Viele eingehende Mails mit KAM_DMARC_REJECT Score 7 in der Quarantäne

[helios-it]

Hallo,

Promox Mail Gateway 8.2.5.
Der PMG ist der zweite Mail Gateway hinter einer Sophos Firewall. Die Sophos Firewall übernimmt den SPF, DKIM ,etc. Check. Der PMG ist ein weitere Anti-Spam Komponente. Configuration - Mail Proxy - Options: Use SPF: No
Das Problem ist, dass wir zig Kunden Mails pro Tage in der Quarantäne liegen haben, die einen

KAM_DMARC_REJECT Score 7 'DKIM has Failed or SPT has failed on the message and the domain das a DMARC reject policy.

haben. Da der PMG hinter der Sophos Firewall ist, benötigen wir beim Empfang kein DKIM Check. Laut Admin Handbuch ist der DKIM Check eine Default Einstellung.
Liegt da ein Fehler beim Sender vor oder können wir den DKIM Check doch auf dem PMG deaktivieren.

Grüße
Andreas

 

[ivenae]

Kannst du nicht den Score der DKIM Checks überschreiben, sodass er nicht mehr gewertet wird?

Configuration -> Spam Detector -> Custom Scores

Dort trägst du die üblichen Verdächtigen ein:

DKIM_SIGNED
DKIM_VALID
DKIM_INVALID
DKIM_VALID_AU

Und als Score: 0
Dann fließen die Checks von Spamassassin nicht mehr in die Bewertung ein.

Ich persönlich kann aber nicht genug betonen, dass ich gerade den DKIM_INVALID für einen hervorragenden Spam Indikator halte.

P.S.:
Wenn bei dir ein anderer Check der Übeltätiger ist (KAM_DMARC_REJECT), trägst du diesen auch mit einer 0 ein.

 

[helios-it]

Danke für Deine Antwort. Ich habe hier ein Beispiel eines Newsletters.
Die DKIM Einträge sind soweit ok mit Score 0.1
Trotzdem ein DKIM oder SPF Problem. Aber wie bekomme ich
KAM_DMARC_REJECT 7 DKIM has Failed or SPF has failed on the message and the domain has a DMARC reject policy
weg ?

-SPAM-LEVEL: Spam detection results: 4
AWL -0.743 Adjusted score from AWL reputation of From: address
BAYES_00 -1.9 Bayes spam probability is 0 to 1%
DKIM_INVALID 0.1 DKIM or DK signature exists, but is not valid
DKIM_SIGNED 0.1 Message has a DKIM or DK signature, not necessarily valid
DMARC_REJECT 0.1 DMARC reject policy
HEADER_FROM_DIFFERENT_DOMAINS 0.001 From and EnvelopeFrom 2nd level mail domains are different
HTML_FONT_LOW_CONTRAST 0.001 HTML font color similar or identical to background
HTML_IMAGE_RATIO_04 0.001 HTML has a low ratio of text to image area
HTML_MESSAGE 0.001 HTML included in message
KAM_DMARC_REJECT 7 DKIM has Failed or SPF has failed on the message and the domain has a DMARC reject policy
KAM_DMARC_STATUS 0.01 Test Rule for DKIM or SPF Failure with Strict Alignment
RCVD_IN_DNSWL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to DNSWL was blocked. See http://wiki.apache.org/spamassassin/DnsBlocklists#DnsBlocklists-dnsbl-block for more information.
RCVD_IN_MSPIKE_H3 0.001 Good reputation (+3)
RCVD_IN_MSPIKE_WL 0.001 Mailspike good senders
RCVD_IN_VALIDITY_CERTIFIED_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to Validity was blocked. See https://knowledge.validity.com/hc/en-us/articles/20961730681243 for more information.
RCVD_IN_VALIDITY_RPBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to Validity was blocked. See https://knowledge.validity.com/hc/en-us/articles/20961730681243 for more information.
RCVD_IN_VALIDITY_SAFE_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to Validity was blocked. See https://knowledge.validity.com/hc/en-us/articles/20961730681243 for more information.
SPF_HELO_PASS -0.001 SPF: HELO matches SPF record
SPF_PASS -0.001 SPF: sender matches SPF record
URIBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to URIBL was blocked. See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for more information. [reckxxxx-onxxxx.de]
URIBL_DBL_BLOCKED_OPENDNS 0.001 ADMINISTRATOR NOTICE: The query to dbl.spamhaus.org was blocked due to usage of an open resolver. See https://www.spamhaus.org/returnc/pub/ [reckxxx-onxxxx.de,www.reckxxxx-onxxxx.de]

Grüße Andreas

 

[ivenae]

> DKIM_INVALID 0.1 DKIM or DK signature exists, but is not valid

Das ist i.d.R. Verschuldung des Versenders => u.a. hat ja ausgerechnet PMG aktuell einen Bug, in dem er selbst die DKIM ungültig setzt, wenn man darüber versendet. Ggf. setzt der Versender selbst PMG in der aktuellen Version ein und signiert hiermit seine E-Mails?

Diese Regel addiert nur läppische 0.1 Score, was aus meiner Sicht viel zu wenig ist. ich persönlich halte "DKIM failed" wie im ersten Beitrag genannt für einen ziemlich guten Spam Indikator, bei dem ich selbst einen Score von 2 vergebe.
Hier werden nur 0.1 Score addiert, das darf aber nicht darüber hinwegtäuschen, dass DKIM hier ungültig ist und der Test fehlschlägt!

Auf dieser Basis schlägt zusätzlich die vom Sender eingerichtete DMARC Policy fehl, und die addiert mit dem von dir genanten Test satte 7 Punkte.

Behebung mit einer der folgenden Methoden:
Auf Seite des Versenders:
- Sender muss sein fehlerhaftes DKIM anpassen
- Sender musss seine DMARC Policy weniger strikt einstellen (p=none)

Auf Seite des Empfängers:
- Empfänger muss den Score, der für DMARC Failed addiert wird (aktuell: 7) mit der im ersten Beitrag genannten Methode reduzieren (die aus dem "P.S.")
- Empfänger muss den Empfänger in eine Whitelist eintragen.

P.S.:
Du hast noch persönliche Informationen in deinem Log r******online.de , ggf. entfernen.

P.P.S.:
Basierend auf der von dir nicht entfernten Info, von wem die E-Mail stammt, hier seine auf reject gestellte DMARC Policy. Bestätigt meine Annahme:

root@modoboa:~# dig txt _dmarc.<betroffene domain>

; <<>> DiG 9.20.15-1~deb13u1-Debian <<>> txt _dmarc.<betroffene domain>
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31976
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;_dmarc.<betroffene domain>. IN TXT

;; ANSWER SECTION:
_dmarc.<betroffene domain>. 300 IN TXT "v=DMARC1;p=reject;sp=none;pct=50;adkim=r;aspf=r;"

;; Query time: 58 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Sat Dec 13 07:45:00 UTC 2025
;; MSG SIZE rcvd: 116




Aus meiner Sicht: Eindeutig ein Fehler des Absenders. Er sendet ungültige DKIM Mails und hat aber in seiner DMARC Policy ein Reject stehen. Das muss krachen. Das ist gewollt. Du solltest dich vertrauensvoll an seine Mailserver-Abteilung wenden und ihm davon berichten. Er wird vermutlich nirgends mehr durchkommen.