<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Apr 21, 2017 at 1:49 AM, Juri Haberland <span dir="ltr"><<a href="mailto:juri@sapienti-sat.org" target="_blank">juri@sapienti-sat.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">Ian Evans wrote:<br>
> On Thu, Apr 20, 2017 at 5:23 PM, Juri Haberland <<a href="mailto:juri@sapienti-sat.org">juri@sapienti-sat.org</a>><br>
> wrote:<br>
<br>
</span><span class="gmail-">>> >> > IMHO it doesn't make any sense to check internal mail for<br>
>> SPF/DKIM/DMARC.<br>
>> >> > But if you insist, please send your opendmarc.conf for a review.<br>
>><br>
>> > AuthservID <a href="http://carson.digitalhit.com" rel="noreferrer" target="_blank">carson.digitalhit.com</a><br>
>> > TrustedAuthservIDs <a href="http://carson.digitalhit.com" rel="noreferrer" target="_blank">carson.digitalhit.com</a><br>
>><br>
>> Ok, good. Does Amavis use the same AuthservID?<br>
><br>
> Actually, no. As per this thread (<br>
> <a href="https://www.skelleton.net/2015/03/21/how-to-eliminate-spam-and-protect-your-name-with-dmarc/#comment-11570" rel="noreferrer" target="_blank">https://www.skelleton.net/<wbr>2015/03/21/how-to-eliminate-<wbr>spam-and-protect-your-name-<wbr>with-dmarc/#comment-11570</a>),<br>
> discussing Amavis eating some headers, the amavis AuthservID is<br>
> amavis.local. They said:<br>
><br>
> "Amavis deletes the Authentication-Results headers if $myauthservid is the<br>
> same as AuthservID in opendmarc.conf. They both default to the local<br>
> hostname by default. To use both together set<br>
><br>
</span>> $myauthservid = ?amavis.local?;<br>
<br>
If you use Amavis to do the DKIM check, it doesn't matter if it deletes the AR<br>
header, as there shouldn't be one. The order of filters/milters must be:<br>
Amavis -> OpenDMARC, as OpenDMARC needs to check the AR header inserted by<br>
Amavis. In order to do that, the AuthservID used by Amavis needs to be in<br>
TrustedAuthservIDs. So either set $myauthservid to <a href="http://carson.digitalhit.com" rel="noreferrer" target="_blank">carson.digitalhit.com</a> in<br>
50-user, or add amavis.local to TrustedAuthservIDs in opendmarc.conf.<br>
<br></blockquote><div><br></div><div>Sorry for the delay in responding. At my current location I only have wifi when the missus visits her relative in the hospital. Don't think Amavis is handling DKIM through it's own mechanisms, that is, I didn't alter any conf files. OpenDKIM is installed directly as per:<br><br><a href="https://www.skelleton.net/2015/03/21/how-to-eliminate-spam-and-protect-your-name-with-dmarc/#dkim">https://www.skelleton.net/2015/03/21/how-to-eliminate-spam-and-protect-your-name-with-dmarc/#dkim</a><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Btw:<br>
What software does the SPF check?<br>
<div class="gmail-HOEnZb"><div class="gmail-h5"><br></div></div></blockquote><div><code class="gmail-bash gmail-plain">postfix-policyd-spf-python<br><br></code></div><div>Again, the various test autoresponders and gmail show passes for both dkim and spf. when I send to them and received emails sent to my domain show passes as well.<br><br></div><div>Will change TrustedAuthservIDsas per your suggestion.<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="gmail-HOEnZb"><div class="gmail-h5">
<br>
  Juri<br>
<br>
<br>
______________________________<wbr>_________________<br>
opendmarc-users mailing list<br>
<a href="mailto:opendmarc-users@trusteddomain.org">opendmarc-users@trusteddomain.<wbr>org</a><br>
<a href="http://www.trusteddomain.org/mailman/listinfo/opendmarc-users" rel="noreferrer" target="_blank">http://www.trusteddomain.org/<wbr>mailman/listinfo/opendmarc-<wbr>users</a><br>
</div></div></blockquote></div><br></div></div>