Am 15.08.2013 20:45, schrieb Patrick Ben Koetter via postfix-users:
- Christian Bricart via postfix-users christian@bricart.de:
Am 13.08.2013 14:38, schrieb Patrick Ben Koetter via postfix-users:
[..]
Ihr erkennt es daran, dass der From:-Header oben jetzt immer den Autoren UND die Liste als Absender benennt. Diese Mail sollte folgende From:-Header haben:
Patrick Ben Koetter via postfix-users <postfix-users@de.postfix.org>Gleichzeitig wird ein Reply-To:-Header gesetzt:
Reply-To: Patrick Ben Koetter <p@sys4.de>[..]
Hmm .. ich hab jetzt grade mal aus Interesse in so nen Header geschaut.. Da sind jetzt zwei/beide DKIM-Signature Header drin (natürlich an den passen Stellen zwischen den Received Headern)
Aber macht das Sinn, den Original vom potentiellen Absender drinzulassen..? Weil der:
a) doch jetzt eh kaputt respektive unnutz ist
und
b) birgt das nicht (potentiell) Probleme mehr als genau einen "DKIM-Signature"-Header zu haben wenn man (<- ein Eingangsfilter) eine Signatur verifizieren will und dann mehrere findet..? Oder ist das definiert immer "von oben" zu lesen bis man einen findet und alles darunter und dort in h=... spezifiziert zu überprüfen - und das genau einmal.. Also nicht besser REPLACE statt INSERT?
<enter redwine>
DKIM Signaturen können in einem Stack übereinander geschrieben werden. Sie werden, wie Received:-Header, von oben nach unten ausgewertet.
ok - wenn das RFC dafür einen Array wie für Received spezifiziert hat.. ;-) Also von Date: oder From: sollte man nur einen haben :)
Damit die DKIM-Signaturen von z.B. sys4.de nicht von de.postfix.org gekilled werden, sollte man die Betreffzeile nicht modifizieren und den Listenname prependen (<- super Deutsch) und auch keine Footer hinzufügen.
... trotzdem ist die original Signatur kaputt - weil (hoffentlich) auch der From:-Header Teil der ursprünglichen Signatur ist/war..
Ich würde das sehr gerne ändern, fürchte aber den "heiligen Zorn der Mailingliste" wenn einige plötzlich nicht mehr den Listennamen in der Betreffzeile finden. Sauberer wäre es...
Mehr dazu auch hier: http://sys4.de/en/blog/2013/08/11/dkim-konforme-mailinglisten/ Da steht auch wie man Listen sehr stabil auf Basis des List-Id: filtert.
mache ich sowieso schon - ging das auch mal anders? ;-) SCNR
(..und andere - z.B. Newsletter - werden "cryptographisch verifiziert" nach regex-Inhalten in der DKIM-Signatur gefiltert .. ;-))
Ich finde es echt schade, dass prominente Versender (Paypal, Amazon, Google, $bankinstitut,.. ) die ja gerne "Täter" von Phishing-Angriffen sind nicht öfter auf diese Features in ihren Mail-Headern hinweisen - ich identifiziere Phishing-Mails - die überhaupt durchkommen - schon daran, dass sie nicht in den passenden Unterordner sortiert wurden.. ;-)
Grüsse Christian