<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On 14 July 2017 at 16:05, Dominic Raferd <span dir="ltr"><<a href="mailto:dominic@timedicer.co.uk" target="_blank">dominic@timedicer.co.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div style="font-size:small"><br></div><div class="gmail_extra"><span class="gmail-"><br><div class="gmail_quote">On 14 July 2017 at 15:50, Christian Kivalo <span dir="ltr"><<a href="mailto:ml+opendmarc-users@valo.at" target="_blank">ml+opendmarc-users@valo.at</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-m_4551236215225729812gmail-"><br>
<br>
>My understanding is that for the latter behaviour you must have<br>
>policyd-spf<br>
>set to provide an 'Authentication-Results' header (opendmarc doesn't<br>
>understand the 'Received-SPF' header), and furthermore - if you are<br>
>using<br>
>postfix - you must add an initial 'dummy' header line before the<br>
>'check_policy_service unix:private/policy-spf' because this gets<br>
>stripped<br>
>out in the information passed to the opendmarc milter and otherwise it<br>
>therefore loses sight of the SPF header.<br>
><br>
>To test this, set 'SPFSelfValidate = false' in opendmarc.conf and see<br>
>if it<br>
>can still authenticate incoming mails.<br>
<br>
</span>I can't confirm this behavior, my opendmarc milter has SPFSelfValidate = false (the default) and I can see all headers added by the milters (postfix-policyd-spf-python + opendkim + opendmarc all adding their Authentication-Results header (on Debian 8).<br></blockquote></div><br></span><div>​It is a strange er 'feature' so although the end recipient sees all the headers the milter does not see the first added header​ - see <a href="https://incenp.org/notes/2016/postfix-policydspf-opendmarc.html" target="_blank">https://incenp.org/notes/2016/<wbr>postfix-policydspf-opendmarc.<wbr>html</a> and <a href="https://groups.google.com/forum/#%21topic/mailing.postfix.users/FyFdakjwZ-s" target="_blank">https://groups.google.com/<wbr>forum/#!topic/mailing.postfix.<wbr>users/FyFdakjwZ-s</a>. If Wietse says it's true, that's good enough for me - I have never tested it. Mind you this was in 2014, it might have been fixed since then.<br><br></div><div>In practice the SPF header is very rarely important, because most senders with an enforced DMARC policy use DKIM correctly.<br></div></div></div></blockquote><div><br><div style="font-size:small;display:inline" class="gmail_default">​Sorry I now see this behaviour was fixed in October 2014 - it should not now be necessary to add a dummy header for Postfix 2.11.2+ (and some backported versions) - see <a href="http://www.postfix.org/announcements/postfix-2.11.2.html">http://www.postfix.org/announcements/postfix-2.11.2.html</a>. My apologies for sowing any confusion.​</div> </div></div><br></div></div>