On 04.08.2015 20:46, Patrick Ben Koetter wrote:
- Tobias Hachmertobias@hachmer.de:
Hallo Liste,
habe die beiden Blog-Einträge auf blog.sys4.de gelesen und versuche grade eine DKIM-konforme Mailing Liste zu konfigurieren.
Mailman Version 2.1.20 Die entsprechenden Direktiven in der mmcfg.py sehen so aus:
# The following is a three way setting. It sets the default for the list's # from_is_list policy which is applied to all posts except those for which a # dmarc_moderation_action other than accept applies. # 0 -> Do not rewrite the From: or wrap the message. # 1 -> Rewrite the From: header of posts replacing the posters address with # that of the list. Also see REMOVE_DKIM_HEADERS above. # 2 -> Do not modify the From: of the message, but wrap the message in an outer # message From the list address. DEFAULT_FROM_IS_LIST = 1 ALLOW_FROM_IS_LIST = Yes
# Do not break existing DKIM signatures DEFAULT_SUBJECT_PREFIX = "" DEFAULT_MSG_HEADER = "" DEFAULT_MSG_FOOTER = ""
Leider meckert mein Mail-Server immernoch, dass die erste DKIM-Signatur nicht mehr korrekt sei und die Mail verändert wurde.
Wie sieht denn der Transportweg aus? Zu welchem Zeitpunkt ist die SIG noch intakt? Sind da mehr Komponenten im Transportweg drin, die die Mail bearbeiten? Versuch mal nur die wirklich erforderlichen Header in die Sig einzubeziehen und nicht alles, was bis drei nicht auf dem Baum ist. ;)
Da stehe ich aktuell auf dem Schlauch. Des Weiteren ist mir aufgefallen, dass hier auf der Liste der From-Header nicht mehr "Autor via Listenname" lautet sondern nur den ursprünglichen Autor enthält. Warum ist das so und die DKIM-Signaturen sind trotzdem korrekt?
Es war ein Versuch (so hatten wir das damals IIRC auch angekündigt) die Liste auch DMARC-konform zu betreiben, indem ein neuer Autor ins Spiel kommt und DMARC so nicht mehr ungültig sein kann.
Wir haben das wieder eingestellt, weil DMARC (glücklicherweise) in eine Revision ging und wir das Experiment deshalb nicht mehr weiterführen wollten und weil Alexander Wirt mich wegen des Experiments mit fiesen Flüchen belegt hatte. Denn dieser Test gefiel ihm gar nicht (mir auch nicht). Seitdem ich das zurückgestellt habe, ist mein Leben auch wieder viel besser. ;)
Hallo Patrick,
die Geschichte mit Mailinglisten und DMARC kann aber auch ganz böse sein, und ist sie zwangsweise auch; nimm nur folgende Situation her:
jemand hat bei seiner Domain nur folgende 2 DNS-Einträge:
_dmarc.domain.tld TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-feedback@domain.tld; ruf=mailto:dmarc-failure@domain.tld" und domain.tld TXT "v=spf1 mx -all"
dann wird er bei Versand an einer sehr großen Mailingliste und sobald DMARC einen gewissen Grad an Verbreitung überschreitet, eine sehr böse Überraschung erleben;
jeder Adressat (respetive dessen Mailserver) wird ihn mit DMARC-Mails im wahrsten Sinn des Wortes zumüllen, und das kann nicht Sinn des ganzen sein;
DKIM ist da dann eine ganz andere Geschichte, wobei DKIM-signierte Mails landen bei mir grundsätzlich in der Quarantäne oder werden mit ein paar Ausnahmen gleich geblockt;
Grüße, Walter