Mail via IMAP standaard on hold

[darthf1]

Beste forumleden,

Sinds kort heb ik mijn eigen mailserver draaien op mijn DS 413j. Middels deze pagina geconfigureerd met spf, dkim en dmarc en heb een relay ingesteld naar de smtp van ziggo. Als ik via roundcube een mail verstuur gaat alles goed en zie ik via de log dat ik een pass heb op de spf, dkim en dmarc checks.

Op mijn telefoon heb ik de mailstation geconfigureerd middels IMAP en kan zonder problemen mails ontvangen, echter bij het versturen komen de mails standaard op "on hold", als ik de log goed interpreteer lijkt het om een dmarc fail te gaan. Ik kom er echter zelf niet helemaal uit, heeft iemand hier meer ervaring mee? Heb hieronder twee logs toegevoegd, één van de mail via roundcube en één van de mail via imap.

Mail via roundcube

Jan  8 10:05:30 Diskstation postfix/smtpd[7187]: connect from localhost[127.0.0.1]
Jan  8 10:05:31 Diskstation postfix/smtpd[7187]: Anonymous TLS connection established from localhost[127.0.0.1]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
Jan  8 10:05:32 Diskstation postfix/smtpd[7187]: 32F5747661BD: client=localhost[127.0.0.1], sasl_method=LOGIN, sasl_username=xxx
Jan  8 10:05:32 Diskstation postfix/cleanup[7195]: 32F5747661BD: message-id=<3d68092cab9938aebeec022e8ae57f11@smtp.xxx.nl>
Jan  8 10:05:32 Diskstation postfix/qmgr[30359]: 32F5747661BD: from=<xxx@xxx.nl>, size=389, nrcpt=1 (queue active)
Jan  8 10:05:33 Diskstation postfix/smtp[7197]: 32F5747661BD: to=<xxx@gmail.com>, relay=smtp.ziggo.nl[212.54.42.9]:25, delay=1.2, delays=0.67/0.36/0.11/0.08, dsn=2.0.0, status=sent (250 OK id=1aHSzF-0005Kp-7h)
Jan  8 10:05:33 Diskstation postfix/qmgr[30359]: 32F5747661BD: removed
Jan  8 10:05:34 Diskstation postfix/smtpd[7187]: disconnect from localhost[127.0.0.1]
Jan  8 10:05:35 Diskstation postfix/smtpd[7211]: connect from mail-wm0-f43.google.com[74.125.82.43]
Jan  8 10:05:36 Diskstation postfix/smtpd[7211]: Anonymous TLS connection established from mail-wm0-f43.google.com[74.125.82.43]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Jan  8 10:05:41 Diskstation postfix/policy-spf[7223]: Policy action=PREPEND Received-SPF: pass (gmail.com ... _spf.google.com: Sender is authorized to use 'xxx+caf_=xxx=xxx.nl@gmail.com' in 'mfrom' identity (mechanism 'include:_netblocks.google.com' matched)) receiver=Diskstation; identity=mailfrom; envelope-from="xxx+caf_=xxx=xxx.nl@gmail.com"; helo=mail-wm0-f43.google.com; client-ip=74.125.82.43
Jan  8 10:05:41 Diskstation postfix/smtpd[7211]: D53F047661BA: client=mail-wm0-f43.google.com[74.125.82.43]
Jan  8 10:05:41 Diskstation postfix/cleanup[7195]: D53F047661BA: message-id=<3d68092cab9938aebeec022e8ae57f11@smtp.xxx.nl>
Jan  8 10:05:42 Diskstation opendmarc[10511]: D53F047661BA: xxx.nl pass
Jan  8 10:05:42 Diskstation postfix/qmgr[30359]: D53F047661BA: from=<xxx+caf_=xxx=xxx.nl@gmail.com>, size=3716, nrcpt=1 (queue active)
Jan  8 10:05:42 Diskstation postfix/smtpd[7211]: disconnect from mail-wm0-f43.google.com[74.125.82.43]
Jan  8 10:05:43 Diskstation dovecot: lda(xxx): sieve: msgid=<3d68092cab9938aebeec022e8ae57f11@smtp.xxx.nl>: stored mail into mailbox 'INBOX'
Jan  8 10:05:43 Diskstation postfix/local[7259]: D53F047661BA: to=<xxx@xxx.nl>, relay=local, delay=7.2, delays=6.1/0.27/0/0.78, dsn=2.0.0, status=sent (delivered to command: /var/packages/MailServer/target/libexec/dovecot/dovecot-lda -f "$SENDER" -a "$RECIPIENT")
Jan  8 10:05:43 Diskstation postfix/qmgr[30359]: D53F047661BA: removed

Mail via IMAP

Jan  8 10:12:57 Diskstation postfix/smtpd[7921]: connect from ipxxx
Jan  8 10:12:58 Diskstation postfix/smtpd[7921]: Anonymous TLS connection established from ipxxx: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
Jan  8 10:12:59 Diskstation postfix/smtpd[7921]: 6DDED47661BA: client=ipxxx, sasl_method=PLAIN, sasl_username=xxx
Jan  8 10:12:59 Diskstation postfix/cleanup[7932]: 6DDED47661BA: message-id=<DAC732AD-D31D-4639-9BCE-D64235C153C9@xxx.nl>
Jan  8 10:12:59 Diskstation opendmarc[10511]: 6DDED47661BA: xxx.nl fail
Jan  8 10:12:59 Diskstation postfix/cleanup[7932]: 6DDED47661BA: milter-hold: END-OF-MESSAGE from ipxxx: milter triggers HOLD action; from=<xxx@xxx.nl> to=<xxx@gmail.com> proto=ESMTP helo=<ipxxx>
Jan  8 10:13:00 Diskstation postfix/smtpd[7921]: disconnect from ipxxx

[Briolet]

Heb je spf goed geconfigureerd? Als je via een relayserver verzend, is het niet jouw Ip maar die van Ziggo's server welke je moet opgeven.

Mijn record ziet er als volgt uit:

Code: [Selecteer]

"v=spf1 ip4:62.179.121.0/24 ip4:213.46.255.0/24 ip4:212.54.32.0/19 ?include:ziggo.nl -all"
Voldoende was waarschijnlijk:

Code: [Selecteer]

"v=spf1 ?include:ziggo.nl -all"of

Code: [Selecteer]

"v=spf1 ip4:212.54.42.167  ?include:ziggo.nl -all"
Maar ik will bij voorkeur voorkomen dat de check via de include gebeurt. Ik heb de include toegevoegd omdat Ziggo die beheerd en mochten ze de IP adressen van hun SMTP veranderen, dan blijft mijn record werken.

Maar als je ok DKIM goed geconfigureerd hebt, dan krijg je dagelijks een mail met de adressen die dkim checken en zie je ook daar of je mail goed geconfigureerd was. Een FPS fail zie je dan direct.

[darthf1]

Bedankt voor je reactie. DNS records zijn als volgt ingesteld:

v=spf1 include:ziggo.nl -all
v=DMARC1; p=quarantine; pct=100; rua=mailto:xxx@xxx.nl
v=DKIM1;
p=publickey; t=s

[Briolet]

Die records zijn goed volgens mij.

De fail in je uitgaande mail kan geen kwaad. De mail zou desondanks verzonden moeten worden. Ook uitgaande mail moet dmarc gecontroleerd worden. Dat is blijkbaar onderdeel van het protocol. Met Roundcube wordt het dan vanaf localhost verstuurd. Deze staat op een whilte list. Met je PC komt die niet op een whitelist en krijg je een fail in uitgaande mail. Hij wordt desondanks verzonden en de ontvangende partij krijgt wel een 'pass' als ze een test doen.

Ik heb er indertijd, bij de introductie van dmarc in mailserver wel een bugmelding van gemaakt. Ik heb hierover op dit forum (en op het engelse forum) een paar meldingen gemaakt. Ook met editen van de config files in een poging om mijn PC of LAN op de whitelist te krijgen, heb ik dat niet opgelost gekregen.

Zelf vind ik het storend als de ontvanger een fail in de header ziet. Ik heb daarom in mijn locale dns record ook een DMARC opgenomen, maar nu met een p=none. Dan ziet de ontvangende partij in elk geval geen 'fail' in mijn header. Ik zie dat dit nog steeds gebeurd. Dit is storend maar geen reden voor het niet versturen. Althans niet als de reden een falende spf is. Bij een foute dkim kan dat anders zijn.

---

Bij mij ziet het log er overigens weer iets anders uit dan bij jou, als ik via Apple Mail vanaf mijn lan verstuur.

Code: [Selecteer]

Jan  8 13:15:45 GedeeldeData postfix/smtpd[14643]: postfix: SLIBUserRealNameGet(user=riolet) failed
Jan  8 13:15:45 GedeeldeData postfix/smtpd[14643]: D467A6422: client=iMac-DDR2.local[10.0.1.20], sasl_method=PLAIN, sasl_username=Briolet
Jan  8 13:15:45 GedeeldeData postfix/cleanup[14650]: D467A6422: hold: header Received: from imac-ddr2.local (iMac-DDR2.local [10.0.1.20])??(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))??(No client certificate requested)??(Authenticated sender: Briolet)??by ge from iMac-DDR2.local[10.0.1.20]; from=<info@mijndomein.nl> to=<Briolet@gmail.com> proto=ESMTP helo=<imac-ddr2.local>
Jan  8 13:15:45 GedeeldeData postfix/cleanup[14650]: D467A6422: message-id=<937499DD-D804-45B5-992E-6111667426A1@mijndomein.nl>
Jan  8 13:15:45 GedeeldeData opendmarc[19337]: D467A6422: mijndomein.nl fail   <————————
Jan  8 13:15:51 GedeeldeData postfix/smtp[14680]: Untrusted TLS connection established to smtp.ziggo.nl[212.54.42.9]:587: TLSv1.2 with cipher DHE-RSA-AES256-SHA256 (256/256 bits)
Jan  8 13:15:52 GedeeldeData postfix/smtp[14680]: 14F0E2378A: to=<Briolet@gmail.com>, relay=smtp.ziggo.nl[212.54.42.9]:587, delay=6.3, delays=5.4/0.07/0.39/0.43, dsn=2.0.0, status=sent (250 OK id=1aHVxQ-00088O-0n)
Jan  8 13:15:52 GedeeldeData postfix/qmgr[19310]: 14F0E2378A: removed
Ik begin altijd standaard met een fail in 'SLIBUserRealNameGet' omdat hij de eerste letter van mijn inlognaam weglaat. Dat gebeurd met elke inlognaam. Dat moet iets tussen de Mac en de Nas zijn. Dan doet hij een autenticatie via 'sasl_method' en dat gaat wel altijd goed. (Als iemand hier een oplossing voor heeft, hoor ik he graag)

[Briolet]

Ik zie dat mijn log net iets anders is als ik een mail van buiten mijn netwerk verstuur:

Code: [Selecteer]

Jan  8 14:09:23 GedeeldeData postfix/smtpd[21861]: connect from 3E91CE6A.cm-13.dynamic.ziggo.nl[62.145.206.106]
Jan  8 14:09:24 GedeeldeData postfix/smtpd[21861]: Anonymous TLS connection established from 3e91ce6a.cm-13.dynamic.ziggo.nl[62.145.206.106]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
Jan  8 14:09:24 GedeeldeData postfix/smtpd[21861]: postfix: SLIBUserRealNameGet(user=riolet) failed
Jan  8 14:09:24 GedeeldeData postfix/smtpd[21861]: 783E7182BA: client=3E91CE6A.cm-13.dynamic.ziggo.nl[62.145.206.106], sasl_method=PLAIN, sasl_username=Briolet
Jan  8 14:09:24 GedeeldeData postfix/cleanup[21868]: 783E7182BA: hold: header Received: from [10.43.58.161] (3E91CE6A.cm-13.dynamic.ziggo.nl [62.145.206.106])??(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))??(No client certificate requested)??(Authenticated sende from 3E91CE6A.cm-13.dynamic.ziggo.nl[62.145.206.106]; from=<Briolet@mijndomein.nl> to=<eric.walch13@gmail.com> proto=ESMTP helo=<[10.43.58.161]>
Jan  8 14:09:24 GedeeldeData postfix/cleanup[21868]: 783E7182BA: message-id=<9B4EE4DF-10C4-4BFC-A373-2B0A8DC93685@mijndomein.nl>
Jan  8 14:09:24 GedeeldeData opendmarc[19337]: 783E7182BA: mijndomein.nl fail
Jan  8 14:09:28 GedeeldeData postfix/qmgr[19310]: 88CE042FE6: from=<Briolet@mijndomein.nl>, size=3138, nrcpt=1 (queue active)
Jan  8 14:09:30 GedeeldeData postfix/smtp[21883]: 88CE042FE6: to=<Briolet@gmail.com>, relay=smtp.ziggo.nl[212.54.42.9]:587, delay=6.5, delays=4.4/0.12/0.38/1.6, dsn=2.0.0, status=sent (250 OK id=1aHWnK-00036x-Px)
Jan  8 14:09:30 GedeeldeData postfix/qmgr[19310]: 88CE042FE6: removed
Jan  8 14:10:24 GedeeldeData postfix/smtpd[21861]: disconnect from 3E91CE6A.cm-13.dynamic.ziggo.nl[62.145.206.106]

Nu begint het wel met een "connect from" en eindigt met een "disconnect from". Vanaf de LAN wordt dit niet gelogd.

[Briolet]

Weet je eigenlijk ook zeker dat het met roudcube wel goed gaat, en hij niet gewoon een 'pass' geeft omdat hij van de localhost verzend?

GMail test in elk geval DMARC, dus in de header van een mailtje naar je gmail account moet je het volgende terugvinden:

Code: [Selecteer]

Authentication-Results: mx.google.com; spf=pass (google.com: domain of xxxx@jouwdomein.nl designates 212.54.42.166 as permitted sender) smtp.mailfrom=xxxx@jouwdomein.nl; dkim=pass header.i=@jouwdomein.nl; dmarc=pass (p=QUARANTINE dis=NONE) header.from=jouwdomein.nl

NB '212.54.42.166' is het IP van de zendende Ziggo smtp server. Bij mij altijd dezelfde, maar dat kan regionaal misschien verschillen.

Vind je ook hier een pass, dan mag je ervan uit gaan dat je dkim etc goed hebt staan.

[darthf1]

Bedankt weer voor je reacties. Volgens Google klopt het allemaal:

Received-SPF: pass (google.com: domain of xxx@xxx.nl designates 212.54.42.164 as permitted sender) client-ip=212.54.42.164;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of xxx@xxx.nl designates 212.54.42.164 as permitted sender) smtp.mailfrom=xxx@xxx.nl;
       dkim=pass header.i=@xxx.nl;
       dmarc=pass (p=QUARANTINE dis=NONE) header.from=xxx.nl

[Briolet]

Dat deel ziet er in ieder geval goed uit. Dus dat deel van de configuratie kun je als correct beschouwen.

Op het engelse forum is hierover ook wat geschreven. Het begint met een bug die inmiddels wel opgelost is.Misschien vind je er nog iets bruikbaars tussen.

[darthf1]

Ik lees veel over de antivirus die je aan en uit moet zetten. Standaard staat bij mij de antivirus uit, maar als ik die aan zet wordt de mail miraculeus verzonden.

Onderstaande gebeurd bij aanzetten van de antivirus.

Jan  8 23:00:52 Diskstation MailScanner[1625]: MailScanner E-Mail Virus Scanner version 4.84.5 starting...
Jan  8 23:00:53 Diskstation MailScanner[1625]: Reading configuration file /var/packages/MailServer/target/etc/MailScanner/MailScanner.conf
Jan  8 23:00:53 Diskstation MailScanner[1625]: Reading configuration file /var/packages/MailServer/target/etc/MailScanner/conf.d/README
Jan  8 23:00:53 Diskstation MailScanner[1625]: Read 869 hostnames from the phishing whitelist
Jan  8 23:00:54 Diskstation MailScanner[1625]: Read 3531 hostnames from the phishing blacklists
Jan  8 23:01:00 Diskstation MailScanner[1625]: Using SpamAssassin results cache
Jan  8 23:01:00 Diskstation MailScanner[1625]: Connected to SpamAssassin cache database
Jan  8 23:01:06 Diskstation opendkim[825]: OpenDKIM Filter: mi_stop=1
Jan  8 23:01:06 Diskstation opendkim[825]: OpenDKIM Filter v2.10.0 terminating with status 0, errno = 0
Jan  8 23:01:07 Diskstation opendkim[1656]: OpenDKIM Filter v2.10.0 starting ()
Jan  8 23:01:12 Diskstation postfix/postfix-script[1674]: refreshing the Postfix mail system
Jan  8 23:01:12 Diskstation postfix/master[25324]: reload -- version 2.9.3, configuration /var/packages/MailServer/target/etc
Jan  8 23:01:13 Diskstation postfix/anvil[1411]: statistics: max connection rate 2/86400s for (587:192.168.2.1) at Jan  8 22:59:21
Jan  8 23:01:13 Diskstation postfix/anvil[1411]: statistics: max connection count 1 for (587:192.168.2.1) at Jan  8 22:58:27
Jan  8 23:01:13 Diskstation postfix/anvil[1411]: statistics: max sasl_sender rate 2/86400s for (xxx) at Jan  8 22:59:23
Jan  8 23:01:13 Diskstation postfix/anvil[1411]: statistics: max cache size 1 at Jan  8 22:58:27

Daarna wordt onderstaande actie uitgevoerd

Jan  8 23:01:40 Diskstation MailScanner[1625]: Connected to Processing Attempts Database
Jan  8 23:01:40 Diskstation MailScanner[1625]: Found 0 messages in the Processing Attempts Database
Jan  8 23:01:40 Diskstation MailScanner[1625]: Your "Incoming Work Directory" should be specified as an absolute path, not including any links. But I will work okay anyway.
Jan  8 23:01:40 Diskstation MailScanner[1625]: Using locktype = flock
Jan  8 23:01:42 Diskstation MailScanner[1625]: New Batch: Scanning 2 messages, 4327 bytes
Jan  8 23:01:45 Diskstation MailScanner[1625]: Virus and Content Scanning: Starting
Jan  8 23:01:46 Diskstation MailScanner[1625]: ERROR: Could not lookup : Servname not supported for ai_socktype
Jan  8 23:01:46 Diskstation MailScanner[1625]: Requeue: 4FF2B4762107.A6313 to 77D4A4762181
Jan  8 23:01:46 Diskstation MailScanner[1625]: Requeue: 66B4F4762093.A93DF to E81F34762107
Jan  8 23:01:46 Diskstation MailScanner[1625]: Uninfected: Delivered 2 messages
Jan  8 23:01:46 Diskstation postfix/qmgr[1690]: 77D4A4762181: from=<xxx@xxx.nl>, size=831, nrcpt=1 (queue active)
Jan  8 23:01:48 Diskstation postfix/qmgr[1690]: E81F34762107: from=<xxx@xxx.nl>, size=831, nrcpt=1 (queue active)
Jan  8 23:01:48 Diskstation postfix/smtp[1740]: 77D4A4762181: to=<xxx@gmail.com>, relay=smtp.ziggo.nl[212.54.34.9]:25, delay=146, delays=144/1.6/0.2/0.16, dsn=2.0.0, status=sent (250 OK id=1aHf6S-0000DO-QA)
Jan  8 23:01:48 Diskstation postfix/qmgr[1690]: 77D4A4762181: removed
Jan  8 23:01:49 Diskstation MailScanner[1625]: Deleted 2 messages from processing-database
Jan  8 23:01:49 Diskstation postfix/smtp[1740]: E81F34762107: to=<xxx@gmail.com>, relay=smtp.ziggo.nl[212.54.34.9]:25, delay=201, delays=199/0.62/0.92/0.09, dsn=2.0.0, status=sent (250 OK id=1aHf6T-0000Dc-TA)
Jan  8 23:01:50 Diskstation postfix/qmgr[1690]: E81F34762107: removed

Gmail vindt het ook weer allemaal prima

Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of xxx@xxx.nl designates 212.54.42.168 as permitted sender) smtp.mailfrom=xxx@xxx.nl;
       dkim=pass header.i=@xxx.nl;
       dmarc=pass (p=QUARANTINE dis=NONE) header.from=xxx.nl

Als ik dan een nieuwe mail stuur met de antivirus aan, lukt het ineens wel! Ondanks de dmarc error.

Jan  8 23:06:51 Diskstation postfix/smtpd[2120]: connect from unknown[192.168.2.1]
Jan  8 23:06:54 Diskstation postfix/smtpd[2120]: Anonymous TLS connection established from unknown[192.168.2.1]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
Jan  8 23:06:59 Diskstation postfix/smtpd[2120]: 958634760070: client=unknown[192.168.2.1], sasl_method=PLAIN, sasl_username=xxx
Jan  8 23:07:00 Diskstation postfix/cleanup[2142]: 958634760070: hold: header Received: from android-7626fc896a121310 (unknown [192.168.2.1])??(using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))??(No client certificate requested)??(Authenticated sender: xxx)??by f from unknown[192.168.2.1]; from=<xxx@xxx.nl> to=<xxx@gmail.com> proto=ESMTP helo=<android-7626fc896a121310>
Jan  8 23:07:00 Diskstation postfix/cleanup[2142]: 958634760070: message-id=<666A4449-E676-4800-9A90-E4B0F88CA68B@xxx.nl>
Jan  8 23:07:01 Diskstation opendmarc[10511]: 958634760070: xxx.nl fail
Jan  8 23:07:01 Diskstation postfix/smtpd[2120]: disconnect from unknown[192.168.2.1]
Jan  8 23:07:06 Diskstation MailScanner[1625]: New Batch: Scanning 1 messages, 2432 bytes
Jan  8 23:07:11 Diskstation MailScanner[1625]: Virus and Content Scanning: Starting
Jan  8 23:07:12 Diskstation MailScanner[1625]: ERROR: Could not lookup : Servname not supported for ai_socktype
Jan  8 23:07:13 Diskstation MailScanner[1625]: Requeue: 958634760070.A5A17 to 6B3474762139
Jan  8 23:07:13 Diskstation MailScanner[1625]: Uninfected: Delivered 1 messages
Jan  8 23:07:13 Diskstation postfix/qmgr[1690]: 6B3474762139: from=<xxx@xxx.nl>, size=1164, nrcpt=1 (queue active)
Jan  8 23:07:14 Diskstation MailScanner[1625]: Deleted 1 messages from processing-database
Jan  8 23:07:15 Diskstation postfix/smtp[2166]: 6B3474762139: to=<xxx@gmail.com>, relay=smtp.ziggo.nl[212.54.42.9]:25, delay=17, delays=16/1.3/0.11/0.06, dsn=2.0.0, status=sent (250 OK id=1aHfBj-0002Ah-AV)
Jan  8 23:07:15 Diskstation postfix/qmgr[1690]: 6B3474762139: removed

[Briolet]

Ik heb idd ook de virusscanner aan. Ik had alleen alle log-regels van de virusscanner gewist in mijn logs hierboven. (In de veronderstelling dat dit irrelevant was) Ik zie in je log, dat het aanzetten van de virusscanner ook OpenDkim stopt en weer start. Misschien dat ook deze actie voldoende was. Hoe dan ook, zit er ergens een bug.

De dmarc-fail die over blijft is een bug die ik als ticket #629264 ingediend heb. Het scannen van de mail bij zenden is weliswaar onderdeel van het protocol, maar MailServer zou automatisch de verzendende PC's moeten whitelisten.