Dmarc Probleme

Achim Lammerts ml-pbu at syntaxys.de
Mi Feb 23 08:47:57 CET 2022 

Guten Morgen zusammen,
ich habe mir mal verschiedene Header in der Liste von rspamd angesehen, 
auch hier sind verschiedene Fallstricke zu überwinden. Zwar haben die 
keinen amavisd im Prozessablauf hängen, der eine Konvertierung 
erfordert, aber an jede Nachricht wird ein Abbinder angefügt. Dadurch 
wird die Signatur dann auch ungültig und führt zu Fehlern in der 
Auswertung bei den Empfängern.
Man kann das verhindern, in dem man die DMARC policy auf quarantine oder 
reject stellt. Dann greift die Mitigation von Mailman, entfernt die 
Signatur des Users, schreibt FROM um und signiert die Nachricht neu.
Weitere Info dazu hier: https://wiki.list.org/DEV/DMARC

Das Problem ist:
Man kann nicht von allen Mitgliedern einer Liste erwarten, daß sie 
Einfluss auf die DMARC-Einstellungen haben. Ein User ist z. B. über 
seine Adresse bei GMX bei lists.rspamd.com angemeldet und die Policy von 
GMX.net steht auf none, also greift die Mitigation nicht.
Man kann auch nicht erwarten, daß alle User über veraltete MUAs in 
Listen kommunizieren, bei denen man wenigstens noch über ein normales 
Einstellungsmenü etwas auf 7bit oder quoted-printable umstellen kann.

Ich hatte in einer anderen Mail schon gemeint, daß ein Forum gegenüber 
einer Mailinglist große Vorteile hat. Das SMTP ist m. E. einfach kaputt 
und für moderne Anforderungen einfach so nicht mehr brauchbar, weil es 
zu einfach zu missbrauchen ist.

So ein Thread wie dieser wird daher immer wieder aufgemacht, da bin ich 
mir sicher. Die Listenbetreiber sollten schon auf den Anmeldeseiten oder 
in den Bestätigungs-Emails zur Anmeldung auf diese Problematik hinweisen.

LG/A


Am 22.02.22 um 18:25 schrieb Juri Haberland:
> On 22/02/2022 17:31, Gerald Galster wrote:
>> Keine schöne Lösung: man könnte bei postfix das 8BITMIME EHLO keyword für Submission unterdrücken:
>> http://www.postfix.org/postconf.5.html#smtpd_discard_ehlo_keywords
>> (oder postscreen-Variante)
> 
> Das bringt leider nichts, denn Thunderbird ignoriert meinen Tests nach
> das Fehlen von 8BITMIME und liefert *immer* 8bit ab.
> 
>> Vielleicht könnte jemand von Heinlein mal schauen ob die 8/7-Bit Konvertierung bei amavisd-new noch sein muss,
>> denn an sich wird 8BITMIME angeboten (SMTPUTF8 ist in postfix deaktiviert):
> 
> Dann wäre es zwar für diese Liste gelöst, aber du weißt nicht, welche
> Listen da draußen das genauso handhaben, wie Heinlein. Nicht zuletzt
> sieht man das erzwungene Konvertieren in 7bit in vielen HowTos zum Thema
> Postfix/Amavis/DKIM...
> 
> Viele Grüße,
>    Juri

Mehr Informationen über die Mailingliste Postfixbuch-users