DMARC policy is niet correct

Ik heb e-mail via een eigen domein ingesteld. Alhoewel ik via de e-mailtest van internet.nl 100% krijg, hebben ze problemen met de DMARC policy.

Uitslag:

De domeinnaam van het mailadres na rua= en/of ruf= bevat geen (geldig) autorisatie-record om DMARC-rapporten te ontvangen voor de geteste domeinnaam.

En de DMARC-record (resolven via een CNAME) is:

v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@soverin.net; rf=afrf; pct=100; ri=86400; adkim=r; aspf=s	

Om te testen heb ik een mailtje gestuurd naar dmarc@soverin.net, maar dat zal wel een correct adres zijn.

Het DMARC record wordt via een CNAME geresolved naar een TXT record, maar dat lijkt dus goed te gaan.

Wat is hier aan de hand? Heeft internet.nl het verkeerd?

Als je een e-mailadres in de rua of ruf van het DMARC TXT record zet dat niet binnen dat domein valt, dan moet er ook een record toegevoegd worden aan het domain van dat e-mailadres.
Voorbeeld:

example.nl. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.org; fo=0; adkim=r; aspf=r; pct=100; rf=afrf; ri=86400; sp=quarantine"

example.nl._report._dmarc.example.org.  IN TXT "v=DMARC1;"

Hier zie je dat example.nl wil dat de DMARC rapporten afgeleverd worden bij example.ORG en daarom moet in de DNS van example.ORG een record opgenomen worden. Dit is beschreven in paragraaf 7.1 van RFC 7489. Mocht je het e-mailadres dmarc@example.nl in de rua zetten, dan is dat extra TXT record niet nodig.

In het geval van rua bestemming @soverin.net zijn er twee DMARC report wildcard records gemaakt. Eentje die eindigt op een ; en eentje zonder. De record zonder is ongeldig en moet Soverin verwijderen.

$ dig foo.nl._report._dmarc.soverin.net txt

;; ANSWER SECTION:
foo.nl._report._dmarc.soverin.net. 60 IN TXT	"v=DMARC1;"
foo.nl._report._dmarc.soverin.net. 60 IN TXT	"v=DMARC1"

@doekman Check nog eens

Het werkt nu. Soverin heeft het dus opgelost.

Dit topic is 24 uur na het laatste antwoord automatisch gesloten. Nieuwe antwoorden zijn niet meer toegestaan.