DKIM konforme Mailing-Listen (SPF-konform wäre hier auch angeraten)

[Walter H.]

On 04.08.2015 20:46, Patrick Ben Koetter wrote:
> * Tobias Hachmer<tobias at hachmer.de>:
>> Hallo Liste,
>>
>> habe die beiden Blog-Einträge auf blog.sys4.de gelesen und versuche
>> grade eine DKIM-konforme Mailing Liste zu konfigurieren.
>>
>>
>> Mailman Version 2.1.20
>> Die entsprechenden Direktiven in der mmcfg.py sehen so aus:
>>
>> ---
>> # The following is a three way setting.  It sets the default for the list's
>> # from_is_list policy which is applied to all posts except those for which a
>> # dmarc_moderation_action other than accept applies.
>> # 0 ->  Do not rewrite the From: or wrap the message.
>> # 1 ->  Rewrite the From: header of posts replacing the posters address with
>> #      that of the list.  Also see REMOVE_DKIM_HEADERS above.
>> # 2 ->  Do not modify the From: of the message, but wrap the message in
>> an outer
>> #      message From the list address.
>> DEFAULT_FROM_IS_LIST = 1
>> ALLOW_FROM_IS_LIST = Yes
>>
>> # Do not break existing DKIM signatures
>> DEFAULT_SUBJECT_PREFIX  = ""
>> DEFAULT_MSG_HEADER = ""
>> DEFAULT_MSG_FOOTER = ""
>> ---
>>
>> Leider meckert mein Mail-Server immernoch, dass die erste DKIM-Signatur
>> nicht mehr korrekt sei und die Mail verändert wurde.
> Wie sieht denn der Transportweg aus? Zu welchem Zeitpunkt ist die SIG noch
> intakt? Sind da mehr Komponenten im Transportweg drin, die die Mail
> bearbeiten? Versuch mal nur die wirklich erforderlichen Header in die Sig
> einzubeziehen und nicht alles, was bis drei nicht auf dem Baum ist. ;)
>
>
>> Da stehe ich aktuell auf dem Schlauch. Des Weiteren ist mir aufgefallen,
>> dass hier auf der Liste der From-Header nicht mehr "Autor via
>> Listenname" lautet sondern nur den ursprünglichen Autor enthält. Warum
>> ist das so und die DKIM-Signaturen sind trotzdem korrekt?
> Es war ein Versuch (so hatten wir das damals IIRC auch angekündigt) die Liste
> auch DMARC-konform zu betreiben, indem ein neuer Autor ins Spiel kommt und
> DMARC so nicht mehr ungültig sein kann.
>
> Wir haben das wieder eingestellt, weil DMARC (glücklicherweise) in eine
> Revision ging und wir das Experiment deshalb nicht mehr weiterführen wollten
> und weil Alexander Wirt mich wegen des Experiments mit fiesen Flüchen belegt
> hatte. Denn dieser Test gefiel ihm gar nicht (mir auch nicht). Seitdem ich das
> zurückgestellt habe, ist mein Leben auch wieder viel besser. ;)
>
Hallo Patrick,

die Geschichte mit Mailinglisten und DMARC kann aber auch ganz böse 
sein, und ist sie zwangsweise auch;
nimm nur folgende Situation her:

jemand hat bei seiner Domain nur folgende 2 DNS-Einträge:

_dmarc.domain.tld TXT "v=DMARC1; p=quarantine; 
rua=mailto:dmarc-feedback at domain.tld; ruf=mailto:dmarc-failure at domain.tld"
und
domain.tld TXT "v=spf1 mx -all"

dann wird er bei Versand an einer sehr großen Mailingliste und sobald 
DMARC einen gewissen Grad an Verbreitung überschreitet, eine sehr böse 
Überraschung erleben;

jeder Adressat (respetive dessen Mailserver) wird ihn mit DMARC-Mails im 
wahrsten Sinn des Wortes zumüllen, und das kann nicht Sinn des ganzen sein;

DKIM ist da dann eine ganz andere Geschichte,
wobei DKIM-signierte Mails landen bei mir grundsätzlich in der 
Quarantäne oder werden mit ein paar Ausnahmen gleich geblockt;

Grüße,
Walter

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4312 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20150805/58e3df8c/attachment-0001.bin>