Ich höre und sehe immer mal wieder das Abwesenheitsnotizen / Out-of-Office aufgrund von DMARC-Fehlern (SPF/DKIM) in der Quarantäne landen bzw. abgelehnt werden. Hier erkläre ich warum:
Durch den RFC Standard 2298 ist eine „Out of Office / Abwesenheitsnotiz“ Nachricht eine „Notification message“. Das bedeutete das „Envelope From“ bei solchen Nachrichten immer leer bzw. null ist:
The envelope sender address (i.e., SMTP MAIL FROM) of the MDN MUST be
null (<>), specifying that no Delivery Status Notification messages
or other messages indicating successful or unsuccessful delivery are
to be sent in response to an MDN.
Kurze Erinnerung zum Thema DMARC:
DMARC basiert auf einen SPF-Prüfung und eine DKIM-Prüfung!
Beispiel Nachricht einer Abwesenheitsnotiz / Out-of-Office message:
Enevelope Sender: <>
Body sender (RFC5332.FROM): test@maffert.net
HELO/EHLO ist: xyz.blubb.de
Problem und Lösung:
Durch den o.g. Standard bedeutet das, das eine SPF-Prüfung immer fehlschlagen wird, da hier nur der Relay Server überprüft werden kann und nicht die eigentliche Domain (z.B. maffert.net)
Die DKIM-Prüfung wird nur dann bestehen, wenn der sendende Server (hier der Relay-Server) diese passend und ggf. „zusätzlich“ signiert.
WICHTIG: nutzt man beispielsweise Exchange Online im Zusammenhang mit einer Securitylösung wie Hornetsecurity, Mimecast oder Sophos, muss zusätzlich auch die DKIM-Signierung im Exchange Online aktiviert werden. Es reicht hierbei nicht aus, die Signierung nur in der letzten Instanz zu aktivieren (also z.B. bei Hornetsecurity)!
