DKIM, SPF, DMARC Implementierung

F

fmoser

Member
Jan 26, 2022
6
0
6
53
Erstmal ein Hallo an alle...
Ich habe PMG seit einiger Zeit im Einsatz. Momentan in der Version 7.3-11.
Vor kurzem habe ich zu meiner schon seit längerem bestehenden SPF Konfiguration DKIM und DMARC eingerichtet.
Ich gehe mal davon aus, dass alles richtig konfiguriert ist und auch funktioniert.
Am PMG ist ja abgesehen von der DKIM Signierung nicht zu konfigurieren, trotzdem werfen sich für mich folgende Fragen auf:
  1. Versendet PMG ev. angeforderte aggregierte und/oder forensische DMARC Reports? (Sollte ja laut Standard so sein)
  2. Wenn ja, mit welcher Absender Mailadresse und kann man diese anpassen?
  3. Wie läuft die DKIM und SPF Prüfung am PMG ab - wird diese ausschließlich vom Spamassassin geprüft und mit Punkten bewertet? Bei einer "reject" DMARC Policy sollten die Mail ja unabhängig von der Punkteanzahl "zwingend" abgelehnt werden.
Ich hoffe jemand kann mir etwas Licht ins Dunkel bringen.
Vielen Dank und schöne Grüße
 
Last edited:
fmoser said:
Am PMG ist ja abgesehen von der DKIM Signierung nicht zu konfigurieren, trotzdem werfen sich für mich folgende Fragen auf:
  1. Versendet PMG ev. angeforderte aggregierte und/oder forensische DMARC Reports? (Sollte ja laut Standard so sein)
  2. Wenn ja, mit welcher Absender Mailadresse und kann man diese anpassen?
Click to expand...
Nein, das ist in PMG nicht implementiert - und derzeit auch nicht geplant - wenn gewünscht - bitte einen enhancement request unter https://bugzilla.proxmox.com aufmachen (bitte auf Englisch) - dann können die anderen User, die das ebenfalls wollen dort dafür stimmen)

fmoser said:
Wie läuft die DKIM und SPF Prüfung am PMG ab - wird diese ausschließlich vom Spamassassin geprüft und mit Punkten bewertet? Bei einer "reject" DMARC Policy sollten die Mail ja unabhängig von der Punkteanzahl "zwingend" abgelehnt werden.
Click to expand...
Derzeit ist das so - und in der Praxis gibt es durchaus legitime Mails, die einen DMARC test failen (irgendein relay verändert sie) - daher würde ich potentiell eher nicht hard-rejecten - oder falls doch die logs im Auge behalten.

Alternativ können die relevanten SpamAssassin rules mit einem hohen score versehen werden, und dann eine Regel mit hoher Priorität eingefügt werden, die Spam mit hohem score blockt. Wenn before-queue filtering an ist sollte der sendende Server ein 5xx nach dem DATA command erhalten.

Ich hoffe das hilft!
 
  • Like
Reactions: flames
You must log in or register to reply here.
Top Bottom