[postfix-users] ANN: Änderung der List-Policy: DMARC
Hallo postfix-users@de.postfix.org,
ein neuer Standard kündigt sich an: DMARC
Dieser Standard announced Delivery-Policies für Nachrichten, die DKIM-signiert sind und/oder SPF-Einträge im DNS führen. Die Delivery-Policies sehen als Standard vor, Nachrichten zu rejecten, wenn sie nicht mehr im 'alignment' mit DMARC-Tests sind.
Heutige Mailinglisten-Manager zerstören DMARC-Prüfkritieren. Wir haben deshalb diesen List-Server so modifiziert, dass er die DMARC-Prüfkritieren intakt beläßt.
Ihr erkennt es daran, dass der From:-Header oben jetzt immer den Autoren UND die Liste als Absender benennt. Diese Mail sollte folgende From:-Header haben:
Patrick Ben Koetter via postfix-users postfix-users@de.postfix.org
Gleichzeitig wird ein Reply-To:-Header gesetzt:
Reply-To: Patrick Ben Koetter p@sys4.de
Mehr Hintergrund dazu und wie ihr das selber umsetzen könnt, haben Ralf, Robert und ich hier dokumentiert:
http://sys4.de/de/blog/2013/08/11/mailman-dmarc-konform-betreiben/ http://sys4.de/de/blog/2013/08/11/dkim-konforme-mailinglisten/ http://sys4.de/de/blog/2013/04/15/dmarc-standard-um-missbrauch-von-mailadressen-den-domaininhaber-zu-melden/
Happy Mailing!
p@rick
Am Di, 13.08.13 um 14:38:29 Uhr schrieb Patrick Ben Koetter via postfix-users postfix-users@de.postfix.org:
Patrick Ben Koetter via postfix-users <postfix-users@de.postfix.org>
urgs, und wie pringe ich meinem mua (hier: claws) jetzt bei, den Absender korrekt anzuzeigen :/
/F.
Am 13.08.2013 17:27, schrieb Florian Streibelt via postfix-users:
Am Di, 13.08.13 um 14:38:29 Uhr schrieb Patrick Ben Koetter via postfix-users postfix-users@de.postfix.org:
Patrick Ben Koetter via postfix-users <postfix-users@de.postfix.org>urgs, und wie pringe ich meinem mua (hier: claws) jetzt bei, den Absender korrekt anzuzeigen :/
/F. _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
also in Thunderbird siehts Ok aus
Best Regards MfG Robert Schetterer
Am Di, 13.08.13 um 18:50:45 Uhr schrieb Robert Schetterer via postfix-users postfix-users@de.postfix.org:
Patrick Ben Koetter via postfix-users <postfix-users@de.postfix.org>
also in Thunderbird siehts Ok aus
ah - ich musste die Adresse aus dem Adressbuch löschen, da er sonst den match postfix-users@de.postfix.org auf den Adressbucheintrag macht.
Da vorher das From nicht angefasst wurde klappte das natürlich so - ich Dummerchen!
Hallo Patrick, hallo Leute,
Am Dienstag, 13. August 2013 schrieb Patrick Ben Koetter via postfix- users:
ein neuer Standard kündigt sich an: DMARC
Dieser Standard announced Delivery-Policies für Nachrichten, die DKIM-signiert sind und/oder SPF-Einträge im DNS führen. Die Delivery-Policies sehen als Standard vor, Nachrichten zu rejecten, wenn sie nicht mehr im 'alignment' mit DMARC-Tests sind.
Heutige Mailinglisten-Manager zerstören DMARC-Prüfkritieren.
Soll das heißen, DMARC ist genauso broken by design wie SPF?
Macht DMARK auch wie sein Vorbild (?) SPF "normale" Weiterleitungen kaputt?
*g,d&r*
Gruß
Christian Boltz
PS: von SPF halte ich nur eins - Abstand ;-)
Am 13.08.2013 21:34, schrieb Christian Boltz via postfix-users:
Hallo Patrick, hallo Leute,
Am Dienstag, 13. August 2013 schrieb Patrick Ben Koetter via postfix- users:
ein neuer Standard kündigt sich an: DMARC
Dieser Standard announced Delivery-Policies für Nachrichten, die DKIM-signiert sind und/oder SPF-Einträge im DNS führen. Die Delivery-Policies sehen als Standard vor, Nachrichten zu rejecten, wenn sie nicht mehr im 'alignment' mit DMARC-Tests sind.
Heutige Mailinglisten-Manager zerstören DMARC-Prüfkritieren.
Soll das heißen, DMARC ist genauso broken by design wie SPF?
Macht DMARK auch wie sein Vorbild (?) SPF "normale" Weiterleitungen kaputt?
*g,d&r*
Gruß
Christian Boltz
PS: von SPF halte ich nur eins - Abstand ;-)
Bitte das hier evtl nochmal lesen
http://sys4.de/de/blog/2013/04/15/dmarc-standard-um-missbrauch-von-mailadres...
Dmarc geht "on top" von spf und dkim, es ist nicht zwingend notwenig einen spf Eintrag zu haben, allerdings wenn dieser vorhanden ist, muss er durch Dmarc sinnvoll "behandelt" werden
Alles andere folgt logisch daraus ( auch das List Problem ), kurzum es liegt weiterhin an dir ( bzw dem Domaininhaber ) welche Dmarc,Spf,Dkim Policy du einpflegst, die vielen Kombinationsmoeglichkeiten machen die Sache etwas komplex.
Best Regards MfG Robert Schetterer
* Christian Boltz via postfix-users postfix-users-test@cboltz.de:
Hallo Patrick, hallo Leute,
Am Dienstag, 13. August 2013 schrieb Patrick Ben Koetter via postfix- users:
ein neuer Standard kündigt sich an: DMARC
Dieser Standard announced Delivery-Policies für Nachrichten, die DKIM-signiert sind und/oder SPF-Einträge im DNS führen. Die Delivery-Policies sehen als Standard vor, Nachrichten zu rejecten, wenn sie nicht mehr im 'alignment' mit DMARC-Tests sind.
Heutige Mailinglisten-Manager zerstören DMARC-Prüfkritieren.
Soll das heißen, DMARC ist genauso broken by design wie SPF?
Macht DMARK auch wie sein Vorbild (?) SPF "normale" Weiterleitungen kaputt?
*g,d&r*
Gruß
Christian Boltz
PS: von SPF halte ich nur eins - Abstand ;-)
Ja, SPF ist br0ken by design. Es ist dann brauchbar wenn der Pfad, der in SPF genannt wird, eingehalten wird. Es ist unbrauchbar wenn der Pfad nicht eingehalten wird. Dann sollte man das Testergebnis nicht verwenden, um darauf basierend Schlüsse zu ziehen und Maßnahmen abzuleiten.
-- Mmh. Nachdem alle hier anscheinend Mutt verwenden habe ich mal einen Blick draufgeworfen. Dafür braucht man entweder ein Studium (Schwerpunkt Mutt) oder viel Zeit. Mal sehen was ich zuerst habe. [Christian Wunderlich in suse-linux]
Soll vorbeikommen. Ich TARe gerne meine Config. Mit der arbeitet sogar Ralf gerne. ;)
p@rick
Am Mi, 14.08.13 um 08:08:33 Uhr schrieb Patrick Ben Koetter via postfix-users postfix-users@de.postfix.org:
Soll vorbeikommen. Ich TARe gerne meine Config. Mit der arbeitet sogar Ralf gerne. ;)
[x] haben will - ich war immer mal wieder dran und hab entnervt aufgegeben :D
* Florian Streibelt via postfix-users postfix@f-streibelt.de:
Am Mi, 14.08.13 um 08:08:33 Uhr schrieb Patrick Ben Koetter via postfix-users postfix-users@de.postfix.org:
Soll vorbeikommen. Ich TARe gerne meine Config. Mit der arbeitet sogar Ralf gerne. ;)
[x] haben will - ich war immer mal wieder dran und hab entnervt aufgegeben :D
Attached! In der Hoffnung, dass es nützlich sein möge ... ;)
Kurzanleitung: Auspacken und in ~/.muttrc und ~/.mutt/ verschieben:
$ tar xjf mutt.tar.bz2 -C ~/
Dann in .mutt/ die muttrc anpassen. Die Abschnitte mit sys4.de und state-of-mind.de durcharbeiten. Nein, mein Passwort ist nicht 'geheim'. ;)
Nach dem Start sucht mutt erst mal lokal und will ggf. files anlegen.
Mit <F2> und <F3> eines der beiden Konten aus .mutt/muttrc connecten und dann klappt es hoffentlich gleich.
Sicher gibt es viel anzupassen, damit es individuell gefällt. Es sollte Dich gut auf den Weg bringen.
p@rick
* Patrick Ben Koetter via postfix-users postfix-users@de.postfix.org:
- Florian Streibelt via postfix-users postfix@f-streibelt.de:
Am Mi, 14.08.13 um 08:08:33 Uhr schrieb Patrick Ben Koetter via postfix-users postfix-users@de.postfix.org:
Soll vorbeikommen. Ich TARe gerne meine Config. Mit der arbeitet sogar Ralf gerne. ;)
[x] haben will - ich war immer mal wieder dran und hab entnervt aufgegeben :D
Attached! In der Hoffnung, dass es nützlich sein möge ... ;)
Sagen wir mal so, diese Email entsteht grade in einem ausserordentlich bunten vim :)
Dann in .mutt/ die muttrc anpassen. Die Abschnitte mit sys4.de und state-of-mind.de durcharbeiten. Nein, mein Passwort ist nicht 'geheim'. ;)
Mist :)
Mit <F2> und <F3> eines der beiden Konten aus .mutt/muttrc connecten und dann klappt es hoffentlich gleich.
Sicher gibt es viel anzupassen, damit es individuell gefällt. Es sollte Dich gut auf den Weg bringen.
Das definitiv - ich sag mal so, ich bin wieder an einem Punkt angekommen, an dem mich die gängigen muas unter X einfach nur nerven weil ich immer wieder in bugs oder limits renne.
Danke!
Florian
* Florian Streibelt via postfix-users postfix-users@de.postfix.org:
- Patrick Ben Koetter via postfix-users postfix-users@de.postfix.org:
- Florian Streibelt via postfix-users postfix@f-streibelt.de:
Am Mi, 14.08.13 um 08:08:33 Uhr schrieb Patrick Ben Koetter via postfix-users postfix-users@de.postfix.org:
Soll vorbeikommen. Ich TARe gerne meine Config. Mit der arbeitet sogar Ralf gerne. ;)
[x] haben will - ich war immer mal wieder dran und hab entnervt aufgegeben :D
Attached! In der Hoffnung, dass es nützlich sein möge ... ;)
Sagen wir mal so, diese Email entsteht grade in einem ausserordentlich bunten vim :)
he he he. Ja, ich bin ein bekennender Solarized-User: http://ethanschoonover.com/solarized. Das Farbschema ist ausgesprochen angenehm und trennscharf bei langer Monitorarbeit UND es gibt ein Schema für mutt: https://github.com/altercation/mutt-colors-solarized
Dann in .mutt/ die muttrc anpassen. Die Abschnitte mit sys4.de und state-of-mind.de durcharbeiten. Nein, mein Passwort ist nicht 'geheim'. ;)
Mist :)
Try harder ;)
Mit <F2> und <F3> eines der beiden Konten aus .mutt/muttrc connecten und dann klappt es hoffentlich gleich.
Sicher gibt es viel anzupassen, damit es individuell gefällt. Es sollte Dich gut auf den Weg bringen.
Das definitiv - ich sag mal so, ich bin wieder an einem Punkt angekommen, an dem mich die gängigen muas unter X einfach nur nerven weil ich immer wieder in bugs oder limits renne.
Mich nervt meist, dass ich die Finger von der Tastatur nehmen muss. Das macht mich langsamer.
p@rick
Am 15.08.2013 23:11, schrieb Patrick Ben Koetter via postfix-users:
Mich nervt meist, dass ich die Finger von der Tastatur nehmen muss. Das macht mich langsamer.
p@rick
http://www.youtube.com/watch?v=R5e1vfaST2I
Best Regards MfG Robert Schetterer
Am Do, 15.08.13 um 23:11:03 Uhr schrieb Patrick Ben Koetter via postfix-users postfix-users@de.postfix.org:
Mich nervt meist, dass ich die Finger von der Tastatur nehmen muss. Das macht mich langsamer.
mit dem richtigen window manager und ein paar shortcuts geht das alles, wir haben ja jetzt diese 'fenstertaste' auf den keyboards für alles was mit fenter verschieben und vergrössern etc zu tun hat.
aber was ich früher in pine hatte waren so keystroke sequenzen um mails wegzusortieren und farbschemas für die art der mail (persönlich, cc, mailingliste) - da will ich wieder hin.
und remote per ssh arbeiten können wär auch mal wieder was.
Also: Ich werde diesen Monat wohl keine weiteren Experimente machen können, aber dann wird diese Konfiguration mit hoher Wahrscheinlichkeit mein neues zu Hause für die mails :D
Da hängt dann nur wieder ne größere Umstellung beim Umgang mit mails insgesamt dran, inklusive sieve regeln und imapfiltern ;)
Danke!
(allein schon das mit den hooks pro empfänger ist klasse für die ganzen listen die man so hat)
/Florian
Am 13.08.2013 14:38, schrieb Patrick Ben Koetter via postfix-users:
[..]
Ihr erkennt es daran, dass der From:-Header oben jetzt immer den Autoren UND die Liste als Absender benennt. Diese Mail sollte folgende From:-Header haben:
Patrick Ben Koetter via postfix-users <postfix-users@de.postfix.org>Gleichzeitig wird ein Reply-To:-Header gesetzt:
Reply-To: Patrick Ben Koetter <p@sys4.de>[..]
Hmm .. ich hab jetzt grade mal aus Interesse in so nen Header geschaut.. Da sind jetzt zwei/beide DKIM-Signature Header drin (natürlich an den passen Stellen zwischen den Received Headern)
Aber macht das Sinn, den Original vom potentiellen Absender drinzulassen..? Weil der:
a) doch jetzt eh kaputt respektive unnutz ist
und
b) birgt das nicht (potentiell) Probleme mehr als genau einen "DKIM-Signature"-Header zu haben wenn man (<- ein Eingangsfilter) eine Signatur verifizieren will und dann mehrere findet..? Oder ist das definiert immer "von oben" zu lesen bis man einen findet und alles darunter und dort in h=... spezifiziert zu überprüfen - und das genau einmal.. Also nicht besser REPLACE statt INSERT?
Grüsse Christian
* Christian Bricart via postfix-users christian@bricart.de:
Am 13.08.2013 14:38, schrieb Patrick Ben Koetter via postfix-users:
[..]
Ihr erkennt es daran, dass der From:-Header oben jetzt immer den Autoren UND die Liste als Absender benennt. Diese Mail sollte folgende From:-Header haben:
Patrick Ben Koetter via postfix-users <postfix-users@de.postfix.org>Gleichzeitig wird ein Reply-To:-Header gesetzt:
Reply-To: Patrick Ben Koetter <p@sys4.de>[..]
Hmm .. ich hab jetzt grade mal aus Interesse in so nen Header geschaut.. Da sind jetzt zwei/beide DKIM-Signature Header drin (natürlich an den passen Stellen zwischen den Received Headern)
Aber macht das Sinn, den Original vom potentiellen Absender drinzulassen..? Weil der:
a) doch jetzt eh kaputt respektive unnutz ist
und
b) birgt das nicht (potentiell) Probleme mehr als genau einen "DKIM-Signature"-Header zu haben wenn man (<- ein Eingangsfilter) eine Signatur verifizieren will und dann mehrere findet..? Oder ist das definiert immer "von oben" zu lesen bis man einen findet und alles darunter und dort in h=... spezifiziert zu überprüfen - und das genau einmal.. Also nicht besser REPLACE statt INSERT?
Darüber sinnieren wir hier auch noch. Ich hatte noch nicht ausreichend Zeit, um das mal länger in Gedanken durchzuspielen. Sehe aber Handlungsbedarf.
p@rick
* Christian Bricart via postfix-users christian@bricart.de:
Am 13.08.2013 14:38, schrieb Patrick Ben Koetter via postfix-users:
[..]
Ihr erkennt es daran, dass der From:-Header oben jetzt immer den Autoren UND die Liste als Absender benennt. Diese Mail sollte folgende From:-Header haben:
Patrick Ben Koetter via postfix-users <postfix-users@de.postfix.org>Gleichzeitig wird ein Reply-To:-Header gesetzt:
Reply-To: Patrick Ben Koetter <p@sys4.de>[..]
Hmm .. ich hab jetzt grade mal aus Interesse in so nen Header geschaut.. Da sind jetzt zwei/beide DKIM-Signature Header drin (natürlich an den passen Stellen zwischen den Received Headern)
Aber macht das Sinn, den Original vom potentiellen Absender drinzulassen..? Weil der:
a) doch jetzt eh kaputt respektive unnutz ist
und
b) birgt das nicht (potentiell) Probleme mehr als genau einen "DKIM-Signature"-Header zu haben wenn man (<- ein Eingangsfilter) eine Signatur verifizieren will und dann mehrere findet..? Oder ist das definiert immer "von oben" zu lesen bis man einen findet und alles darunter und dort in h=... spezifiziert zu überprüfen - und das genau einmal.. Also nicht besser REPLACE statt INSERT?
<enter redwine>
DKIM Signaturen können in einem Stack übereinander geschrieben werden. Sie werden, wie Received:-Header, von oben nach unten ausgewertet.
Damit die DKIM-Signaturen von z.B. sys4.de nicht von de.postfix.org gekilled werden, sollte man die Betreffzeile nicht modifizieren und den Listenname prependen (<- super Deutsch) und auch keine Footer hinzufügen.
Ich würde das sehr gerne ändern, fürchte aber den "heiligen Zorn der Mailingliste" wenn einige plötzlich nicht mehr den Listennamen in der Betreffzeile finden. Sauberer wäre es...
Mehr dazu auch hier: http://sys4.de/en/blog/2013/08/11/dkim-konforme-mailinglisten/ Da steht auch wie man Listen sehr stabil auf Basis des List-Id: filtert.
Wenn keine Aufschreie kommen, dann mache ich mich demnächst ans Werk.
p@rick
Am 15.08.2013 20:45, schrieb Patrick Ben Koetter via postfix-users:
- Christian Bricart via postfix-users christian@bricart.de:
Am 13.08.2013 14:38, schrieb Patrick Ben Koetter via postfix-users:
[..]
Ihr erkennt es daran, dass der From:-Header oben jetzt immer den Autoren UND die Liste als Absender benennt. Diese Mail sollte folgende From:-Header haben:
Patrick Ben Koetter via postfix-users <postfix-users@de.postfix.org>Gleichzeitig wird ein Reply-To:-Header gesetzt:
Reply-To: Patrick Ben Koetter <p@sys4.de>[..]
Hmm .. ich hab jetzt grade mal aus Interesse in so nen Header geschaut.. Da sind jetzt zwei/beide DKIM-Signature Header drin (natürlich an den passen Stellen zwischen den Received Headern)
Aber macht das Sinn, den Original vom potentiellen Absender drinzulassen..? Weil der:
a) doch jetzt eh kaputt respektive unnutz ist
und
b) birgt das nicht (potentiell) Probleme mehr als genau einen "DKIM-Signature"-Header zu haben wenn man (<- ein Eingangsfilter) eine Signatur verifizieren will und dann mehrere findet..? Oder ist das definiert immer "von oben" zu lesen bis man einen findet und alles darunter und dort in h=... spezifiziert zu überprüfen - und das genau einmal.. Also nicht besser REPLACE statt INSERT?
<enter redwine>
DKIM Signaturen können in einem Stack übereinander geschrieben werden. Sie werden, wie Received:-Header, von oben nach unten ausgewertet.
ok - wenn das RFC dafür einen Array wie für Received spezifiziert hat.. ;-) Also von Date: oder From: sollte man nur einen haben :)
Damit die DKIM-Signaturen von z.B. sys4.de nicht von de.postfix.org gekilled werden, sollte man die Betreffzeile nicht modifizieren und den Listenname prependen (<- super Deutsch) und auch keine Footer hinzufügen.
... trotzdem ist die original Signatur kaputt - weil (hoffentlich) auch der From:-Header Teil der ursprünglichen Signatur ist/war..
Ich würde das sehr gerne ändern, fürchte aber den "heiligen Zorn der Mailingliste" wenn einige plötzlich nicht mehr den Listennamen in der Betreffzeile finden. Sauberer wäre es...
Mehr dazu auch hier: http://sys4.de/en/blog/2013/08/11/dkim-konforme-mailinglisten/ Da steht auch wie man Listen sehr stabil auf Basis des List-Id: filtert.
mache ich sowieso schon - ging das auch mal anders? ;-) SCNR
(..und andere - z.B. Newsletter - werden "cryptographisch verifiziert" nach regex-Inhalten in der DKIM-Signatur gefiltert .. ;-))
Ich finde es echt schade, dass prominente Versender (Paypal, Amazon, Google, $bankinstitut,.. ) die ja gerne "Täter" von Phishing-Angriffen sind nicht öfter auf diese Features in ihren Mail-Headern hinweisen - ich identifiziere Phishing-Mails - die überhaupt durchkommen - schon daran, dass sie nicht in den passenden Unterordner sortiert wurden.. ;-)
Grüsse Christian
participants (5)
-
Christian Boltz via postfix-users -
Christian Bricart via postfix-users
-
Florian Streibelt via postfix-users
-
Patrick Ben Koetter via postfix-users
-
Robert Schetterer via postfix-users