<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Apr 20, 2017 at 5:23 PM, Juri Haberland <span dir="ltr"><<a href="mailto:juri@sapienti-sat.org" target="_blank">juri@sapienti-sat.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">[ please keep the conversation on the list ]<br></blockquote><div><br></div><div>Sorry, noticed that after I sent it. Usually don't have that issue with responding to lists. <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<span><br>
On 20.04.2017 22:21, Ian Evans wrote:<br>
> On Thu, Apr 20, 2017 at 3:54 PM, Juri Haberland <<a href="mailto:juri@sapienti-sat.org" target="_blank">juri@sapienti-sat.org</a>><br>
> wrote:<br>
<br>
</span><span>>> Try to send some mail from Google to your domain and look at the result...<br>
>><br>
> As mentioned in my original email, I've done that and it passes. Passes<br>
> other dmarc checkers as well. It's just the internal email.<br>
<br>
</span><span>Sorry, but no, you wrote:<br>
> If I send a message from <a href="mailto:user1@example.com" target="_blank">user1@example.com</a> to a gmail address and check the<br>
> headers, I get a pass on the dmarc check.<br>
<br>
</span>That just means that your SPF and DKIM signing setup is correct - but do<br>
you validate external mail correctly?<br></blockquote><div><br></div><div>Yes, sorry, read that incorrectly. Working in a hospital lobby while the missus visits a relative, so not the optimal reading conditions. So yes, if I send an email from gmail to my site, the headers indicate a dmarc pass. Just upgraded to 1.3.1. as per that PPA, restarted and tried again. External email is passing. Internal email is failing.<br><br></div><div>Did try a couple of testers again just now. unlocktheinbox gave me a dmarc fail,  <a href="http://verifier.port25.com">verifier.port25.com</a> gave me a dmarc fail, whereas gmail gave me an SPF, DKIM and Dmarc pass.<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<span><br>
>> > IMHO it doesn't make any sense to check internal mail for SPF/DKIM/DMARC.<br>
>> > But if you insist, please send your opendmarc.conf for a review.<br>
<br>
> AuthservID <a href="http://carson.digitalhit.com" rel="noreferrer" target="_blank">carson.digitalhit.com</a><br>
</span>> TrustedAuthservIDs <a href="http://carson.digitalhit.com" rel="noreferrer" target="_blank">carson.digitalhit.com</a><br>
<br>
Ok, good. Does Amavis use the same AuthservID?<br></blockquote></div><br></div><div class="gmail_extra">Actually, no. As per this thread (<a href="https://www.skelleton.net/2015/03/21/how-to-eliminate-spam-and-protect-your-name-with-dmarc/#comment-11570">https://www.skelleton.net/2015/03/21/how-to-eliminate-spam-and-protect-your-name-with-dmarc/#comment-11570</a>), discussing Amavis eating some headers, the amavis AuthservID is amavis.local. They said: <br><br>"Amavis deletes the Authentication-Results headers if $myauthservid is
 the same as AuthservID in opendmarc.conf. They both default to the 
local hostname by default. To use both together set
<p>$myauthservid = “amavis.local”;</p>
<p>in /etc/amavis/conf.d/50-user, see <a href="http://lists.amavis.org/pipermail/amavis-users/2012-May/001527.html" rel="nofollow">http://lists.amavis.org/pipermail/amavis-users/2012-May/001527.html</a>"<br></p><br><br></div></div>