[postfix-users] Postfix (AMaViS) DKIM und Mailman

Patrick Ben Koetter via postfix-users postfix-users at de.postfix.org
Do Mai 22 06:43:51 CEST 2014


* Django via postfix-users <django at nausch.org>:
> HI p at rick!
> 
> Am 21.05.2014 22:44, schrieb Patrick Ben Koetter via postfix-users:
> 
> > Ich würde generell danach streben, alles mit einer DKIM-Signatur zu
> > versehen wenn es von meiner Domain raus zu remote recipients geht -
> > unabhängig davon welches Medium die E-Mail generiert, verändert
> > oder in Umlauf bringt.
> 
> So, so. ;) Ich zitiere, Quelle sollte Dir hinreichend bekannt sein:
> -
> -----------------------------8<-----------------------------8<-----------------------------8<
> 
> DKIM-Signaturen
> 
> Ähnliches gilt für DKIM-Signaturen, die nicht angebracht werden,
> obwohl die DKIM-Konfiguration doch mehrfach erfolreiche mit dem
> Kommando amavisd-new testkeys <DOMAIN> getestet wurde. DKIM-Signaturen
> werden eben nur für legitime Sender angebracht. Brächte der Server
> Signaturen für nicht-legitimierte Sender an, nur weil sie zu einer
> DKIM-Senderdomain gehören, könnte er leicht Opfer eines
> Adressmißbrauchs werden.
> 
> Da wäre der gute Ruf des Servers schnell ruiniert und
> reputationsbasierte Anti-Spam-Systeme würden ihm bald die Tür weisen -
> die deliverability rate sänke signifikant. Deshalb signiert amavis
> Nachrichten nur, wenn die Absenderdomain DKIM-signiert werden soll und
> der Client des Senders anhand eines belastbaren Kriteriums eindeutig
> identifiziert werden konnte. Ist er in @mynetworks gelistet, ist ein
> hinreichend belastbares Kriterium gegeben und amavis schreitet
> erwartungsgemäß zur Tat.
> 
> -
> -----------------------------8<-----------------------------8<-----------------------------8<
> 
> Wenn Du den Mailinglistenserver als legitimen Sender definierst, dann
> frage ich mich, wozu dann den Heckmeck mit der DKIM-Konformen
> Mailmanbetrieb veranstalten sollte.

Der Heckmeck resultiert aus gültigen DKIM-Signaturen, die *vor* dem MLM
angebracht wurden und die er nicht zerstören soll, weil sie sonst
*anschliessend* einer Überprüfung nicht mehr standhielten.

Ob dann der MLM, wie in den Zitat oben angemerkt, *auch* noch eine zweite,
gültige SIG nach dem MLM anbringt ändert dann nichts an der Tatsache, dass die
erste zerstört wurde.

p at rick


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste postfix-users