Frage Mailinglisten DNSEC DKIM usw.

Andreas Schulze andreas.schulze at datev.de
Mo Feb 26 16:12:24 CET 2018 

Am 26.02.2018 um 14:58 schrieb Günther J. Niederwimmer:
> Hallo,
>
> Am Montag, 26. Februar 2018, 14:25:47 CET schrieb Andreas Pothe:
>> Hi,
>>
>> Am 26.02.2018 um 14:20 schrieb Günther J. Niederwimmer:
>>> ist das eigentlich üblich DKIM Fehler zu bekommen!
>>>
>>>>> Hintergrund:
>>>>>
>>>>> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert,
>>>>> jetzt
>>>>> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen
>>>>> umgestellt.
>>>>>
>>>>> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
>>>> Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
>>>> successfull.
>>> Das ist ja auch meine "alte" EMail Adresse ohne DNSSEC usw. ;-)
>>>
>>> Ich habe zum Test nur bei opensuse Mailinglisten auf meine "neuen"
>>> Adressen
>>> umgestellt und da funktioniert das ganze anscheinend nicht!
>>>
>>> Da bekkomme ich nur Reports mit "fail" da ja der SUSE Server nicht zu
>>> meiner Adresse passt!
>> Das hat dann aber nichts mit DNSSEC zu tun, sondern damit, dass dein
>> DKIM nicht passt. Wer nimmt denn aufgrund fehlerhafter DKIM-Signatur
>> nicht an, die Mailingliste oder deren Empfänger? Wenn letzteres, wird
>> der Header durch den Mailinglisten-Server verändert.
>>
>> Lass mich raten: Du hast auch den Header auf Strict? Versuch es mal mit
>> Relaxed, dann ist die Wahrscheinlichkeit für Ablehnung besser.
>>
>> Für weitere Hilfe brauchen wir Tacheles. Ohne konkrete Daten können wir
>> nur spekulieren, das ist doof.
> Ja ich habe auch DMARK aktiviert ist ein rspamd installation!
>
> Du meintest Tacheles ;-)
>
> die Mailingliste nimmt es an, es kommen die Fehlermeldungen vom Empfänger!
>
> wie gesagt, ich habe erst 2 Mailinglisten umgestellt auf die neue Adresse.
> z.B. sowas
> <?xml version="1.0" encoding="UTF-8" ?>
> <feedback>
> 	<version>1.0</version>
> 	<report_metadata>
> 		<org_name>comcast.net</org_name>
> 		<email>dmarc-admin at alerts.comcast.net</email>
> 		<report_id>v1-1519629093-gjn.at</report_id>
> 		<date_range>
> 			<begin>1519516800</begin>
> 			<end>1519603200</end>
> 		</date_range>
> 	</report_metadata>
> 	<policy_published>
> 		<domain>gjn.at</domain>
> 		<adkim>s</adkim>
> 		<aspf>s</aspf>
> 		<p>reject</p>
> 		<sp>reject</sp>
> 		<pct>100</pct>
> 		<fo>0</fo>
> 	</policy_published>
> 	<record>
> 		<row>
> 			<source_ip>195.135.221.145</source_ip>
> 			<count>1</count>
> 			<policy_evaluated>
> 				<disposition>reject</disposition>
> 				<dkim>fail</dkim>
> 				<spf>fail</spf>
> 			</policy_evaluated>
> 		</row>
> 		<identifiers>
> 			<header_from>gjn.at</header_from>
> 		</identifiers>
> 		<auth_results>
> 			<dkim>
> 				<domain>gjn.at</domain>
> 				<result>fail</result>
> 				<selector>2017</selector>
> 			</dkim>
> 			<spf>
> 				<domain>opensuse.org</domain>
> 				<scope>mfrom</scope>
> 				<result>none</result>
> 			</spf>
> 		</auth_results>
> 	</record>
> 	<record>
> 		<row>
> 			<source_ip>2001:67c:2178:8::18</source_ip>
> 			<count>4</count>
> 			<policy_evaluated>
> 				<disposition>reject</disposition>
> 				<dkim>fail</dkim>
> 				<spf>fail</spf>
> 			</policy_evaluated>
> 		</row>
> 		<identifiers>
> 			<header_from>gjn.at</header_from>
> 		</identifiers>
> 		<auth_results>
> 			<dkim>
> 				<domain>gjn.at</domain>
> 				<result>fail</result>
> 				<selector>2017</selector>
> 			</dkim>
> 			<spf>
> 				<domain>opensuse.org</domain>
> 				<scope>mfrom</scope>
> 				<result>none</result>
> 			</spf>
> 		</auth_results>
> 	</record>
> </feedback>
>
>
> Ich habe es ziehmich hart eingestellt, glaube ich ;-).
>

Hallo,

nun will ich meinen Senf auch mal noch dazu geben...

1. Mit einer Domain, die p=quarantine oder p=reject als DMARC Policy 
ansagt, sollte man nicht an Mailinglisten senden.
      Sehr wahrscheinlich macht der Listserver die eigene DKIM-Signatur 
kaputt.
      Das Ergebnis ist dann ehr unerwünscht: E-Mails bouncen.

2. Wer DMARC auswertet und bei fehlender Authentisierung wirklich 
rejected ( z.B. yahoo.com, weil die p=reject vorgeben )
     der sollte unbedingt bekannte Listserver von der DMARC-Prüfung 
ausnehmen. Ansonsten ist man selbst ( oder die eigenen Anwender) schnell 
von den Listen unsubscribed, weil der Listserver Bounces sieht.

3. Wer einen Listserver betreibt, sollte entsprechend Patricks 
Blogeintrag "Message-Modifikation" abschalten. Also
     - Betreff nicht verändern
     - keinen Footer an die E-Mails anhängen
     - bei einem Mailman2 darauf achten, dass man eine aktuelle Version 
betreibt. 2.1.15 ist da nicht ausreichend.
       ab ca. Version 2.1.20 wurden im Mailman2 diverse Änderungen 
vorgenommen, damit E-Mail weniger wahrscheinlich verändert werden:
       früher hat Mailman z.B. auch "Conten-Type" Headerzeilen einfach 
umgeschrieben:
       Content-Type: text/plain; charset=utf-8 wurde zu Content-Type: 
text/plain; charset="UTF8"
       Damit ist eine DKIM-Signatur üblicherweise auch ungültig...

       Bei solchen Problemen ist man aber immer auf den Betreiber des 
Listservers angewiesen. *Der* muss seinen Hausaufgaben erledigen...

4. Diverse große Mailprovider bieten an Ihrem MX-Server keine 
8BITMIME-Erweiterung an. Prominetestes Beispiel ist die 1&1 (GMX+Web.de)
      Wenn man also seinen Inhalt im 8Bit Format generiert und signiert, 
ist die eigene DKIM-Signatur schon nach dem Transport zu einem solchen 
MX kaputt.
      Der eigene Versandserver wird den Inhalt auf 7bit runterkodieren 
und damit die gerade erstelle Signatur invalidieren :-/

       Man sollte also beim Versenden darauf achten, sich auf 7Bit 
Content zu beschränken.

Alles in Allem: keine schöne E-Mail Welt, aber wie haben nur diese ...

Andreas

Mehr Informationen über die Mailingliste Postfixbuch-users