[OSM-Bayern] Gibt es bekannte Probleme mit dem Einsatz von Mailinglisten ?

Mi Mär 16 09:17:19 CET 2022

On 15.03.2022 10:57, Rüdiger Clausius wrote:
> Es gibt die Mutmaßung, daß manche Mailprovider den Adress-Header nicht 
> web-konform auswerten und deshalb Mails blocken sprich nicht in das 
> Eingangspostfach weitergeben. 

Einige Mail-Provider werten den SPF/DKIM/DMARC *Standard* aus

RFC 7489

Gemäß diesem Standard signiert der Absendende Mailserver mittels 
public-key krypotographie den eMail-Absender. Zusätzlich veröffentlicht 
er die Information, dass er genau das tut und den public key. (DKIM)

Ein Empfänger kann jetzt entscheiden, dass er nur eMails akzeptiert, die 
eine gültige Signatur haben. Das soll verhindern, dass du eMails mit 
gefälschtem Absender ankommen.

Anwendungsfall ist sowas wie eine Mail vom "Chef" an die Sekretärin, 
dass er gerade in einer wichtigen Verhandlung ist und ganz dringend eine 
Million auf ein bestimmtes Konto überwiesen werden muss.

Das kann natürlich nur Absenderadressen schützen, die auch so eine 
Signatur haben.

Der Mail-Provider von Rüdiger macht das seit 30.9.2020:
DKIM-Signaturen für alle ausgehenden E-Mails
https://mailbox.org/de/post/sicherheitsanpassung-und-abschaltung-bestimmter-mailfunktionen

Probleme kann es geben, wenn eine Software, wie z.B. "mailman" den 
Mailheader verändert und dadurch die Signatur ungültig wird.

Bei vielen Empfängern wird die Signatur nicht geprüft, so dass es ohne 
Folgen bleibt. Problematisch wird es bei den Empfängern, die eingehende 
Mails vor Fälschungen schützen wollen.

Diese prüfen die Signatur und werfen alle, oder einen Teil der 
problematischen eMails weg. Den genauen Anteil kommunizieren die 
*Absender* durch einen speziellen Eintrag im DNS.

Oft wird auch die Tatsache, ob eine eMail so eine Signatur hat oder 
nicht in den Score für den Spamfilter mit aufgenommen. Das erhöht dann 
den Druck auf Absender, dass sie ihre eMails auch signieren.

GMail ist so ein Beispiel, der SPF/DKIM haben will. Yahoo und Outlook 
prüfen wohl auch.
Google stellt immer wieder mal emails nur verzögert zu und weist den 
Absender dann in den Logs darauf hin, dass man die Mailheader signieren 
soll:

421, "4.7.0", Our system has detected an unusual rate of unsolicited 
mail originating from your IP address. To protect our users from spam, 
mail sent from your IP address has been temporarily blocked. For more 
information, visit Prevent mail to Gmail users from being blocked or 
sent to spam [https://support.google.com/mail/answer/81126].

Jetzt kommt es also darauf an, was genau passieren soll wenn die 
Signatur nicht stimmt. Wie erwähnt, stellt das der Absender ein.

Mailbox.org gibt folgendes vor:

v=DMARC1; p=reject; adkim=r; aspf=r; pct=100; 
rua=mailto:abuse+arf at heinlein-support.de; rf=afrf; fo=1;
Sie sagen also, dass 100% der Nachrichten abgelehnt werden sollen, deren 
Signatur nicht passt. Sie bitten auch das Empfängersystem einen 
automatischen Statusreport an die angegebene Adresse zu schicken. Ob das 
passiert oder nicht ist wieder eine Sache des Empfängers.

Zusammengefasst bedeutet das dann:

Nachrichten, die Rüdiger schickt und bei denen die Signatur durch 
mailman ungültig wird werden z.B. bei mir zugestellt, da mein Mailserver 
so konfiguriert ist, dass ihm die Signaturen egal sind. Bei gmail als 
Empfänger wird die eMail nicht zugestellt, da die Policy vom Absender ja 
genau das verbietet.

Wie Michael schon geschrieben hat, gibt es Optionen in Mailman um das 
Verhalten zu beeinflussen. Der Absender könnte zum Beispiel von 
user at mailbox.org geändert werden in user at mailbox.org.invalid.

Da es für den "neuen" Absender aus der domain org.invalid keinen DMARC 
Eintrag gibt, würde der Empfänger die email somit auch nicht direkt 
ablehnen. Es kann aber zu Verzögerungen kommen, wenn der Empfänger wie 
Google oben auf signierten Absendern besteht. Die Verzögrung könnte man 
nur dann lösen, wenn es auch DMARC records für lists.openstreetmap.de 
gäbe und die ausgehenden mails mit DKIM signiert werden. Somit wäre ein 
einfaches Ändern des Absenders zu .invalid der einfachste Weg.

Da ich gerade sehe, dass die Liste bayern@ anders konfiguriert ist als 
die Listen von osm.org:

Wir haben aktuell das From auf dem originalen Absender und Reply-to ist 
die liste. Die osm.org haben als From die Liste und als Reply-to den 
originalen Absender. Bei osm.org gibt es somit das Problem nicht.

Vorschlag wäre somit, die Konfiguration der Liste an die der osm.org 
Listen anzugleichen. Ist etwas mehr Arbeit, da dann zusätzlich dann auch 
DKIM einzurichten und eine DMARC Policy zu veröffentlichen.

openstreetmap.org hat diese:

v=DMARC1; p=none; rua=mailto:openstreetmap-d at dmarc.report-uri.com

und signiert:

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
	d=openstreetmap.org; s=20200301; h=Content-Type:Reply-To:From:List-Subscribe:
	List-Help:List-Post:List-Archive:List-Unsubscribe:List-Id:Subject:
	MIME-Version:Message-ID:Date:To:Sender:Cc:Content-Transfer-Encoding:
	Content-ID:Content-Description:Resent-Date:Resent-From:Resent-Sender:
	Resent-To:Resent-Cc:Resent-Message-ID:In-Reply-To:References:List-Owner;
	bh=F0Mcmh/Z5KubrthV6xVVr4KIKp6fsGsvwwDoaC1/p38=; i=talk at openstreetmap.org;
	t=1647343751; x=1648553351; b=Etwcoe5bV/SNN7UdA0zYvCVF4drAi7aT4ksWgjLrZgnOG7M
	4BWj6Hf4F6YsBR/qXSKjqqki32bdXmNwYz4v45K3IxaqKWKKc/23ZxRcZeVcbdJ9UI/TEax6raTeg
	2RwUTWHOvUxGOHkmPKA1B5sWtCSK6RHsukA+NrkaL/sa5GWeSwltqKRhKRQR9fbBAIncUIC+UFg2e
	AyTn0vTaZnmdShwvT375QXoCKTRpYRq267Haou6btJZ3qtjnSQ2QmJM2NIx+lcsFnVSTbm/cTqaYs
	Fy6cs5oeWSmLhZlRzppmPkEfOmPjyt2f0OY0FfiO1w3UfPDatVJGFgCSeXRulgOg==;

@Rüdiger: Falls du das selbst ausprobieren willst, dann kannst du dich 
mit einer gmail Adresse zur Liste anmelden und schauen was dort ankommt.

Stephan