mail.meine-domain.de ist der Hostname der mailcow. Darüber werden keine regulären Mails verschickt. Das geschieht nur über meine-domain.de und zwei weitere Domains.
So weit ich weiß, sollten extern normalerweise nur Watchdog-Benachrichtigungen den Hostname als Sender-Domain haben, die ja per smtp-cli verschickt werden und postfix umgehen? Für diesen Zweck hat der Hostname/mail-Subdomain prophylaktisch einen eigenen “v=spf1 a -all” Eintrag. Die Watchdog-Benachrichtigungen, die dann auf einer anderen mailcow ankommen, sind dadurch spf=pass. Der Hinweis eingangs diesbezüglich sollte nur klarstellen, dass die Watchdog-Benachrichtigungen nicht an hotmail oder iphmx gehen und dadurch die Ursache der seltsamen DMARC-Reports sind. Einen entsprechenden Hinweis hatte ich woanders gelesen, aber möglicherweise nicht richtig verstanden.
In Rspamd sehe ich mit der Ausnahme eines Rejects einer Spammail von Hotmail nur die gleichen Mails wie im Mailarchiv und nichts ohne envelope_from und auch nichts mit dem Hostnamen der mailcow. Ist insgesamt auch sehr überschaubar. Mit Hotmail findet nicht besonders viel Kommunikation statt. Kann es sein, dass Rspmand oder die mailcow unter bestimmten Bedingungen irgendeine Fehlermeldung unter dem eigenen Hostname an den Versender schickt? Aber selbst wenn das aus irgendeinem Grund geschehen sollte, müsste es aufgrund des obigen Eintrags bei spf eigentlich pass geben.
In dem seltsamen Beispielreport erscheint der Hostname unten als Sender-Domain, was bei allen korrekten DMARC-Reports nicht der Fall ist. Dort steht dann überall immer nur korrekt meine-domain.de. Aber selbst wenn abseits der Watchdogs etwas unter mail.meine-domain.de verschickt würde, müsste es spf=pass sein, was hier nicht der Fall ist.
Unter dem Strich ist mir Hotmail im Speziellen nicht wichtig. Ich habe nur bedenken, dass diese Fehler der Reputation schaden und das ggf. Auswirkungen auf andere wichtigere Microsoft-Empfängerdomains haben könnte.