[Mailman-de] Frage: Wenn Listenname und eine Member-Adresse bekannt sind, können dann fremde Mails in die Liste geschleust werden?

Thomas F. Holz tfh at Seelen.Theater
Di Jan 24 13:23:50 CET 2023 

Hallo in die Runde.
Leider habe ich keinen besseren Ort für meine Fragen finden können. Auch 
mittels Doku oder Google ist mir (noch) keine Antwort gelungen.
Daher nun hier. Die Fragen beziehen sich auf Mailman 2.1.23.
Wenn ich die Adresse eines Listenteilnehmers und die der Mailingliste 
kenne, scheine ich an dessen Stelle in der Liste schreiben zu dürfen.
Ist das korrekt?
Mir scheint, das ist bei den von mir verantworteten Listen auf 
mindestens zwei Wegen möglich, und das gefällt mir nicht:
1)---
Zum einen kann ich die Absenderadresse fälschen. Wenn die ursprüngliche 
Absenderadresse und Mail mit der Fälschung von der gleichen Domain 
verschickt werden, dann wird das doch auch nicht durch den MTA (SPF/DKIM 
Prüfung) verhindert, oder?
Bei Freemailern wie gmail, web.de, gmx etc. scheint mir das gar nicht so 
unmöglich (also dass Listmember und Bösewichtel von der gleichen Domain 
aus schreiben).
2)---
Zum anderen, noch viel merkwürdiger für mich:
Wenn ich von einer validen Adresse (die NICHT Member der Mailingliste 
ist) an die Mailingliste schreibe, und im Header ein "Return-to" mit 
Adresse eines Listenmitglieds angebe, dann wird auch das in meine 
Mailingliste durchgewunken. Meine Mailman-Listen hier scheinen die 
"From"-Adresse dann komplett zu ignorieren.
In diesem Fall ist es sogar völlig egal, von welcher Domäne der 
Bösewichtel schreibt, solange die Absenderadresse den üblichen Prüfungen 
(SPF/DKIM/DMARC) standhält.
Habe ich das korrekt verstanden?
Und wenn das so ist wie beschrieben, wie kann ich das verhindern?
Hintergrund: Ich habe eine größeren Sendmail-Server und mehrere Dutzend 
Mailman-Listen geerbt. Leider kommt (zumindest in absehbarer Zeit) keine 
Migration auf Mailman3 in Betracht. Daher muss ich mit dem Gegebenen 
leben - und andere von Zeit zu Zeit mit dummen Fragen nerven. Sorry dafür.
Vorab mit Dank und Gruß aus dem Westerwald,
Thomas
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/mailman-de/attachments/20230124/59cf8b79/attachment.htm>

Mehr Informationen über die Mailingliste Mailman-de