<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Fri, Apr 21, 2017 at 3:53 PM, Ian Evans <span dir="ltr"><<a href="mailto:dheianevans@gmail.com" target="_blank">dheianevans@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span>On Fri, Apr 21, 2017 at 1:49 AM, Juri Haberland <span dir="ltr"><<a href="mailto:juri@sapienti-sat.org" target="_blank">juri@sapienti-sat.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-m_5186414246689269509m_-2528465621463385534gmail-">Ian Evans wrote:<br>
> On Thu, Apr 20, 2017 at 5:23 PM, Juri Haberland <<a href="mailto:juri@sapienti-sat.org" target="_blank">juri@sapienti-sat.org</a>><br>
> wrote:<br>
<br>
</span><span class="gmail-m_5186414246689269509m_-2528465621463385534gmail-">>> >> > IMHO it doesn't make any sense to check internal mail for<br>
>> SPF/DKIM/DMARC.<br>
>> >> > But if you insist, please send your opendmarc.conf for a review.<br>
>><br>
>> > AuthservID <a href="http://carson.digitalhit.com" rel="noreferrer" target="_blank">carson.digitalhit.com</a><br>
>> > TrustedAuthservIDs <a href="http://carson.digitalhit.com" rel="noreferrer" target="_blank">carson.digitalhit.com</a><br>
>><br>
>> Ok, good. Does Amavis use the same AuthservID?<br>
><br>
> Actually, no. As per this thread (<br>
> <a href="https://www.skelleton.net/2015/03/21/how-to-eliminate-spam-and-protect-your-name-with-dmarc/#comment-11570" rel="noreferrer" target="_blank">https://www.skelleton.net/2015<wbr>/03/21/how-to-eliminate-spam-a<wbr>nd-protect-your-name-with-dmar<wbr>c/#comment-11570</a>),<br>
> discussing Amavis eating some headers, the amavis AuthservID is<br>
> amavis.local. They said:<br>
><br>
> "Amavis deletes the Authentication-Results headers if $myauthservid is the<br>
> same as AuthservID in opendmarc.conf. They both default to the local<br>
> hostname by default. To use both together set<br>
><br>
</span>> $myauthservid = ?amavis.local?;<br>
<br>
If you use Amavis to do the DKIM check, it doesn't matter if it deletes the AR<br>
header, as there shouldn't be one. The order of filters/milters must be:<br>
Amavis -> OpenDMARC, as OpenDMARC needs to check the AR header inserted by<br>
Amavis. In order to do that, the AuthservID used by Amavis needs to be in<br>
TrustedAuthservIDs. So either set $myauthservid to <a href="http://carson.digitalhit.com" rel="noreferrer" target="_blank">carson.digitalhit.com</a> in<br>
50-user, or add amavis.local to TrustedAuthservIDs in opendmarc.conf.<br>
<br></blockquote><div><br></div></span><div>Sorry for the delay in responding. At my current location I only have wifi when the missus visits her relative in the hospital. Don't think Amavis is handling DKIM through it's own mechanisms, that is, I didn't alter any conf files. OpenDKIM is installed directly as per:<br><br><a href="https://www.skelleton.net/2015/03/21/how-to-eliminate-spam-and-protect-your-name-with-dmarc/#dkim" target="_blank">https://www.skelleton.net/2015<wbr>/03/21/how-to-eliminate-spam-<wbr>and-protect-your-name-with-<wbr>dmarc/#dkim</a><br></div><span><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Btw:<br>
What software does the SPF check?<br>
<div class="gmail-m_5186414246689269509m_-2528465621463385534gmail-HOEnZb"><div class="gmail-m_5186414246689269509m_-2528465621463385534gmail-h5"><br></div></div></blockquote></span><div><code class="gmail-m_5186414246689269509m_-2528465621463385534gmail-bash gmail-m_5186414246689269509m_-2528465621463385534gmail-plain">postfix-policyd-spf-python<br><br></code></div><div>Again, the various test autoresponders and gmail show passes for both dkim and spf. when I send to them and received emails sent to my domain show passes as well.<br><br></div><div>Will change TrustedAuthservIDsas per your suggestion.<br></div><span><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="gmail-m_5186414246689269509m_-2528465621463385534gmail-HOEnZb"><div class="gmail-m_5186414246689269509m_-2528465621463385534gmail-h5">
  <br></div></div></blockquote></span></div></div></div></blockquote></div><br><br></div><div class="gmail_extra">Here's the current state of affairs after making the recommended changes:<br><br></div><div class="gmail_extra">Incoming email:<br><br></div><div class="gmail_extra">FROM Gmail TO my site: Headers show dkim, spf and dmarc pass<br></div><div class="gmail_extra">FROM mysite to mysite: Headers show dkim pass. Dmarc fail, no spf headers present.<br><br></div><div class="gmail_extra">Safe to assume the internal mail is failing because a dmarc pass requires dkim and SPF passes and spf isn't present?<br><br></div><div class="gmail_extra">Outgoing email:<br></div><div class="gmail_extra">FROM my site to Gmail: Headers show DKIM pass, SPF pass, DMARC pass<br><br></div><div class="gmail_extra">Sending email to test at <a href="http://www.appmaildev.com/en/dkim">http://www.appmaildev.com/en/dkim</a> shows spf pass, dkim pass and dmarc fail. If passed on gmail, faulty implementation on this site?<br><br></div><div class="gmail_extra"><a href="mailto:autoreply@dmarctest.org">autoreply@dmarctest.org</a>: dkim pass, spf pass, dmarc pass<br></div><div class="gmail_extra"><br></div><div class="gmail_extra"><br></div></div>