DKIM konforme Mailing-Listen

Patrick Ben Koetter p at sys4.de
Di Aug 4 20:46:29 CEST 2015 

* Tobias Hachmer <tobias at hachmer.de>:
> Hallo Liste,
> 
> habe die beiden Blog-Einträge auf blog.sys4.de gelesen und versuche
> grade eine DKIM-konforme Mailing Liste zu konfigurieren.
> 
> 
> Mailman Version 2.1.20
> Die entsprechenden Direktiven in der mmcfg.py sehen so aus:
> 
> ---
> # The following is a three way setting.  It sets the default for the list's
> # from_is_list policy which is applied to all posts except those for which a
> # dmarc_moderation_action other than accept applies.
> # 0 -> Do not rewrite the From: or wrap the message.
> # 1 -> Rewrite the From: header of posts replacing the posters address with
> #      that of the list.  Also see REMOVE_DKIM_HEADERS above.
> # 2 -> Do not modify the From: of the message, but wrap the message in
> an outer
> #      message From the list address.
> DEFAULT_FROM_IS_LIST = 1
> ALLOW_FROM_IS_LIST = Yes
> 
> # Do not break existing DKIM signatures
> DEFAULT_SUBJECT_PREFIX  = ""
> DEFAULT_MSG_HEADER = ""
> DEFAULT_MSG_FOOTER = ""
> ---
> 
> Leider meckert mein Mail-Server immernoch, dass die erste DKIM-Signatur
> nicht mehr korrekt sei und die Mail verändert wurde.

Wie sieht denn der Transportweg aus? Zu welchem Zeitpunkt ist die SIG noch
intakt? Sind da mehr Komponenten im Transportweg drin, die die Mail
bearbeiten? Versuch mal nur die wirklich erforderlichen Header in die Sig
einzubeziehen und nicht alles, was bis drei nicht auf dem Baum ist. ;)


> Da stehe ich aktuell auf dem Schlauch. Des Weiteren ist mir aufgefallen,
> dass hier auf der Liste der From-Header nicht mehr "Autor via
> Listenname" lautet sondern nur den ursprünglichen Autor enthält. Warum
> ist das so und die DKIM-Signaturen sind trotzdem korrekt?

Es war ein Versuch (so hatten wir das damals IIRC auch angekündigt) die Liste
auch DMARC-konform zu betreiben, indem ein neuer Autor ins Spiel kommt und
DMARC so nicht mehr ungültig sein kann.

Wir haben das wieder eingestellt, weil DMARC (glücklicherweise) in eine
Revision ging und wir das Experiment deshalb nicht mehr weiterführen wollten
und weil Alexander Wirt mich wegen des Experiments mit fiesen Flüchen belegt
hatte. Denn dieser Test gefiel ihm gar nicht (mir auch nicht). Seitdem ich das
zurückgestellt habe, ist mein Leben auch wieder viel besser. ;)

p at rick




> 
> Viele Grüße,
> Tobias
> 
> P.S.: Anbei ein Beispiel eines Header einer Mail meiner Liste:
> 
> Authentication-Results: winnetou.kokelnet.de (amavisd-new);
> 	dkim=pass (2048-bit key) header.d=lists.freifunk-mwu.de
> 	header.b=gVoLtNo9; dkim=fail (1024-bit key)
> 	reason="fail (message has been altered)" header.d=hachmer.de
> 	header.b=mTQwAKes
> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=
> 	lists.freifunk-mwu.de; h=reply-to:from:from:list-subscribe
> 	:list-help:list-post:list-archive:list-unsubscribe:list-id
> 	:precedence:content-type:content-type:mime-version:user-agent
> 	:date:date:message-id:subject:subject:received:received:received
> 	:received:received:received:received:received:received; s=
> 	mail201507; t=1438710780; x=1440525181; bh=No13gESS3ijjWw4vdYwTT
> 	749sVehetUqcGudn0DUXcI=; b=gVoLtNo9zsIAGXBq1MRVWZGMr6bM+e2UW/3x3
> 	tL/Ud3BgPz2pHlDH3c9RydaT/TedkpMoQ3Q9L73QoLeF4IkPu+EXV1UbDImcfiQP
> 	OwZ/uaz9pN+41iACfZq49WApMsjiM8mk6Jycl9vMejY4p1RBfJwD1B+emVivfmXZ
> 	2ODZkAy1LbZbyhCruum2xY3hP94adMyLb66U2TW6f9m4m3/8f25Rhjeail4XhxE6
> 	FHeRMf26YnL628Sn1Gbut3Kkn7MSmJO6HNmR90X4nJI4R0nzM+YzMlbsZjcFUsHU
> 	rWH5/UZJp3ZL4VNaGDiX02yZEV9hHNId/vm5tl+ngONs8eyjw==
> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=hachmer.de; h=
>  content-type:content-type:mime-version:user-agent:date:date
>  :message-id:subject:subject:from:from:received:received
>  :received; s=d1024; t=1438710777; x=1440525178; bh=No13gESS3ijjW
>  w4vdYwTT749sVehetUqcGudn0DUXcI=; b=mTQwAKesMfgjATTYbCfIKM6w3TCuC
>  iyZZ2FECgV1KNBxOMduHh9SNb2wyMacEymb7hZKoHETG52G3sDMHM1zzujgG31X9
>  2z7S+WXN+YtdcNqmRBlKqCf42XydI/LIqvzhSUiDuxSUM1GZ/Jf8O9tK4yuUDUuW
>  +DEErLQXl6i248=
> To: admin at lists.freifunk-mwu.de
> Subject: test
> X-Mailman-Version: 2.1.20
> From: Tobias Hachmer via Admin <admin at lists.freifunk-mwu.de>
> Reply-To: Tobias Hachmer <tobias at hachmer.de>
> 



-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users