Abwesenheitsnotiz / Out-of-Office – DMARC DKIM Probleme

Hinweis: Wir haben in diesem Artikel möglicherweise Provisions-Links verwendet und sie durch (*) gekennzeichnet. Erfolgt über diese Links eine Bestellung, erhält maffert.net eine Provision. Es entstehen für Sie keine Nachteile beim Kauf oder Preis.

Ich höre und sehe immer mal wieder das Abwesenheitsnotizen / Out-of-Office aufgrund von DMARC-Fehlern (SPF/DKIM) in der Quarantäne landen bzw. abgelehnt werden. Hier erkläre ich warum:

Durch den RFC Standard 2298 ist eine „Out of Office / Abwesenheitsnotiz“ Nachricht eine „Notification message“. Das bedeutete das „Envelope From“ bei solchen Nachrichten immer leer bzw. null ist:

The envelope sender address (i.e., SMTP MAIL FROM) of the MDN MUST be

null (<>), specifying that no Delivery Status Notification messages

or other messages indicating successful or unsuccessful delivery are

to be sent in response to an MDN.

Kurze Erinnerung zum Thema DMARC:

DMARC basiert auf einen SPF-Prüfung und eine DKIM-Prüfung!

Beispiel Nachricht einer Abwesenheitsnotiz / Out-of-Office message:

Enevelope Sender: <>
Body sender (RFC5332.FROM): test@maffert.net
HELO/EHLO ist: xyz.blubb.de

Problem und Lösung:

Durch den o.g. Standard bedeutet das, das eine SPF-Prüfung immer fehlschlagen wird, da hier nur der Relay Server überprüft werden kann und nicht die eigentliche Domain (z.B. maffert.net)

Die DKIM-Prüfung wird nur dann bestehen, wenn der sendende Server (hier der Relay-Server) diese passend und ggf. „zusätzlich“ signiert.

WICHTIG: nutzt man beispielsweise Exchange Online im Zusammenhang mit einer Securitylösung wie Hornetsecurity, Mimecast oder Sophos, muss zusätzlich auch die DKIM-Signierung im Exchange Online aktiviert werden. Es reicht hierbei nicht aus, die Signierung nur in der letzten Instanz zu aktivieren (also z.B. bei Hornetsecurity)!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.