DMARC-Reports und DKIM

[cosinus]

Moin,

hab hier mal ne Frage zu den DMARC-Reports. Hab mich endlich im Büro dazu durchgerungen, DKIM zu aktivieren. Nur kurz und BTW, weil es sich nicht im Linux handelt: ist eingerichtet auf einem Windows 2016 mit Exchange 2016. Die DKIM-Signierung funktioniert einwandfrei, Testmails über Outlook aber auch wenn ich über Debian mit Exim4 und unserem Exchange als Smarthost sende werden diese korrekt signiert. Hab ich überprüft über meine web.de Adresse und dann Abruf mit Thunderbird und Prüfung über den DKIM-Verifier als auch über ein Test über eine Testmail an check-auth@verifier.port25.com - da passt alles, SPF, iprev und DKIM.

Was ich nicht verstehe: ich bekomm trotzdem (aggregation) Reportmails an die Mailadresse, die ich im DMARC-Record angegeben habe mit dem Ergebnis, "SPF pass" aber "DKIM fail" (steht so in der gepackten xml Datei)

Hat jemand eine Idee, wie ich herausfinden kann, um welche Mails von uns es sich da handeln kann, bei denen DKIM fehlschlägt?
Was übersehe ich hier?

[reox]

Möglicherweise weitergeleitete Mails? ARC solltest du dann wohl auch noch machen
Anhand der Reports kann man ja ca abschätzen wo sie herkommen, eine IP steht ja normalerweise immer dabei und dann müsstest du ggf mit deinem Mailserver Log vergleichen - aber ich finde die Reports mittlerweile nicht wirklich sinnvoll und schaue sie mir daher gar nicht mehr an.

[cosinus]

aber ich finde die Reports mittlerweile nicht wirklich sinnvoll und schaue sie mir daher gar nicht mehr an.

Ok, ich hab auch schon überlegt, das "rua" aus dem DMARC-DNS-Record zu entfernen.
Wie gesagt was das für Mails sind sehe ich in dem XML Report leider nicht

[reox]

Also du kannst ja auf jeden Fall die IP des Servers sehen der die Mail verschickt hat. Ist das überhaupt eine IP von deinem Mailserver?
Zumindest bei mir ist es so, dass dort immer SPF und DKIM auf pass sind - aber wenn dort eine andere IP steht geht meistens irgendwas kaputt. Das passiert zB, wenn eine Mail über eine Mailingliste kommt. Dabei geht ja DKIM oft kaputt.

[cosinus]

Ja, SPF passt. In den Reports steht das, nur DKIM gibt immer ein fail.

[cosinus]

Ok, hab den Fehler gefunden
Eine E-Mail über Outlook verschickt wird korrekt signiert, aber NICHT wenn die im HTML-Format ist
Keine Ahnung was das nun wieder soll, ist aber kein Thema fürs debianforum

[cosinus]

Nach weiteren Tests scheint klar zu sein: Exchange ist nicht der Übeltäter, sondern das von uns eingesetzte Tool multisendcon. Irgendwas wird da bei HTML-Mails verändert nachdem Exchange das an multisendcon übergeben hat, dann stimmt natürlich die Signatur nicht mehr. Muss das aber nochmal in Ruhe testen. Mal sehen ob ich das in den Griff kriege vllt weiß der Hersteller des Tools ja was.