[postfix-users] ANN: Änderung der List-Policy: DMARC

Christian Bricart via postfix-users postfix-users at de.postfix.org
Do Aug 15 21:49:44 CEST 2013 

Am 15.08.2013 20:45, schrieb Patrick Ben Koetter via postfix-users:
> * Christian Bricart via postfix-users <christian at bricart.de>:
>> Am 13.08.2013 14:38, schrieb Patrick Ben Koetter via postfix-users:
>>> [..]
>>>
>>> Ihr erkennt es daran, dass der From:-Header oben jetzt immer den Autoren UND
>>> die Liste als Absender benennt. Diese Mail sollte folgende From:-Header haben:
>>>
>>>         Patrick Ben Koetter via postfix-users <postfix-users at de.postfix.org>
>>>
>>> Gleichzeitig wird ein Reply-To:-Header gesetzt:
>>>
>>>         Reply-To: Patrick Ben Koetter <p at sys4.de>
>>> [..]
>>
>> Hmm .. ich hab jetzt grade mal aus Interesse in so nen Header geschaut..
>> Da sind jetzt zwei/beide DKIM-Signature Header drin (natürlich an den
>> passen Stellen zwischen den Received Headern)
>>
>> Aber macht das Sinn, den Original vom potentiellen Absender
>> drinzulassen..? Weil der:
>>
>> a) doch jetzt eh kaputt respektive unnutz ist
>>
>> und
>>
>> b) birgt das nicht (potentiell) Probleme mehr als genau einen
>> "DKIM-Signature"-Header zu haben wenn man (<- ein Eingangsfilter) eine
>> Signatur verifizieren will und dann mehrere findet..?
>> Oder ist das definiert immer "von oben" zu lesen bis man einen findet
>> und alles darunter und dort in h=... spezifiziert zu überprüfen - und
>> das genau einmal..
>> Also nicht besser REPLACE statt INSERT?
> 
> <enter redwine>
> 
> DKIM Signaturen können in einem Stack übereinander geschrieben werden. Sie
> werden, wie Received:-Header, von oben nach unten ausgewertet.

ok - wenn das RFC dafür einen Array wie für Received spezifiziert hat..
;-) Also von Date: oder From: sollte man nur einen haben :)

> 
> Damit die DKIM-Signaturen von z.B. sys4.de nicht von de.postfix.org gekilled
> werden, sollte man die Betreffzeile nicht modifizieren und den Listenname
> prependen (<- super Deutsch) und auch keine Footer hinzufügen.

... trotzdem ist die original Signatur kaputt - weil (hoffentlich) auch
der From:-Header Teil der ursprünglichen Signatur ist/war..

> 
> Ich würde das sehr gerne ändern, fürchte aber den "heiligen Zorn der
> Mailingliste" wenn einige plötzlich nicht mehr den Listennamen in der
> Betreffzeile finden. Sauberer wäre es...
> 
> Mehr dazu auch hier: 
> <http://sys4.de/en/blog/2013/08/11/dkim-konforme-mailinglisten/>
> Da steht auch wie man Listen sehr stabil auf Basis des List-Id: filtert.

mache ich sowieso schon - ging das auch mal anders? ;-) SCNR

(..und andere - z.B. Newsletter - werden "cryptographisch verifiziert"
nach regex-Inhalten in der DKIM-Signatur gefiltert .. ;-))

Ich finde es echt schade, dass prominente Versender (Paypal, Amazon,
Google, $bankinstitut,.. ) die ja gerne "Täter" von Phishing-Angriffen
sind nicht öfter auf diese Features in ihren Mail-Headern hinweisen -
ich identifiziere Phishing-Mails - die überhaupt durchkommen - schon
daran, dass sie nicht in den passenden Unterordner sortiert wurden.. ;-)




Grüsse
  Christian

Mehr Informationen über die Mailingliste postfix-users