Frage Mailinglisten DNSEC DKIM usw.
Andreas Schulze
andreas.schulze at datev.de
Mo Feb 26 16:12:24 CET 2018
Am 26.02.2018 um 14:58 schrieb Günther J. Niederwimmer:
> Hallo,
>
> Am Montag, 26. Februar 2018, 14:25:47 CET schrieb Andreas Pothe:
>> Hi,
>>
>> Am 26.02.2018 um 14:20 schrieb Günther J. Niederwimmer:
>>> ist das eigentlich üblich DKIM Fehler zu bekommen!
>>>
>>>>> Hintergrund:
>>>>>
>>>>> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert,
>>>>> jetzt
>>>>> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen
>>>>> umgestellt.
>>>>>
>>>>> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
>>>> Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
>>>> successfull.
>>> Das ist ja auch meine "alte" EMail Adresse ohne DNSSEC usw. ;-)
>>>
>>> Ich habe zum Test nur bei opensuse Mailinglisten auf meine "neuen"
>>> Adressen
>>> umgestellt und da funktioniert das ganze anscheinend nicht!
>>>
>>> Da bekkomme ich nur Reports mit "fail" da ja der SUSE Server nicht zu
>>> meiner Adresse passt!
>> Das hat dann aber nichts mit DNSSEC zu tun, sondern damit, dass dein
>> DKIM nicht passt. Wer nimmt denn aufgrund fehlerhafter DKIM-Signatur
>> nicht an, die Mailingliste oder deren Empfänger? Wenn letzteres, wird
>> der Header durch den Mailinglisten-Server verändert.
>>
>> Lass mich raten: Du hast auch den Header auf Strict? Versuch es mal mit
>> Relaxed, dann ist die Wahrscheinlichkeit für Ablehnung besser.
>>
>> Für weitere Hilfe brauchen wir Tacheles. Ohne konkrete Daten können wir
>> nur spekulieren, das ist doof.
> Ja ich habe auch DMARK aktiviert ist ein rspamd installation!
>
> Du meintest Tacheles ;-)
>
> die Mailingliste nimmt es an, es kommen die Fehlermeldungen vom Empfänger!
>
> wie gesagt, ich habe erst 2 Mailinglisten umgestellt auf die neue Adresse.
> z.B. sowas
> <?xml version="1.0" encoding="UTF-8" ?>
> <feedback>
> <version>1.0</version>
> <report_metadata>
> <org_name>comcast.net</org_name>
> <email>dmarc-admin at alerts.comcast.net</email>
> <report_id>v1-1519629093-gjn.at</report_id>
> <date_range>
> <begin>1519516800</begin>
> <end>1519603200</end>
> </date_range>
> </report_metadata>
> <policy_published>
> <domain>gjn.at</domain>
> <adkim>s</adkim>
> <aspf>s</aspf>
> <p>reject</p>
> <sp>reject</sp>
> <pct>100</pct>
> <fo>0</fo>
> </policy_published>
> <record>
> <row>
> <source_ip>195.135.221.145</source_ip>
> <count>1</count>
> <policy_evaluated>
> <disposition>reject</disposition>
> <dkim>fail</dkim>
> <spf>fail</spf>
> </policy_evaluated>
> </row>
> <identifiers>
> <header_from>gjn.at</header_from>
> </identifiers>
> <auth_results>
> <dkim>
> <domain>gjn.at</domain>
> <result>fail</result>
> <selector>2017</selector>
> </dkim>
> <spf>
> <domain>opensuse.org</domain>
> <scope>mfrom</scope>
> <result>none</result>
> </spf>
> </auth_results>
> </record>
> <record>
> <row>
> <source_ip>2001:67c:2178:8::18</source_ip>
> <count>4</count>
> <policy_evaluated>
> <disposition>reject</disposition>
> <dkim>fail</dkim>
> <spf>fail</spf>
> </policy_evaluated>
> </row>
> <identifiers>
> <header_from>gjn.at</header_from>
> </identifiers>
> <auth_results>
> <dkim>
> <domain>gjn.at</domain>
> <result>fail</result>
> <selector>2017</selector>
> </dkim>
> <spf>
> <domain>opensuse.org</domain>
> <scope>mfrom</scope>
> <result>none</result>
> </spf>
> </auth_results>
> </record>
> </feedback>
>
>
> Ich habe es ziehmich hart eingestellt, glaube ich ;-).
>
Hallo,
nun will ich meinen Senf auch mal noch dazu geben...
1. Mit einer Domain, die p=quarantine oder p=reject als DMARC Policy
ansagt, sollte man nicht an Mailinglisten senden.
Sehr wahrscheinlich macht der Listserver die eigene DKIM-Signatur
kaputt.
Das Ergebnis ist dann ehr unerwünscht: E-Mails bouncen.
2. Wer DMARC auswertet und bei fehlender Authentisierung wirklich
rejected ( z.B. yahoo.com, weil die p=reject vorgeben )
der sollte unbedingt bekannte Listserver von der DMARC-Prüfung
ausnehmen. Ansonsten ist man selbst ( oder die eigenen Anwender) schnell
von den Listen unsubscribed, weil der Listserver Bounces sieht.
3. Wer einen Listserver betreibt, sollte entsprechend Patricks
Blogeintrag "Message-Modifikation" abschalten. Also
- Betreff nicht verändern
- keinen Footer an die E-Mails anhängen
- bei einem Mailman2 darauf achten, dass man eine aktuelle Version
betreibt. 2.1.15 ist da nicht ausreichend.
ab ca. Version 2.1.20 wurden im Mailman2 diverse Änderungen
vorgenommen, damit E-Mail weniger wahrscheinlich verändert werden:
früher hat Mailman z.B. auch "Conten-Type" Headerzeilen einfach
umgeschrieben:
Content-Type: text/plain; charset=utf-8 wurde zu Content-Type:
text/plain; charset="UTF8"
Damit ist eine DKIM-Signatur üblicherweise auch ungültig...
Bei solchen Problemen ist man aber immer auf den Betreiber des
Listservers angewiesen. *Der* muss seinen Hausaufgaben erledigen...
4. Diverse große Mailprovider bieten an Ihrem MX-Server keine
8BITMIME-Erweiterung an. Prominetestes Beispiel ist die 1&1 (GMX+Web.de)
Wenn man also seinen Inhalt im 8Bit Format generiert und signiert,
ist die eigene DKIM-Signatur schon nach dem Transport zu einem solchen
MX kaputt.
Der eigene Versandserver wird den Inhalt auf 7bit runterkodieren
und damit die gerade erstelle Signatur invalidieren :-/
Man sollte also beim Versenden darauf achten, sich auf 7Bit
Content zu beschränken.
Alles in Allem: keine schöne E-Mail Welt, aber wie haben nur diese ...
Andreas
Mehr Informationen über die Mailingliste Postfixbuch-users