Dmarc Probleme

[Achim Lammerts]

Ich hänge mich da noch mal dran, da es auch meine DKIM-Signatur in 
Listen immer wieder zerbröselt. Vor ein paar Wochen hatte ich einen 
ähnlichen Thread dazu eröffnet, da war der Tipp dann, von „p=none“ auf 
„p=reject“ umzustellen, damit in Mailman die Mitigation erfolgt.

Am 30.12.21 um 00:16 schrieb Juri Haberland:

> Richtig. Wenn ich das richtig sehe, signiert ihr beide (der OP und du,
> Florian) den Reply-To Header, der aber von vielen Mailinglisten gesetzt
> wird - so auch von dieser. Deshalb sind eure beiden DKIM-Signaturen
> ungültig und euer DMARC-Ergebnis "fail". Ihr solltet das IMHO ändern
Was wären denn die generell überlebensfähigen Teile einer Signatur und 
welche sollten zumindest verwendet, bzw. sollte nur auf den Reply-To 
Header verzichtet werden?

Aktuell habe ich in rspamd folgendes eingestellt, laut
https://rspamd.com/doc/modules/dkim_signing.html:

sign_headers = 
"date:from:to:in-reply-to:references:subject:from:content-type:message-id";

Andererseits:
Bekomme ich es hin, daß Emails an Listen nicht signiert werden und bei 
den Empfängern auch keine Prüfung gegen DMARC erfolgt – und zwar aus der 
gleichen Domain, für die bisher restriktive Einstellungen gut funktionieren?
Laut diversen Online-Tools passt eigentlich alles prima, bis auf das 
Gezicke mit den Listen.

Eine weitere Frage zum Thema:
Wie wird mit „p=reject“ i. d. R. umgegangen? Angenommen ein Empfänger 
lehnt die E-Mail wegen des DKIM-Fails ab, verschwindet die dann im 
Nirvana oder wird die gebounced? Bisher hatte ich immer nur in den 
Reports gesehen, daß etwas nicht passt, aber nie einen reject beim 
Einliefern …

Vielen Dank für Eure Hilfe!
Achim