kennzeichnen:

[…]
X-Spamd-Bar: +++
X-Rspamd-Server: vserver07
Authentication-Results: node1.example.org;
        dkim=pass header.d=amazonses.com header.s=5rrazfj7dpetobxfc4z6lztvsc6autpd header.b=BZKt1NI+;
        dkim=pass header.d=amazonses.com header.s=224i4yxa5dv7c2xz3womw6peuasteono header.b=Y+PwBDoL;
        spf=pass (node1.example.org: domain of 010001760a436371-eac8f7be-98f6-4cf6-94c3-d9719830e807-000000@amazonses.com designates 54.240.14.83 as permitted sender) smtp.mailfrom=010001760a436371-eac8f7be-98f6-4cf6-94c3-d9719830e807-000000@amazonses.com;
        dmarc=pass (policy=quarantine) header.from=amazonses.com
X-Rspamd-Queue-Id: 1FF517E4A
X-Spam-Level: ***
[…]

ich würde vor allem meine dmarc-einträge prüfen. amazon et al. schicken ja eigentlich keine reports, wenn sie nicht müssen.

Also die DNS Records deiner Domain(s) anschauen, insbesondere der Domain deines Admin-Accounts, und Ausschau halten nach TXT-Einträgen mit einem Text, der in etwa so aussehen kann:

v=DMARC1; p=quarantine;sp=quarantine;pct=100;rua=mailto:<deine Admin-Adresse>;adkim=r;aspf=r

Insbesondere das "rua=mailto:..." ist ursächlich für die Reports, der Rest kann anders aussehen oder auch teilweise fehlen.

Bei Google und MS kommt bei mir täglich ein Report, sofern von Google/MS an einem Tag auch mindestens eine Nachricht an meine Domain geschickt wurde. Wie es bei Amazon aussieht weiss ich nicht, von denen habe ich bisher noch keine Reports erhalten. Hatte also entweder noch keine Mails von Amazon auf meinen eigenen Domains oder Amazon hat erst kürzlich mit dem Versenden von Berichten angefangen. Bei mir wäre beides eine mögliche Ursache, weil ich bei Amazon eine GMX-Freemail-Adresse hinterlegt habe. Da bekomme ich natürlich keine Reports.

Reports schicken viele große Mailbetreiber, meist unabhängig ob es was zu beanstanden gibt, wie von tab schon beschrieben ist das ein freiwilliges Abo, welches man mit der entsprechenden DMARC `rua=` Einstellung abschließt. Wenn man einen eigenen Mailserver betreibt, empfehle ich dafür eine eigene Mailbox einzurichten.

Ganz toll wäre ja etwas, was die automatisch überprüft. Am besten auch noch die TLS Reports...

Au ja, das wäre toll. Leider scheinen die aber in verschiedensten Datei- und Archivformaten anzukommen, oder gibt's da irgendeinen Standard, wie die Reports aussehen müssen?

Theoretisch gibt es einen Standard: https://datatracker.ietf.org/doc/html/rfc7489#appendix-C

Praktisch gibt es aber diverse Abweichungen je nach Absender.

Zitat von nan0

Theoretisch gibt es einen Standard: https://datatracker.ietf.org/doc/html/rfc7489#appendix-C

Praktisch gibt es aber diverse Abweichungen je nach Absender.

Oh toll, danke - sogar als XML Schema.

wenn man das ganze nach z.b. easydmarc schicken lässt, dann werten die das aus, inkl. der jeweiligen quirks and kinks der verschiedenen sender, und man bekommt schöne zusammenfassungen.

wer's wirklich selbst erledigen will/muss, kann auf die kombi checkdmarc/parsedmarc zurückgreifen -> https://seanthegeek.net/459/demystifying-dmarc/