Frage Mailinglisten DNSEC DKIM usw.

Patrick Ben Koetter p at sys4.de
Mo Feb 26 14:34:28 CET 2018 

Hallo Günther,

* Günther J. Niederwimmer <postfixbuch-users at listen.jpberlin.de>:
> ist das eigentlich üblich DKIM  Fehler zu bekommen!

es kommt noch viel zu häufig vor, weil eine Verletzung von DKIM-Signaturen
sich bisher wenig auf die deliverability ausgewirkt hatte. Das wird sich bei
steigender Popularität von DMARC, über das nun DKIM-Policies vermittelt werden
können, ändern.

> Hintergrund:
> 
> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert, jetzt 
> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen umgestellt.
> 
> Seit dem hagelt es Statusreports mit Fehlermeldungen ??

Dann, nehme ich an, nutzt Du schon DMARC und lässt Dir Fehlermeldungen
zusenden.


> Kann man so eine Email Adresse nicht für Mailinglisten verwenden oder ist da 
> was falsch eingestellt?

Im Regelfall ist der MLM bzw. die Config der Mailingliste falsch eingestellt.
Peer hat vor einer Weile auf Umschreiben der Adresse umgestellt. Damit löst er
sich aus der DKIM-Vorgabe Deiner Senderdomain und kann deren Policy gar nicht
mehr verletzen. Wie das mit Mailman geht, hatten wir 2013 in
https://blog.sys4.de/mailman-dmarc-konform-betreiben-de.html beschrieben.

Alternativ kann der MLM auch so konfiguriert werden, dass er Subject und Body
nicht verändert. Darüber hatte ich in etwa zur selben Zeit auch im sys4 Blog
geschrieben: https://blog.sys4.de/dkim-konforme-mailinglisten-de.html

Ob das die einzigen beiden brauchbaren Möglichkeiten bleiben werden, ist noch
nicht abschliessend geklärt. Mit ARC steht eine Ergänzung zu DKIM zur
Standardisierung an, die es einem MLM gestattet eine DKIM-konforme Nachricht
vor dem Versenden selbst zu signieren und gleichzeitig die Konformität der
Nachricht zum Zeitpunkt der Annahme zu bestätigen.

Ob das was wird, zweifle ich allerdings noch an. Ein ARC-Signierer muss
trusted sein, d.h. er muss auf einer Liste vertrauenswürdiger Signierer
geführt werden. Diese Liste soll – so mein letzter Wissensstand – von Hand
geführt und verteilt werden.

Das könnte man meiner Meinung nach schon als bewußte Sabotage auffassen. Und
irgendwie erinnert es mich schwer an die pre-DNS-Zeit in Deutschland, als
Peter Koch noch Listen mit DNS-IP-Zuordnungen von Hand geführt und auf seinem
FTP-Server zur Verfügung gestellt hat. Damals 14 - 18 vor Verdun… :-/

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste Postfixbuch-users