<!doctype html>
<html>
<head>
<meta charset="UTF-8">
</head>
<body>
<div>
Hallo Stephan,
</div>
<div>
<br>
</div>
<div>
ich sehe, du hast einiges an Knowhow zu Mailinglisten und eMail-Technik im Allgemeinen. Ist die <a href="mailto:bayern@lists.openstreetmap.de">bayern@lists.openstreetmap.de</a> mit mailman erstellt?
</div>
<div>
<br>
</div>
<div>
Ich kopier jetzt mal eine Mail hier rein, die ich an Michael vor 10 Minuten geschickt habe.
</div>
<div>
<br>
</div>
<div>
Habe mir den Wiki Artikel zu DMARC durchgelesen.
</div>
<div>
<br>
</div>
<div>
Was mir aktuell fehlt, sind die belegten Fälle mit nachvollziehbaren Details. Ich komme aus der Entwicklung und kenne Debugging Themen.
</div>
<div>
<br>
</div>
<div>
Ohne diese Fälle tappen wir weiter im Nebel und stellen Vermutungen an.
</div>
<div>
<br>
</div>
<div>
Ich denke, jetzt müssen erst einmal diese Fälle auf den Tisch, wo über unsere Mailingliste Mails nicht beim Adressaten angekommen sind.
</div>
<div>
<br>
</div>
<div>
Üblicherweise bekommt man, wenn eine Mail nicht im Ziel angekommen ist, eine Fehlermeldung. Gibt es diese Funktion auch bei unserer Mailingliste?
</div>
<div>
<br>
</div>
<div>
Grüße
</div>
<div>
<br>
</div>
<div>
Rüdiger
</div>
<div>
<br>
</div>
<div>
<br>
</div>
<div>
<br>
</div>
<blockquote type="cite">
<div>
Stephan Knauss <<a href="mailto:osm@stephans-server.de">osm@stephans-server.de</a>> hat am 16.03.2022 09:17 geschrieben:
</div>
<div>
<br>
</div>
<div>
<br>
</div>
<div>
On 15.03.2022 10:57, Rüdiger Clausius wrote:
</div>
<blockquote type="cite">
<div>
Es gibt die Mutmaßung, daß manche Mailprovider den Adress-Header nicht
</div>
<div>
web-konform auswerten und deshalb Mails blocken sprich nicht in das
</div>
<div>
Eingangspostfach weitergeben.
</div>
</blockquote>
<div>
<br>
</div>
<div>
Einige Mail-Provider werten den SPF/DKIM/DMARC *Standard* aus
</div>
<div>
<br>
</div>
<div>
RFC 7489
</div>
<div>
<br>
</div>
<div>
Gemäß diesem Standard signiert der Absendende Mailserver mittels
</div>
<div>
public-key krypotographie den eMail-Absender. Zusätzlich veröffentlicht
</div>
<div>
er die Information, dass er genau das tut und den public key. (DKIM)
</div>
<div>
<br>
</div>
<div>
Ein Empfänger kann jetzt entscheiden, dass er nur eMails akzeptiert, die
</div>
<div>
eine gültige Signatur haben. Das soll verhindern, dass du eMails mit
</div>
<div>
gefälschtem Absender ankommen.
</div>
<div>
<br>
</div>
<div>
Anwendungsfall ist sowas wie eine Mail vom "Chef" an die Sekretärin,
</div>
<div>
dass er gerade in einer wichtigen Verhandlung ist und ganz dringend eine
</div>
<div>
Million auf ein bestimmtes Konto überwiesen werden muss.
</div>
<div>
<br>
</div>
<div>
Das kann natürlich nur Absenderadressen schützen, die auch so eine
</div>
<div>
Signatur haben.
</div>
<div>
<br>
</div>
<div>
Der Mail-Provider von Rüdiger macht das seit 30.9.2020:
</div>
<div>
DKIM-Signaturen für alle ausgehenden E-Mails
</div>
<div>
<a href="https://mailbox.org/de/post/sicherheitsanpassung-und-abschaltung-bestimmter-mailfunktionen" rel="noopener" target="_blank">https://mailbox.org/de/post/sicherheitsanpassung-und-abschaltung-bestimmter-mailfunktionen</a>
</div>
<div>
<br>
</div>
<div>
Probleme kann es geben, wenn eine Software, wie z.B. "mailman" den
</div>
<div>
Mailheader verändert und dadurch die Signatur ungültig wird.
</div>
<div>
<br>
</div>
<div>
Bei vielen Empfängern wird die Signatur nicht geprüft, so dass es ohne
</div>
<div>
Folgen bleibt. Problematisch wird es bei den Empfängern, die eingehende
</div>
<div>
Mails vor Fälschungen schützen wollen.
</div>
<div>
<br>
</div>
<div>
Diese prüfen die Signatur und werfen alle, oder einen Teil der
</div>
<div>
problematischen eMails weg. Den genauen Anteil kommunizieren die
</div>
<div>
*Absender* durch einen speziellen Eintrag im DNS.
</div>
<div>
<br>
</div>
<div>
Oft wird auch die Tatsache, ob eine eMail so eine Signatur hat oder
</div>
<div>
nicht in den Score für den Spamfilter mit aufgenommen. Das erhöht dann
</div>
<div>
den Druck auf Absender, dass sie ihre eMails auch signieren.
</div>
<div>
<br>
</div>
<div>
GMail ist so ein Beispiel, der SPF/DKIM haben will. Yahoo und Outlook
</div>
<div>
prüfen wohl auch.
</div>
<div>
Google stellt immer wieder mal emails nur verzögert zu und weist den
</div>
<div>
Absender dann in den Logs darauf hin, dass man die Mailheader signieren
</div>
<div>
soll:
</div>
<div>
<br>
</div>
<div>
421, "4.7.0", Our system has detected an unusual rate of unsolicited
</div>
<div>
mail originating from your IP address. To protect our users from spam,
</div>
<div>
mail sent from your IP address has been temporarily blocked. For more
</div>
<div>
information, visit Prevent mail to Gmail users from being blocked or
</div>
<div>
sent to spam [<a href="https://support.google.com/mail/answer/81126" rel="noopener" target="_blank">https://support.google.com/mail/answer/81126</a>].
</div>
<div>
<br>
</div>
<div>
<br>
</div>
<div>
Jetzt kommt es also darauf an, was genau passieren soll wenn die
</div>
<div>
Signatur nicht stimmt. Wie erwähnt, stellt das der Absender ein.
</div>
<div>
<br>
</div>
<div>
Mailbox.org gibt folgendes vor:
</div>
<div>
<br>
</div>
<div>
v=DMARC1; p=reject; adkim=r; aspf=r; pct=100;
</div>
<div>
rua=mailto:<a href="mailto:abuse+arf@heinlein-support.de">abuse+arf@heinlein-support.de</a>; rf=afrf; fo=1;
</div>
<div>
Sie sagen also, dass 100% der Nachrichten abgelehnt werden sollen, deren
</div>
<div>
Signatur nicht passt. Sie bitten auch das Empfängersystem einen
</div>
<div>
automatischen Statusreport an die angegebene Adresse zu schicken. Ob das
</div>
<div>
passiert oder nicht ist wieder eine Sache des Empfängers.
</div>
<div>
<br>
</div>
<div>
Zusammengefasst bedeutet das dann:
</div>
<div>
<br>
</div>
<div>
Nachrichten, die Rüdiger schickt und bei denen die Signatur durch
</div>
<div>
mailman ungültig wird werden z.B. bei mir zugestellt, da mein Mailserver
</div>
<div>
so konfiguriert ist, dass ihm die Signaturen egal sind. Bei gmail als
</div>
<div>
Empfänger wird die eMail nicht zugestellt, da die Policy vom Absender ja
</div>
<div>
genau das verbietet.
</div>
<div>
<br>
</div>
<div>
<br>
</div>
<div>
Wie Michael schon geschrieben hat, gibt es Optionen in Mailman um das
</div>
<div>
Verhalten zu beeinflussen. Der Absender könnte zum Beispiel von
</div>
<div>
<a href="mailto:user@mailbox.org">user@mailbox.org</a> geändert werden in <a href="mailto:user@mailbox.org.invalid">user@mailbox.org.invalid</a>.
</div>
<div>
<br>
</div>
<div>
Da es für den "neuen" Absender aus der domain org.invalid keinen DMARC
</div>
<div>
Eintrag gibt, würde der Empfänger die email somit auch nicht direkt
</div>
<div>
ablehnen. Es kann aber zu Verzögerungen kommen, wenn der Empfänger wie
</div>
<div>
Google oben auf signierten Absendern besteht. Die Verzögrung könnte man
</div>
<div>
nur dann lösen, wenn es auch DMARC records für lists.openstreetmap.de
</div>
<div>
gäbe und die ausgehenden mails mit DKIM signiert werden. Somit wäre ein
</div>
<div>
einfaches Ändern des Absenders zu .invalid der einfachste Weg.
</div>
<div>
<br>
</div>
<div>
Da ich gerade sehe, dass die Liste bayern@ anders konfiguriert ist als
</div>
<div>
die Listen von osm.org:
</div>
<div>
<br>
</div>
<div>
Wir haben aktuell das From auf dem originalen Absender und Reply-to ist
</div>
<div>
die liste. Die osm.org haben als From die Liste und als Reply-to den
</div>
<div>
originalen Absender. Bei osm.org gibt es somit das Problem nicht.
</div>
<div>
<br>
</div>
<div>
Vorschlag wäre somit, die Konfiguration der Liste an die der osm.org
</div>
<div>
Listen anzugleichen. Ist etwas mehr Arbeit, da dann zusätzlich dann auch
</div>
<div>
DKIM einzurichten und eine DMARC Policy zu veröffentlichen.
</div>
<div>
<br>
</div>
<div>
openstreetmap.org hat diese:
</div>
<div>
<br>
</div>
<div>
v=DMARC1; p=none; rua=mailto:<a href="mailto:openstreetmap-d@dmarc.report-uri.com">openstreetmap-d@dmarc.report-uri.com</a>
</div>
<div>
<br>
</div>
<div>
und signiert:
</div>
<div>
<br>
</div>
<div>
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
</div>
<div>
d=openstreetmap.org; s=20200301; h=Content-Type:Reply-To:From:List-Subscribe:
</div>
<div>
List-Help:List-Post:List-Archive:List-Unsubscribe:List-Id:Subject:
</div>
<div>
MIME-Version:Message-ID:Date:To:Sender:Cc:Content-Transfer-Encoding:
</div>
<div>
Content-ID:Content-Description:Resent-Date:Resent-From:Resent-Sender:
</div>
<div>
Resent-To:Resent-Cc:Resent-Message-ID:In-Reply-To:References:List-Owner;
</div>
<div>
bh=F0Mcmh/Z5KubrthV6xVVr4KIKp6fsGsvwwDoaC1/p38=; <a href="mailto:i=talk@openstreetmap.org">i=talk@openstreetmap.org</a>;
</div>
<div>
t=1647343751; x=1648553351; b=Etwcoe5bV/SNN7UdA0zYvCVF4drAi7aT4ksWgjLrZgnOG7M
</div>
<div>
4BWj6Hf4F6YsBR/qXSKjqqki32bdXmNwYz4v45K3IxaqKWKKc/23ZxRcZeVcbdJ9UI/TEax6raTeg
</div>
<div>
2RwUTWHOvUxGOHkmPKA1B5sWtCSK6RHsukA+NrkaL/sa5GWeSwltqKRhKRQR9fbBAIncUIC+UFg2e
</div>
<div>
AyTn0vTaZnmdShwvT375QXoCKTRpYRq267Haou6btJZ3qtjnSQ2QmJM2NIx+lcsFnVSTbm/cTqaYs
</div>
<div>
Fy6cs5oeWSmLhZlRzppmPkEfOmPjyt2f0OY0FfiO1w3UfPDatVJGFgCSeXRulgOg==;
</div>
<div>
<br>
</div>
<div>
<br>
</div>
<div>
@Rüdiger: Falls du das selbst ausprobieren willst, dann kannst du dich
</div>
<div>
mit einer gmail Adresse zur Liste anmelden und schauen was dort ankommt.
</div>
<div>
<br>
</div>
<div>
<br>
</div>
<div>
Stephan
</div>
<div>
<br>
</div>
<div>
<br>
</div>
<div>
_______________________________________________
</div>
<div>
Bayern mailing list
</div>
<div>
<a href="mailto:Bayern@lists.openstreetmap.de">Bayern@lists.openstreetmap.de</a>
</div>
<div>
<a href="https://lists.openstreetmap.de/mailman/listinfo/bayern" rel="noopener" target="_blank">https://lists.openstreetmap.de/mailman/listinfo/bayern</a>
</div>
</blockquote>
</body>
</html>