[postfix-users] Postfix (AMaViS) DKIM und Mailman
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Griaseichallemidananda!
Zur Zeit beschäftige ich mich intensiv mit der Thematik DMARC. Dabei spielt, wie soll es ander sein, SPF und DKIM eine entscheidende Rolle.
In aller Regel kenne ich es ja so, dass man nur die Nachrichten mit einer DKIM-Signatur versieht, die aus mynetworks kommen, bzw. Nachrichten, die via Port 465/587 eingeliefert wurden. Gibt es einen validen Grund, Nachrichten anderer Maildomänen, die z.B. über einen Mailinglistenserver, wie Mailman, angeliefert worden sind beim Versand mit der eigenen DKIM-Signatur zu versehen?
Ich weiß, das hat nix originär mit Postfix zu tun, aber im Grunde spielt das ja auch immer mit herein.
Also Leute, wie seht Ihr die Sache?
Servus Django - -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django
* Django via postfix-users django@nausch.org:
Griaseichallemidananda!
Zur Zeit beschäftige ich mich intensiv mit der Thematik DMARC. Dabei spielt, wie soll es ander sein, SPF und DKIM eine entscheidende Rolle.
In aller Regel kenne ich es ja so, dass man nur die Nachrichten mit einer DKIM-Signatur versieht, die aus mynetworks kommen, bzw. Nachrichten, die via Port 465/587 eingeliefert wurden. Gibt es einen validen Grund, Nachrichten anderer Maildomänen, die z.B. über einen Mailinglistenserver, wie Mailman, angeliefert worden sind beim Versand mit der eigenen DKIM-Signatur zu versehen?
Ich würde generell danach streben, alles mit einer DKIM-Signatur zu versehen wenn es von meiner Domain raus zu remote recipients geht - unabhängig davon welches Medium die E-Mail generiert, verändert oder in Umlauf bringt.
p@rick
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
HI p@rick!
Am 21.05.2014 22:44, schrieb Patrick Ben Koetter via postfix-users:
Ich würde generell danach streben, alles mit einer DKIM-Signatur zu versehen wenn es von meiner Domain raus zu remote recipients geht - unabhängig davon welches Medium die E-Mail generiert, verändert oder in Umlauf bringt.
So, so. ;) Ich zitiere, Quelle sollte Dir hinreichend bekannt sein: - -----------------------------8<-----------------------------8<-----------------------------8<
DKIM-Signaturen
Ähnliches gilt für DKIM-Signaturen, die nicht angebracht werden, obwohl die DKIM-Konfiguration doch mehrfach erfolreiche mit dem Kommando amavisd-new testkeys <DOMAIN> getestet wurde. DKIM-Signaturen werden eben nur für legitime Sender angebracht. Brächte der Server Signaturen für nicht-legitimierte Sender an, nur weil sie zu einer DKIM-Senderdomain gehören, könnte er leicht Opfer eines Adressmißbrauchs werden.
Da wäre der gute Ruf des Servers schnell ruiniert und reputationsbasierte Anti-Spam-Systeme würden ihm bald die Tür weisen - die deliverability rate sänke signifikant. Deshalb signiert amavis Nachrichten nur, wenn die Absenderdomain DKIM-signiert werden soll und der Client des Senders anhand eines belastbaren Kriteriums eindeutig identifiziert werden konnte. Ist er in @mynetworks gelistet, ist ein hinreichend belastbares Kriterium gegeben und amavis schreitet erwartungsgemäß zur Tat.
- -----------------------------8<-----------------------------8<-----------------------------8<
Wenn Du den Mailinglistenserver als legitimen Sender definierst, dann frage ich mich, wozu dann den Heckmeck mit der DKIM-Konformen Mailmanbetrieb veranstalten sollte.
Watt nu?
Servus Djangp
p@rick
- -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django
* Django via postfix-users django@nausch.org:
HI p@rick!
Am 21.05.2014 22:44, schrieb Patrick Ben Koetter via postfix-users:
Ich würde generell danach streben, alles mit einer DKIM-Signatur zu versehen wenn es von meiner Domain raus zu remote recipients geht - unabhängig davon welches Medium die E-Mail generiert, verändert oder in Umlauf bringt.
So, so. ;) Ich zitiere, Quelle sollte Dir hinreichend bekannt sein:
-----------------------------8<-----------------------------8<-----------------------------8<
DKIM-Signaturen
Ähnliches gilt für DKIM-Signaturen, die nicht angebracht werden, obwohl die DKIM-Konfiguration doch mehrfach erfolreiche mit dem Kommando amavisd-new testkeys <DOMAIN> getestet wurde. DKIM-Signaturen werden eben nur für legitime Sender angebracht. Brächte der Server Signaturen für nicht-legitimierte Sender an, nur weil sie zu einer DKIM-Senderdomain gehören, könnte er leicht Opfer eines Adressmißbrauchs werden.
Da wäre der gute Ruf des Servers schnell ruiniert und reputationsbasierte Anti-Spam-Systeme würden ihm bald die Tür weisen - die deliverability rate sänke signifikant. Deshalb signiert amavis Nachrichten nur, wenn die Absenderdomain DKIM-signiert werden soll und der Client des Senders anhand eines belastbaren Kriteriums eindeutig identifiziert werden konnte. Ist er in @mynetworks gelistet, ist ein hinreichend belastbares Kriterium gegeben und amavis schreitet erwartungsgemäß zur Tat.
-----------------------------8<-----------------------------8<-----------------------------8<
Wenn Du den Mailinglistenserver als legitimen Sender definierst, dann frage ich mich, wozu dann den Heckmeck mit der DKIM-Konformen Mailmanbetrieb veranstalten sollte.
Der Heckmeck resultiert aus gültigen DKIM-Signaturen, die *vor* dem MLM angebracht wurden und die er nicht zerstören soll, weil sie sonst *anschliessend* einer Überprüfung nicht mehr standhielten.
Ob dann der MLM, wie in den Zitat oben angemerkt, *auch* noch eine zweite, gültige SIG nach dem MLM anbringt ändert dann nichts an der Tatsache, dass die erste zerstört wurde.
p@rick
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
HI p@trick!
Am 22.05.2014 06:43, schrieb Patrick Ben Koetter via postfix-users:
Der Heckmeck resultiert aus gültigen DKIM-Signaturen, die *vor* dem MLM angebracht wurden und die er nicht zerstören soll, weil sie sonst *anschliessend* einer Überprüfung nicht mehr standhielten.
Werden eigentlich von openDKIM, AMaViS & Co. alle DKIM-Signaturen geprüft, oder nur die letzte? Wenn ich mir den Mailheader einer Nachricht dieser Liste ansehe, schreibt mit mein MX in den header:
Authentication-Results: mx01.nausch.org/1A91B73; dmarc=none header.from=de.postfix.org Authentication-Results: mx01.nausch.org; dkim=pass reason="1024-bit key" header.d=de.postfix.org header.i=@de.postfix.org header.b=bQ1IpM14; dkim-adsp=pass Authentication-Results: mx01.nausch.org; spf=none smtp.mailfrom=postfix-users-bounces+django=nausch.org@de.postfix.org smtp.helo=postfix.charite.de
Das würde doch bedeuten, dass openDKIM, "nur" den letzten DKIM-Part auswertet, oder? Also, den da: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=de.postfix.org; h=content-transfer-encoding:content-type:content-type :list-subscribe:list-help:list-post:list-archive :list-unsubscribe:list-id:reply-to:precedence:subject:subject :from:from:in-reply-to:content-disposition:mime-version :references:message-id:date:date:received:received:received :received:received:received; s=200801; t=1400705097; bh=JPXsTkgq /cQ7dPdwTn5LHIh7ZOlrzfnc2eylRK6BpoM=; b=bQ1IpM14gqijY58p0D339X1w tKrRlgmUoZlQvsDiGXF6UzTm3K1wZznQYkkC0vp4+d9Anh2XIzLBgyAxLl2lxeXy un+jkXuYq03WN/H+Qrx9a/lRpG5g1vyILdzoXGmDQwAPCUNf+l+oaKv/ZtlAq71/ vObLIu9wl56olhn/yZA=
Den hat ja X-Virus-Scanned: Debian amavisd-new at de.postfix.org angebracht.
Was ist aber mit dem Deinigen da: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=sys4.de; h= in-reply-to:content-transfer-encoding:content-disposition :content-type:content-type:mime-version:references:reply-to :message-id:subject:subject:from:from:date:date; s=mail201310; t=1400705071; x=1402519472; bh=BWMfIn9V3kTTBeLt9+VAb7NTAcwT6f/A trXt8fzNOig=; b=Pu3W4wek+o9XJA8KJwr/k4gPFEn8Bqu0xpOJVZI+s05Pattj FSBsf6v+cd/RLBhqgdNLb7Y09qAUB3oEZGaidT011EnLaZ+glat8WRF572oPhtoA 2aDX3InZ8+xIYe/zdqPJg14l7s3fjkGTolCuFI2pjSxEgNhtKJGGmwyJNfmZ5LCQ HYgbWDARav884Ks6foaDmst78wc9iVqSr+Te48/uQRtxxb53MG/x52SMnt4k5LEZ 6Bu49Zd8zF64gSqWA2PvVFOMFrV0i41hrEiUe0Y27AvECFqPe0Mvtnxnwq0EexCp EeHDiB52eE64jb6zJR0uUhmJPcPJcRnuRsKj9A==
Der dürfte doch letzlich im Arsch sein, da der MLM sowohl den Subject-Header manipuliert, wie auch den Messagebody.
Ob dann der MLM, wie in den Zitat oben angemerkt, *auch* noch eine zweite, gültige SIG nach dem MLM anbringt ändert dann nichts an der Tatsache, dass die erste zerstört wurde.
Ja, da bin ich voll bei Dir!
Irgendwie hab ich aber doch grad' 'nen Block in meinen verrosteten Gehirnwindungen, oder ich denke zu kompliziert.
Servus Django - -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django
Hello,
Am 21.05.2014 22:44, schrieb Patrick Ben Koetter via postfix-users:
Ich würde generell danach streben, alles mit einer DKIM-Signatur zu
versehen
wenn es von meiner Domain raus zu remote recipients geht
Wow, das überrascht mich doch ein wenig.
- unabhängig davon
welches Medium die E-Mail generiert, verändert oder in Umlauf bringt.
Ohne jetzt das genaue Verhalten von DMARC zu kennen, würde mich nun schon interessieren, was so ein dmarc-policy-daemon nun macht, wenn ein Mailserver eine Nachricht soweit manipuliert, dass eine DKIM-Signatur gebrochen wurde, und er diese erneut signiert. Was macht dann ein empfangenes DMARC-prüfendes System?
have a nice day! n3rdfr0mh3ll
* n3rdfr0mh3ll via postfix-users n3rd@sec-mail.guru:
Hello,
Am 21.05.2014 22:44, schrieb Patrick Ben Koetter via postfix-users:
Ich würde generell danach streben, alles mit einer DKIM-Signatur zu
versehen
wenn es von meiner Domain raus zu remote recipients geht
Wow, das überrascht mich doch ein wenig.
Weshalb? Was daran überrascht Dich?
- unabhängig davon
welches Medium die E-Mail generiert, verändert oder in Umlauf bringt.
Ohne jetzt das genaue Verhalten von DMARC zu kennen, würde mich nun schon interessieren, was so ein dmarc-policy-daemon nun macht, wenn ein Mailserver eine Nachricht soweit manipuliert, dass eine DKIM-Signatur gebrochen wurde, und er diese erneut signiert. Was macht dann ein empfangenes DMARC-prüfendes System?
Es prüft zuerst über DNS ob eine DMARC-Policy in der Senderdomain existiert. Ist sie gegeben, prüft es ob die Nachricht noch in Übereinstimmung (alignment) mit den Vorgaben für DKIM und SPF sind. Ist das nicht der Fall, folgt des den Vorgaben der, in der Senderdomain veröffentlichten, DMARC-Policy.
Die kann - und das wird aktuell sehr strittig und auch ohne Bandagen diskutiert - besagen: "Wenn eine Mail nicht mehr in alignment ist, dann rejecte die Nachricht." Das resultiert in einem Bounce und der kann auf Mailinglisten zum unsubsribe des Senders führen, obwohl der gar nichts dafür kann, dass der MLM die DKIM Sig geshreddert hat.
Eine DMARC-Policy muss nicht immer einen reject einfordern. Sie kann auch 'none' und 'quarantine' bestimmen - 'none' ist dann gut wenn Du wissen willst, ob Du Probleme hast, derer Du ggf. mit DMARC Herr werden könntest.
Dazu setzt Du dann eine Feedback-Adresse und an die werden dann reports und ggf. forensic-reports (mehr verbose) gesendet.
Das grundsätzliche Ziel von DMARC ist, Phishing im Namen Deiner Senderdomain zu unterbinden. Du veröffentlichst die Policy (z.B. rejecten und feedback) und die anderen kicken das raus, was von Deiner Domain vorzugeben scheint, aber nicht die Routing-Ansagen von SPF einhält oder verifizierbare DKIM-Sigs hat.
Der Nutzen von DMARC ist offensichtlich. Wenn es flächendeckend und auch in mailverarbeitenden/-verändernden Instanzen (z.B.: MTA -> Mailingliste -> MTA) eingesetzt werden soll, dann muss die Art der Verarbeitung so verändert werden, dass SPF und DKIM unverändert passieren können.
Auf Mailinglisten bedeutet das z.B. dass der Betreff nicht verändert wird indem der Mailinglisten-Name hinzugfügt wird und auch, dass kein Footer hinzugefügt wird. Beides würde die DKIM-Sig zerstören.
Alternativ kann der MLM die Autorenschaft übernehmen und die Nachricht als Sender "Mailingliste" verbreiten. Dann wird alles auf Null zurückgesetzt und (alte) Regeln für SPF und DKIM gelten nicht mehr - sie können dann auch nicht mehr aus dem 'alignment' fallen und ein DMARC-Filter hat keinen Anlass, die Nachricht zu rejecten.
Hier, auf dieser ML, machen wir beides (weil Ralf und ich auch postmaster für python.org sind und entsprechend nahe an der Entwicklung von mailman sind). Wir verändern weder Subject noch fügen wir einen Footer ein und wir modifizieren den From:-Header (lies: übernehmen die Autorenschaft).
Für viele bedeutet das, sie müssen durch diese Veränderungen von für sie nützlichen und liebgewonnenen Gewohnheiten Abschied nehmen und ich kenne einige, die das zutiefst ablehnen und dabei auch richtig wütend werden.
Ich selbst habe noch keine abschliessende Meinung. Ich sehe, DMARC ist effektiv. Ich verstehe, dazu muss sich auch was in der Mailverarbeitung ändern. Mein Verständnis dafür hält sich in Grenzen.
Wenn es denn sein muss, dann werde ich das Verändern mitragen, aber wenn eine besser Idee auftaucht, dann heule ich den erzwungenen Veränderungen auch nicht nach und mache sie lieber heute als morgen rückgängig.
Ein wenig wie Greylisting. Da bin ich auch tierische dankbar, dass es postscreen gibt, der mir Greylisting ersetzen geholfen hat. :)
p@rick
Hallo Patrick,
du sagst dass hier auf der ML das subject nicht verändert wird. Warum haben dann alle Mails die ich von dieser ML bekomme [postfix-users] im Betreff?
Wenn der MLM sowieso die Mails mit seinem Absender versieht könnte er doch theoretisch auch das subject verändern ohne die neue DKIM Sig zu brechen?
On 22. Mai 2014 23:58:38 MESZ, Patrick Ben Koetter via postfix-users postfix-users@de.postfix.org wrote:
Hier, auf dieser ML, machen wir beides (weil Ralf und ich auch postmaster für python.org sind und entsprechend nahe an der Entwicklung von mailman sind). Wir verändern weder Subject noch fügen wir einen Footer ein und wir modifizieren den From:-Header (lies: übernehmen die Autorenschaft).
Grüße, Tobias
Am 23.05.2014 06:48, schrieb Tobias Hachmer via postfix-users:
Hallo Patrick,
du sagst dass hier auf der ML das subject nicht verändert wird. Warum haben dann alle Mails die ich von dieser ML bekomme [postfix-users] im Betreff?
Wenn der MLM sowieso die Mails mit seinem Absender versieht könnte er doch theoretisch auch das subject verändern ohne die neue DKIM Sig zu brechen?
ich bin mit dem Setupdieser Liste nicht vertraut , aber grundsaetzlich gilt ,ein Absender kann jederzeit selbst [postfix-users] ins Betreff setzen
On 22. Mai 2014 23:58:38 MESZ, Patrick Ben Koetter via postfix-users postfix-users@de.postfix.org wrote:
Hier, auf dieser ML, machen wir beides (weil Ralf und ich auch postmaster für python.org sind und entsprechend nahe an der Entwicklung von mailman sind). Wir verändern weder Subject noch fügen wir einen Footer ein und wir modifizieren den From:-Header (lies: übernehmen die Autorenschaft).
Grüße, Tobias _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
* Tobias Hachmer via postfix-users tobias@hachmer.de:
du sagst dass hier auf der ML das subject nicht verändert wird. Warum haben dann alle Mails die ich von dieser ML bekomme [postfix-users] im Betreff?
Du hast recht! Wir machen das nur für amavis-users@amavis.org (selber server) und ich habe das gestern nicht bemerkt. Hmm, ich neige dazu, das ändern zu wollen...
Wenn der MLM sowieso die Mails mit seinem Absender versieht könnte er doch theoretisch auch das subject verändern ohne die neue DKIM Sig zu brechen?
Das könnte er oder er könnte alles belassen wie es ist und kein Subject verändern und keinen Footer anfügen. So oder so verliert 'man' was. Ich persönlich hänge nicth an Subject und Footer, weil ich die Mails anhand des List-Id:-Headers filtere und tagge.
p@rick
Am 22.05.2014 23:58, schrieb Patrick Ben Koetter via postfix-users:
- n3rdfr0mh3ll via postfix-users n3rd@sec-mail.guru:
Hello,
Am 21.05.2014 22:44, schrieb Patrick Ben Koetter via postfix-users:
Ich würde generell danach streben, alles mit einer DKIM-Signatur zu
versehen
wenn es von meiner Domain raus zu remote recipients geht
Wow, das überrascht mich doch ein wenig.
Weshalb? Was daran überrascht Dich?
- unabhängig davon
welches Medium die E-Mail generiert, verändert oder in Umlauf bringt.
Ohne jetzt das genaue Verhalten von DMARC zu kennen, würde mich nun schon interessieren, was so ein dmarc-policy-daemon nun macht, wenn ein Mailserver eine Nachricht soweit manipuliert, dass eine DKIM-Signatur gebrochen wurde, und er diese erneut signiert. Was macht dann ein empfangenes DMARC-prüfendes System?
Es prüft zuerst über DNS ob eine DMARC-Policy in der Senderdomain existiert. Ist sie gegeben, prüft es ob die Nachricht noch in Übereinstimmung (alignment) mit den Vorgaben für DKIM und SPF sind. Ist das nicht der Fall, folgt des den Vorgaben der, in der Senderdomain veröffentlichten, DMARC-Policy.
Die kann - und das wird aktuell sehr strittig und auch ohne Bandagen diskutiert - besagen: "Wenn eine Mail nicht mehr in alignment ist, dann rejecte die Nachricht." Das resultiert in einem Bounce und der kann auf Mailinglisten zum unsubsribe des Senders führen, obwohl der gar nichts dafür kann, dass der MLM die DKIM Sig geshreddert hat.
Eine DMARC-Policy muss nicht immer einen reject einfordern. Sie kann auch 'none' und 'quarantine' bestimmen - 'none' ist dann gut wenn Du wissen willst, ob Du Probleme hast, derer Du ggf. mit DMARC Herr werden könntest.
Dazu setzt Du dann eine Feedback-Adresse und an die werden dann reports und ggf. forensic-reports (mehr verbose) gesendet.
Das grundsätzliche Ziel von DMARC ist, Phishing im Namen Deiner Senderdomain zu unterbinden. Du veröffentlichst die Policy (z.B. rejecten und feedback) und die anderen kicken das raus, was von Deiner Domain vorzugeben scheint, aber nicht die Routing-Ansagen von SPF einhält oder verifizierbare DKIM-Sigs hat.
Der Nutzen von DMARC ist offensichtlich. Wenn es flächendeckend und auch in mailverarbeitenden/-verändernden Instanzen (z.B.: MTA -> Mailingliste -> MTA) eingesetzt werden soll, dann muss die Art der Verarbeitung so verändert werden, dass SPF und DKIM unverändert passieren können.
Auf Mailinglisten bedeutet das z.B. dass der Betreff nicht verändert wird indem der Mailinglisten-Name hinzugfügt wird und auch, dass kein Footer hinzugefügt wird. Beides würde die DKIM-Sig zerstören.
Alternativ kann der MLM die Autorenschaft übernehmen und die Nachricht als Sender "Mailingliste" verbreiten. Dann wird alles auf Null zurückgesetzt und (alte) Regeln für SPF und DKIM gelten nicht mehr - sie können dann auch nicht mehr aus dem 'alignment' fallen und ein DMARC-Filter hat keinen Anlass, die Nachricht zu rejecten.
Hier, auf dieser ML, machen wir beides (weil Ralf und ich auch postmaster für python.org sind und entsprechend nahe an der Entwicklung von mailman sind). Wir verändern weder Subject noch fügen wir einen Footer ein und wir modifizieren den From:-Header (lies: übernehmen die Autorenschaft).
Für viele bedeutet das, sie müssen durch diese Veränderungen von für sie nützlichen und liebgewonnenen Gewohnheiten Abschied nehmen und ich kenne einige, die das zutiefst ablehnen und dabei auch richtig wütend werden.
Ich selbst habe noch keine abschliessende Meinung. Ich sehe, DMARC ist effektiv. Ich verstehe, dazu muss sich auch was in der Mailverarbeitung ändern. Mein Verständnis dafür hält sich in Grenzen.
Wenn es denn sein muss, dann werde ich das Verändern mitragen, aber wenn eine besser Idee auftaucht, dann heule ich den erzwungenen Veränderungen auch nicht nach und mache sie lieber heute als morgen rückgängig.
Ein wenig wie Greylisting. Da bin ich auch tierische dankbar, dass es postscreen gibt, der mir Greylisting ersetzen geholfen hat. :)
p@rick
Bei Listservern kommt auch noch ein wenig die eigentliche Kundenklientel dazu, Listen bedienen ja viele Themen und deren User sind unterschiedlich technisch gebildet. Ausserdem ist zu beruecksichtigen welche Mailserver von den Usern hauptsaechlich genutzt werden.
Was wollen diese User, in erster Linie wollen diese Listmails empfangen, und zwar moeglichst ohne Spam. Insofern stehen Techniken die den Empfang ( vor allem bei grossen Mailprovidern ) ermoeglichen im Vordergrund. Da ist es extrem sinnvoll selbst die Autorenschaft zu uebernehmen und dafuer eine gute DKIM, SPF policy zu waehlen.
Fuer den Eingang zum Listserver gilt wohl Dkim und Spf schuetzen vor Spam nur indirekt, deshalb ist z.b ihre Standard Gewichtung im Spamassassin weitgehend neutral. Ausserdem ist zu beruecksichtigen das Listteilnehmer nun ja auch ueber den Nutzen von blauen Pillen diskutieren koennten, und dies ohne Betreff nur mit html links in mails.
Man wird also nicht ganz umhinkommen das Verhalten von Listservern abzustimmen, mails abzulehnen zb wg falschen SPF etc ist da evtl nicht zielfuehrend, besser ist dann evtl eine Gewichtung nach Inhalt ueber Spamassassin vorzunehmen und den Rest im Zweifelsfall z.B einem Moderator zu ueberlassen. DKIM ist grundsaetzlich die bessere Variante welche Gewichtung hier gewaehlt wird muss der Admin ebenfalls selbst entscheiden, hier und da mag die Authentizität des Senders eins ueberragende Rolle spielen.
Best Regards MfG Robert Schetterer
HI großer Joda!
Am 22.05.2014 23:58, schrieb Patrick Ben Koetter via postfix-users:
Hier, auf dieser ML, machen wir beides (weil Ralf und ich auch postmaster für python.org sind und entsprechend nahe an der Entwicklung von mailman sind). Wir verändern weder Subject noch fügen wir einen Footer ein und wir modifizieren den From:-Header (lies: übernehmen die Autorenschaft).
Ähhh, also wenn ich mir mein Eingangsposting mal so ansehe, dann liegt da in meinem sent-folder: ---------------------------<schnippldieschnapp>--------------------------------- Date: Wed, 21 May 2014 22:32:02 +0200 From: Django django@nausch.org User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Thunderbird/24.5.0 MIME-Version: 1.0 To: postfix-users@de.postfix.org Subject: Postfix (AMaViS) DKIM und Mailman X-Enigmail-Version: 1.6 Content-Type: text/plain; charset=ISO-8859-15 Content-Transfer-Encoding: 8bit
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Griaseichallemidananda!
Zur Zeit beschäftige ich mich intensiv mit der Thematik DMARC. Dabei spielt, wie soll es ander sein, SPF und DKIM eine entscheidende Rolle.
In aller Regel kenne ich es ja so, dass man nur die Nachrichten mit einer DKIM-Signatur versieht, die aus mynetworks kommen, bzw. Nachrichten, die via Port 465/587 eingeliefert wurden. Gibt es einen validen Grund, Nachrichten anderer Maildomänen, die z.B. über einen Mailinglistenserver, wie Mailman, angeliefert worden sind beim Versand mit der eigenen DKIM-Signatur zu versehen?
Ich weiß, das hat nix originär mit Postfix zu tun, aber im Grunde spielt das ja auch immer mit herein.
Also Leute, wie seht Ihr die Sache?
Servus Django - -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django
_______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users ---------------------------<schnippldieschnapp>---------------------------------
Wir verändern weder Subject noch fügen wir einen Footer ein
So so! Sicher? Also wenn Ihr weder das Subject geändert habt, noch den Footer eingefügt hat, wer war das dann? Also langsam zweifle ich doch an meinem Geisteszustand ... :/
Klär' mich doch mal auf, woher das kommt, oder war's doch BND, NSA & Co.?
Servus Django
Am 21.05.2014 22:32, schrieb Django via postfix-users:
Griaseichallemidananda!
Zur Zeit beschäftige ich mich intensiv mit der Thematik DMARC. Dabei spielt, wie soll es ander sein, SPF und DKIM eine entscheidende Rolle.
In aller Regel kenne ich es ja so, dass man nur die Nachrichten mit einer DKIM-Signatur versieht, die aus mynetworks kommen, bzw. Nachrichten, die via Port 465/587 eingeliefert wurden. Gibt es einen validen Grund, Nachrichten anderer Maildomänen, die z.B. über einen Mailinglistenserver, wie Mailman, angeliefert worden sind beim Versand mit der eigenen DKIM-Signatur zu versehen?
du erhoehst die Chance das Mails "nicht" als Spam markiert werden oder abgelehnt bei groesseren Mailprovidern, eine Garantie dafuer gibt es freilich nicht, ob die mails von einem mailman stammen oder nicht, spielt dabei nur in sofern eine Rolle, dass Listserver fuer gewoehnlich pro Zeiteinheit sehr viel mehr Mails an das gleiche Ziel ( Mailserver ) senden.
Ich hatte auf jeden Fall "Spass" als Yahoo sein DMARC umgestellt hatte mit einem Mailman, das funktionierte vernuenftig nur weiter nachdem der Mailman upgedated war und entsprechende Einstellungen gemacht wurden.
Dkim, Spf sind meiner Erfahrung nach sinnvoll, ob man Dmarc will muss wohl jeder selbst entscheiden, die entsprechenden Policies sollten aber gut ueberlegt und sinnvoll zueinander passen.
zb lesen
http://www.heise.de/newsticker/meldung/DMARC-Policy-Yahoo-killt-Mailingliste... https://sys4.de/de/blog/2013/08/11/dkim-konforme-mailinglisten/ https://sys4.de/de/blog/2013/08/11/mailman-dmarc-konform-betreiben/ https://sys4.de/de/blog/2013/04/15/dmarc-standard-um-missbrauch-von-mailadre...
Ich weiß, das hat nix originär mit Postfix zu tun, aber im Grunde spielt das ja auch immer mit herein.
Also Leute, wie seht Ihr die Sache?
Servus Django _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
HI Robert!
Am 22.05.2014 07:21, schrieb Robert Schetterer via postfix-users:
du erhoehst die Chance das Mails "nicht" als Spam markiert werden oder abgelehnt bei groesseren Mailprovidern, eine Garantie dafuer gibt es freilich nicht, ob die mails von einem mailman stammen oder nicht, spielt dabei nur in sofern eine Rolle, dass Listserver fuer gewoehnlich pro Zeiteinheit sehr viel mehr Mails an das gleiche Ziel ( Mailserver ) senden.
Jepp, wobei letzteres eher zum Tragen kommt, als die DKIM-Signatur. So zumindest meine Erfahrung.
Dkim, Spf sind meiner Erfahrung nach sinnvoll, ob man Dmarc will muss wohl jeder selbst entscheiden, die entsprechenden Policies sollten aber gut ueberlegt und sinnvoll zueinander passen.
Ich denke, so richtig rund würde die Sache erst werden, wenn ich beim DMARC definieren könnte: if SPF fail then tolleriere das if DKIM fail then tolleriere das if both fail mach 'nen reject.
Was ich DMARC positives abringe ist die Tatsache, dass ich als MX-Betreiber vorgeben kann, was der Empfänger damit machen soll und nicht auf das Gutdünken eines Admins angewiesen bin. Und natürlich die Tatsache, dass ich als Betreiber eines Mailservers über den "missbräuchlichen Gebrauch meiner eMails" 'n Feedback bekomme.
zb lesen
Du stellst aber hohe Anforderungen! :P Ich bin ja schon mit http://dokuwiki.nausch.org/doku.php/centos:mail_c6:mta_13 überfordert. LOL
ttyl, Django - -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django
Am 22.05.2014 22:06, schrieb Django [BOfH] via postfix-users:
HI Robert!
Am 22.05.2014 07:21, schrieb Robert Schetterer via postfix-users:
du erhoehst die Chance das Mails "nicht" als Spam markiert werden oder abgelehnt bei groesseren Mailprovidern, eine Garantie dafuer gibt es freilich nicht, ob die mails von einem mailman stammen oder nicht, spielt dabei nur in sofern eine Rolle, dass Listserver fuer gewoehnlich pro Zeiteinheit sehr viel mehr Mails an das gleiche Ziel ( Mailserver ) senden.
Jepp, wobei letzteres eher zum Tragen kommt, als die DKIM-Signatur. So zumindest meine Erfahrung.
das Problem ist das real so ziemlich jede Kombination von spf,dkim,dmarc beim Empfaenger existiert, ich aergere mich gerade mit hotmail rum, die relayen scheinbar fuer interne Systeme die zb nur SPF checken und schicken dann fuer jeden "falschen" Einlog Versuch eine Abuse Mail das ist sehr nervig
Dkim, Spf sind meiner Erfahrung nach sinnvoll, ob man Dmarc will muss wohl jeder selbst entscheiden, die entsprechenden Policies sollten aber gut ueberlegt und sinnvoll zueinander passen.
Ich denke, so richtig rund würde die Sache erst werden, wenn ich beim DMARC definieren könnte: if SPF fail then tolleriere das if DKIM fail then tolleriere das if both fail mach 'nen reject.
gutes Argument, wenn du einzelne Milter/policy server nutzt koenntest du das evtl so anordnen, den opendmarc milter hab ich noch nicht getestet, amavis nutze ich derzeit nicht in diesem Zusammenhang
Was ich DMARC positives abringe ist die Tatsache, dass ich als MX-Betreiber vorgeben kann, was der Empfänger damit machen soll und nicht auf das Gutdünken eines Admins angewiesen bin. Und natürlich die Tatsache, dass ich als Betreiber eines Mailservers über den "missbräuchlichen Gebrauch meiner eMails" 'n Feedback bekomme.
zb lesen
Du stellst aber hohe Anforderungen! :P Ich bin ja schon mit http://dokuwiki.nausch.org/doku.php/centos:mail_c6:mta_13 überfordert. LOL
*g cooler blog
ttyl, Django _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
HI Robert,
Am 23.05.2014 05:27, schrieb Robert Schetterer via postfix-users:
Mich nervt AOL. Ein paar User dort klicken auf irgendwelche "das ist aber böser SPAM"-Button bei Mails diverse Mailinglisten, nur weil sie vergessen haben, dass sie sich dort selbst eingetragen hatten. Nix schlimmes, aber es nervt ...
Also wenn, dann fuktioniert das ganze sowieso nur, wenn Du ausschließlich Milter einsetzt. Ich mach das so: (Auszug meiner main.cf)
# Django : 2014-03-19 # SPF-Check und DKIM-Signaturüberprüfung via SMF-SPF- und DKIM-Milter # einbinden. spf_milter = inet:127.0.0.1:10010 opendkim_milter = inet:127.0.0.1:10011 opendmarc_milter = inet:127.0.0.1:10012 amavisd_milter = inet:10.0.0.60:10013
Amavis macht dann "nur noch" AS und AV.
Hat sich so aus einer Loseblattsammlung über Jahre entwickelt. :) http://dokuwiki.nausch.org/lib/exe/fetch.php/chart-entwicklung_der_besucherz...
Irgenwo muss ich das für mich ja vorhalten. Und ein potentieller Arbeitgeber kann sich so schon mal überzeugen, was der gute Django kann oder eben nicht. ;)
Servus Django - -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django
Am 23.05.2014 12:39, schrieb Django [BOfH] via postfix-users:
HI Robert,
Am 23.05.2014 05:27, schrieb Robert Schetterer via postfix-users:
Mich nervt AOL. Ein paar User dort klicken auf irgendwelche "das ist aber böser SPAM"-Button bei Mails diverse Mailinglisten, nur weil sie vergessen haben, dass sie sich dort selbst eingetragen hatten. Nix schlimmes, aber es nervt ...
wem sagst du das....., Aol ist ziemlich arg, ich hoffe immer noch die Marke verschwindet irgendwann
Also wenn, dann fuktioniert das ganze sowieso nur, wenn Du ausschließlich Milter einsetzt. Ich mach das so: (Auszug meiner main.cf)
# Django : 2014-03-19 # SPF-Check und DKIM-Signaturüberprüfung via SMF-SPF- und DKIM-Milter # einbinden. spf_milter = inet:127.0.0.1:10010 opendkim_milter = inet:127.0.0.1:10011 opendmarc_milter = inet:127.0.0.1:10012 amavisd_milter = inet:10.0.0.60:10013
Amavis macht dann "nur noch" AS und AV.
jo so in der Art kann man es machen, wenn man will
Hat sich so aus einer Loseblattsammlung über Jahre entwickelt. :) http://dokuwiki.nausch.org/lib/exe/fetch.php/chart-entwicklung_der_besucherz...
Irgenwo muss ich das für mich ja vorhalten. Und ein potentieller Arbeitgeber kann sich so schon mal überzeugen, was der gute Django kann oder eben nicht. ;)
musst du dir da wirklich Sorgen machen ? *ggg
Servus Django _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
HI,
Am 23.05.2014 13:27, schrieb Robert Schetterer via postfix-users:
Ich mach das so: (Auszug meiner main.cf)
# Django : 2014-03-19 # SPF-Check und DKIM-Signaturüberprüfung via SMF-SPF- und DKIM-Milter # einbinden. spf_milter = inet:127.0.0.1:10010 opendkim_milter = inet:127.0.0.1:10011 opendmarc_milter = inet:127.0.0.1:10012 amavisd_milter = inet:10.0.0.60:10013
Amavis macht dann "nur noch" AS und AV.
jo so in der Art kann man es machen, wenn man will
Ich find die Definition der Variablen ganz angenehm, da ich dan in der master.cf die einzelnen milter individuell ziehen kann.
Bsp.: # ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================== smtp inet n - n - - smtpd # Django : 2014-03-25 # SMF-SPF Milter -o smtpd_milters=${spf_milter},${opendkim_milter},${opendmarc_milter},${amavisd_milter}
# Django : 2013-02-15 # Submission auf Port 587 geöffnet submission inet n - n - - smtpd -o smtpd_milters= -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o mydestination=lists.nausch.org,fax.nausch.org -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_etrn_restrictions=reject -o smtpd_milters=${amavisd_milter}
# Django : 2013-02-15 # SMTPS auf Port 465 geöffnet smtps inet n - n - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_etrn_restrictions=reject -o smtpd_milters=${amavisd_milter} -o milter_macro_daemon_name=SMTP_AUTH
Und bis jetzt, ahbe ich noch kein besser Variante gefunden. Es sei denn Du hast noch Vorschläge, dann nur her damit. Ich bin für alles offen.
musst du dir da wirklich Sorgen machen ? *ggg
Nö, ich denke nicht, dass ich mich da Sorgen machen muss. :)
Servus Django - -- "Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God http://wetterstation-pliening.info http://dokuwiki.nausch.org http://wiki.piratenpartei.de/Benutzer:Django
Am 23.05.2014 19:11, schrieb Django [BOfH] via postfix-users:
Und bis jetzt, ahbe ich noch kein besser Variante gefunden. Es sei denn Du hast noch Vorschläge, dann nur her damit. Ich bin für alles offen.
nun ich nutze kein amavis, und spf nicht als milter sondern die alte perl Variante die nutze ich aber nur selektiv auf reverse ips mit mehr mit 4 Punkten etc aehnlich mache ich es mit greylisting ( plus postscreen ), ansonsten nur spamass-milter , clamav-milter mit sanesecurity anti pish signaturen, dkim nur im Ausgang ( das werde ich aber aendern ) , dmarc-milter habe ich noch nicht getestet, derzeit habe ich mit den Setups keine Probleme.
Die Herausforderungen der verschiedenen Server differieren sehr stark beim einm Setup muss ich regide zusaetzlich mit firewalling arbeiten bei anderen gilt eine gewisse Spamrate als akzeptabel ( false postive Rate wiegt hier mehr )
Ausserdem habe ich da einen Mailman mit ca 1000 Users die geografisch sehr US lastig sind und technisch nicht sehr versiert, den musste ich wie gesagt umstellen, Spam war aber dort auch nie ein grosses Problem den ueblichen Muell faengt clamav eigentlich ganz passabel sehr weit vorne ab.
Ich denke da gibts kein "Ideal" das muss man schlichtweg anpassen ich lese so ziemlich jeden Tag in die logs rein, und reagiere dann halt von Fall zu Fall, die naechste Generation der Setups wird sicherlich erheblich erweitert werden, aber da bin ich noch am testen, smtp seitig mach ich mir eh zur Zeit eher weniger Gedanken, das ist schon alles sehr ausgereift ( Postfix ) , auch wenn es hier und da mal Probleme gibt.
Best Regards MfG Robert Schetterer
participants (6)
-
Django [BOfH] via postfix-users -
Django via postfix-users
-
n3rdfr0mh3ll via postfix-users
-
Patrick Ben Koetter via postfix-users
-
Robert Schetterer via postfix-users
-
Tobias Hachmer via postfix-users