DKIM konforme Mailing-Listen

Patrick Ben Koetter p at sys4.de
Di Aug 4 22:15:43 CEST 2015 

* Tobias Hachmer <tobias at hachmer.de>:
> Hallo Patrick,
> 
> On 08/04/2015 08:46 PM, Patrick Ben Koetter wrote:
> > * Tobias Hachmer <tobias at hachmer.de>:
> >> Leider meckert mein Mail-Server immernoch, dass die erste DKIM-Signatur
> >> nicht mehr korrekt sei und die Mail verändert wurde.
> > 
> > Wie sieht denn der Transportweg aus? Zu welchem Zeitpunkt ist die SIG noch
> > intakt? Sind da mehr Komponenten im Transportweg drin, die die Mail
> > bearbeiten? Versuch mal nur die wirklich erforderlichen Header in die Sig
> > einzubeziehen und nicht alles, was bis drei nicht auf dem Baum ist. ;)
> 
> Da bin ich jetzt grade ehrlich gesagt etwas überfragt, wie ich genau
> prüfe zu welchem Zeitpunkt die Signatur noch intakt ist.

Wie rum hast Du denn die Transportkette aufgebaut?

- Du generierst eine Mail, 
- übergibst diese an Postfix 
- Postfix gibt sie an amavis
- amavis packt die DKIM-Signatur drauf
- Postfix gibt die Mail an mailman
- und dann...?

Oder ist der Weg anders?

- Du generierst eine Mail, 
- übergibst diese an Postfix 
- Postfix gibt sie an mailman
- mailman gibt die Mail Postfix zurück
- Postfix gibt sie an amavis
- amavis packt die DKIM-Signatur drauf
- ...


> Wie kann ich denn amavisd-new anweisen die DKIM-Signatur nur über
> gewisse Header-Zeilen zu erstellen anstatt über alles? Konnte dazu
> nichts finden.

Wenn du nicht explizit Anweisungen gegeben hast, bestimmte Header (nicht) zu
signieren, dann passt das so. Amavis läuft mit brauchbaren
Standardeinstellungen.


> >> Da stehe ich aktuell auf dem Schlauch. Des Weiteren ist mir aufgefallen,
> >> dass hier auf der Liste der From-Header nicht mehr "Autor via
> >> Listenname" lautet sondern nur den ursprünglichen Autor enthält. Warum
> >> ist das so und die DKIM-Signaturen sind trotzdem korrekt?
> > 
> > Es war ein Versuch (so hatten wir das damals IIRC auch angekündigt) die Liste
> > auch DMARC-konform zu betreiben, indem ein neuer Autor ins Spiel kommt und
> > DMARC so nicht mehr ungültig sein kann.
> > 
> > Wir haben das wieder eingestellt, weil DMARC (glücklicherweise) in eine
> > Revision ging und wir das Experiment deshalb nicht mehr weiterführen wollten
> > und weil Alexander Wirt mich wegen des Experiments mit fiesen Flüchen belegt
> > hatte. Denn dieser Test gefiel ihm gar nicht (mir auch nicht). Seitdem ich das
> > zurückgestellt habe, ist mein Leben auch wieder viel besser. ;)
> 
> Achso, also wird das aktuell auch gar nicht mehr empfohlen?

Ja, genau. Steht das noch im Blog? Das sollte ich aktualisieren. :/

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users