
<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On 30 March 2017 at 15:07, Juri Haberland <span dir="ltr"><<a href="mailto:juri@sapienti-sat.org" target="_blank">juri@sapienti-sat.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">Dominic Raferd wrote:<br>

> On 30/03/2017 12:25, Juri Haberland wrote:<br>

>> Dominic Raferd wrote:<br>

<br>

</span>>>> Authentication-Results: <a href="http://mx.google.com" rel="noreferrer" target="_blank">mx.google.com</a>;<br>

<span class="gmail-">>>>         dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=<a href="http://emv5.com" rel="noreferrer" target="_blank">emv5.com</a><br>

>>> Authentication-Results: <a href="http://timedicer.co.uk/3DEFB428BB" rel="noreferrer" target="_blank">timedicer.co.uk/3DEFB428BB</a>; dmarc=pass (p=none<br>

>>> dis=none) <div class="gmail_default" style="font-size:small;display:inline"></div>header.from=<a href="http://skimium.emv5.com" rel="noreferrer" target="_blank">skimium.emv5.com</a><br>

>>> ...<br>

>>> From: "Skimium.com" <<a href="mailto:conso@skimium.emv5.com">conso@skimium.emv5.com</a>><br>

<br>

</span><span class="gmail-">>> Why do you think OpenDMARC does it wrong? Looking at section 11.1 of the<br>

>> RFC7489 (<a href="https://tools.ietf.org/html/rfc7489#page-42" rel="noreferrer" target="_blank">https://tools.ietf.org/html/<wbr>rfc7489#page-42</a>) the header.from field<br>

>> should have:<br>

>>> Value:  the domain portion of the RFC5322.From field<br>

>> I read this as the compelete domain part or in your case "<a href="http://skimium.emv5.com" rel="noreferrer" target="_blank">skimium.emv5.com</a>",<br>

>> not the parent domain "<a href="http://emv5.com" rel="noreferrer" target="_blank">emv5.com</a>".<br>

>><br>

>> So, IMHO Google has it wrong...<br>

<br>

> Interesting Juri, but I am reading section 9 of<br>

> <a href="https://dmarc.org/draft-dmarc-base-00-01.html" rel="noreferrer" target="_blank">https://dmarc.org/draft-dmarc-<wbr>base-00-01.html</a>. Where there is no DMARC<br>

> TXT record for the given domain, the receiver 'MUST query the DNS for a<br>

> DMARC TXT record at the DNS domain matching the Organizational Domain in<br>

> place of the RFC5322.From domain in the message (if different). This<br>

> record can contain policy to be asserted for subdomains of the<br>

> Organizational Domain'.<br>

<br>

</span><span class="gmail-">> So I think Google may be right to be testing against <a href="http://emv5.com" rel="noreferrer" target="_blank">emv5.com</a> (I assume<br>

> that because there is no explicit 'sp' policy, the declared 'p' policy<br>

> for <a href="http://emv5.com" rel="noreferrer" target="_blank">emv5.com</a> would apply to subdomains such as <a href="http://skimium.emv5.com" rel="noreferrer" target="_blank">skimium.emv5.com</a>).<br>

<br>

</span>Yes, absolutely, that's how DMARC is designed to work.<br>

<span class="gmail-"><br>

> Maybe openDMARC has done this testing too (i.e. against <a href="http://emv5.com" rel="noreferrer" target="_blank">emv5.com</a>) but<br>

> just not reported it the same way - if so, I think Google's reporting is<br>

> better because it makes it clear against which DMARC record the test has<br>

> been performed.<br>

<br>

</span>Of course OpenDMARC did the same tests - it just does not report the<br>

sub-domain policy in its AR header. That's what really confused you, right?<br>

The (p=NONE sp=NONE dis=NONE) vs. (p=none dis=none)?<br>

These are only optional comments that are not standardized in any way -<br>

OpenDMARC borrowed that idea from Google and Google just recently enhanced its<br>

comment to include the sub-domain policy - last year they looked like that:<br>

(p=NONE dis=NONE).<br>

<br>

I'll open a feature request/ticket for OpenDMARC to include that piece of<br>

information as well.</blockquote><div><br></div><div class="gmail_default" style="font-size:small">Thanks Juri. It's not so much the absence of sp= (although that would be nice to have appearing as well) it's that google shows '<span style="color:rgb(80,0,80);font-size:12.8px">header.from=</span><a href="http://emv5.com/" rel="noreferrer" target="_blank" style="font-size:12.8px">emv5.com</a>' which is actually the domain that was/should_have_been tested (because there is no DMARC TXT record for <a href="http://skimium.emv5.com">skimium.emv5.com</a>) whereas openDMARC shows '<div class="gmail_default" style="display:inline"></div>header.from=<a href="http://skimium.emv5.com/" rel="noreferrer" target="_blank">skimium.emv5.com</a>' so you don't know that openDMARC <u>actually</u> looked at the DMARC TXT record for <a href="http://emv5.com">emv5.com</a> (as it did, if I understand you correctly).</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Dominic</div></div></div></div>