DKIM: Was sollte bei der Weiterleitung von Mails passieren, die vom Absender nicht signiert wurden?

Robert Felber rfe at ek-muc.de
Mi Mai 27 14:19:02 CEST 2020 

Am 23.05.2020 um 03:04 schrieb Bastian Pfleging:

> Hallo zusammen,

Hi,

>
> Nun stellen wir uns vor, das z.B. für ich at meinedomain.de eine
> Weiterleitung auf ich at domain-auf-einem-anderen-server.de eingerichtet
> ist, d.h. Mails an ich at meinedomain.de werden vom lokalen postfix an den
> externen Server weitergeleitet.
>
>
> Wenn nun von einem ganz anderen Server von abc at example.com eine Mail an
> ich at meinedomain.de geschickt wird, was sollte dann lokal auf dem Server
> bei meinedomain.de passieren?
>
> a) für den Fall, dass die Mail von abc at example.com keine DKIM-Signatur
> enthält: Sollte der Server von meinedomain.de nun eine Signatur
> hinzufügen (u.a. wenn auch SRS verwendet wird) oder nicht?

IMHO, nein. Domainkeys fuegt der Sender ein.

> b) für den Fall, dass die Mail von abc at example.com DKIM-signiert ist:
> Sollte dann eine weitere Signatur bei der Weiterleitung hinzugefügt
> werden oder nicht?

Eine der Signatur ist gueltig, die desjenigen, der im From steht. Wenn 
du den
 From umschreibst, kannst du gern eine neue DKIM einfuegen, ich wuerde 
dann aber
die alten rauswerfen.


Hintergrund: der Empfaenger will im Grunde nichts ueber den Relay 
wissen, sondern ueber
den Absender. Wenn der Relay sich entscheidet Versender zu spielen (SRS 
und Co), muss
der Absender damit leben, dass er uU einen bloeden RelayHoster hat, und 
der RelayHoster
muss damit leben, dass seine Reputation , naja, kaputt geht.


https://tools.ietf.org/html/rfc6376#section-2.1


      2.1 <https://tools.ietf.org/html/rfc6376#section-2.1>. Signers



    Elements in the mail system that sign messages on behalf of a domain
    are referred to as Signers.  These may be MUAs (Mail User Agents),
    MSAs (Mail Submission Agents), MTAs (Mail Transfer Agents), or other
    agents such as mailing list exploders.  In general, any Signer will

    be involved in the injection of a message into the message system in
    some way./The key issue is that a message *must be signed before it leaves the 
administrative domain of the Signer.*/



Gruss,

Rob


-- 
*Robert Felber*
IT Systems Administration / Consultant

Alpenstraße 26
86356 Neusaess

Tel: 01523 / 380 68 92

Mehr Informationen über die Mailingliste Postfixbuch-users