DKIM Failure; Sender informieren und Betreff ändern, wie?

Patrick Ben Koetter p at sys4.de
So Mär 27 07:59:39 CEST 2016 

Michael,

* Michael Taubert <michael at arachnodroid.de>:
> in erster Linie möchte ich allen Versendern mitteilen, dass DKIM verwendet wird und sie es ebenfalls verwenden müssen, damit ihre Mails empfangen werden. In absehbarer Zeit werde ich dann alle Mail verwerfen, deren Absender sich nicht prüfen lässt. Dass dabei Mails an Personen gehen, deren Adressen misbraucht wurden, muss ich dabei in Kauf nehmen.
> 
> Allerdings ist dies nur vorübergehend. Möglicherweise greife ich hier auch zu kurz und sollte bei fehlgeschlagener Prüfung die Mail einfach verwerfen. Wollte den ehrlichen Absendern nur den Hinweis geben, damit sie sich darauf einstellen können.

ich kann Deinen Wunsch nach weniger "Spam" nachvollziehen und ich glaube, dass
Du ihn so nicht erreichen werden wirst. Ich nehme sogar an, Du wirst Dir sogar
mehr Ärger einhandeln.

Du wirst "backscatter" <https://de.wikipedia.org/wiki/Backscatter_(E-Mail)>
erzeugen, wenn Du "allen Versendern" mitteilst, "dass DKIM verwendet wird und
sie es ebenfalls verwenden müssen". Es ist zu erwarten, dass Dein Mailsystem
als Folge davon auf RBLs gelistet werden wird. Aus meiner Sicht verschlimmert
das dann Deine gegenwärtige Situation.

Wenn Du in "absehbarer Zeit (…) dann alle Mail" verwirfst, "deren Absender
sich nicht prüfen lässt" führst Du einen Methode ein, die wenig zuverlässig
sein wird:

1. Spammer bringen ebenso DKIM-Signaturen auf E-Mail an
2. Die DKIM-Signaturen der Spammer sind in der Regel gültig
3. Viele "saubere" Sender haben keine Kontrolle darüber, ob sie DKIM
   verwenden können oder nicht
4. Auch bei "sauberen" Sendern kommt es immer wieder zu DKIM-Problemen bei der
   Verarbeitung; deren E-Mail ist dann zeitweise nicht verifizierbar.
5. Viele Mailplattformen signieren die Nachrichten ihre Senderdomains nur
   teilweise.

Wenn Spammer ohnehin gültig senden, wirst Du diese mit Deinem Ansatz nicht
los.

Ich würde dem Problem wie folgt begegnen:

Spam-Schwellwert senken
Senke den Schwellwert ab dem E-Mail verwirfst, weil sie "spammy" ist. Bei sys4
verwerfen wir im Moment ab einem threshold von 3.x. Den Wert hatten wir über
ein Analyse mit Logstash und Kibana ermittelt. In der Analyse sahen wir, dass
wir viel (saubere) Mail mit 0 und weniger Punkten haben, bis 2 auch noch mit
sehr geringem Spam-Anteil und ab 3 fast nur noch Spam.

DMARC
Verwende DMARC. Das ist Deiner DKIM-Idee ähnlich, aber es nutzt als Policy
(reporten, verwerfen) Vorhaben der Senderseite (!) und nicht Deine, lokalen
Einstellungen. Die grossen US-Mailplattformen setzen nahezu durchgängig DMARC
ein. Damit würdest Du z.B. den gestiegenen Anteil an yahoo-Spam auf Null
reduzieren.

Beides kannst Du in kurzer Zeit umsetzen. Beides generiert kein backscatter.
Ich (persönlich) denke, Du fährst damit besser.

p at rick

> ---- Florian Streibelt schrieb ----
> 
> >
> >Hallo Michael,
> >
> >
> >On Fr, 25 Mär 2016 at 20:02:18 +0100, Michael Taubert wrote:
> >
> >> Hallo Liste!
> >> 
> >> Habe mein Postfix endlich mit DKIM laufen und wollte bei fehlender Signatur oder fehlgeschlagener Prüfung eine Mail an den Sender schicken. Ebenso möchte den Betreff der Mail mit einem „[DKIM Failure]“ markieren.
> >
> >Verstehe ich Dich richtig, du willst also auf eine Spam-Email mit gefälschtem
> >Absender antworten und das Postfach der Person mit DKIM-Fehler-Mails zuwerfen,
> >deren Absenderadresse missbräuchlich benutzt wurde?
> >
> >
> >Grüße,
> >    Florian
> >

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users