[OSM-Bayern] Gibt es bekannte Probleme mit dem Einsatz von Mailinglisten ?

Rüdiger Clausius ruediger.clausius at mailbox.org
Mi Mär 16 09:35:23 CET 2022 

Hallo Stephan,

ich sehe, du hast einiges an Knowhow zu Mailinglisten und eMail-Technik im Allgemeinen. Ist die bayern at lists.openstreetmap.de mailto:bayern at lists.openstreetmap.de mit mailman erstellt?

Ich kopier jetzt mal eine Mail hier rein, die ich an Michael vor 10 Minuten geschickt habe.

Habe mir den Wiki Artikel zu DMARC durchgelesen.

Was mir aktuell fehlt, sind die belegten Fälle mit nachvollziehbaren Details. Ich komme aus der Entwicklung und kenne Debugging Themen.

Ohne diese Fälle tappen wir weiter im Nebel und stellen Vermutungen an.

Ich denke, jetzt müssen erst einmal diese Fälle auf den Tisch, wo über unsere Mailingliste Mails nicht beim Adressaten angekommen sind.

Üblicherweise bekommt man, wenn eine Mail nicht im Ziel angekommen ist, eine Fehlermeldung. Gibt es diese Funktion auch bei unserer Mailingliste?

Grüße

Rüdiger




> Stephan Knauss <osm at stephans-server.de mailto:osm at stephans-server.de> hat am 16.03.2022 09:17 geschrieben:
> 
> 
> On 15.03.2022 10:57, Rüdiger Clausius wrote:
> 
> > Es gibt die Mutmaßung, daß manche Mailprovider den Adress-Header nicht
> > web-konform auswerten und deshalb Mails blocken sprich nicht in das
> > Eingangspostfach weitergeben.
> > 
> 
> Einige Mail-Provider werten den SPF/DKIM/DMARC *Standard* aus
> 
> RFC 7489
> 
> Gemäß diesem Standard signiert der Absendende Mailserver mittels
> public-key krypotographie den eMail-Absender. Zusätzlich veröffentlicht
> er die Information, dass er genau das tut und den public key. (DKIM)
> 
> Ein Empfänger kann jetzt entscheiden, dass er nur eMails akzeptiert, die
> eine gültige Signatur haben. Das soll verhindern, dass du eMails mit
> gefälschtem Absender ankommen.
> 
> Anwendungsfall ist sowas wie eine Mail vom "Chef" an die Sekretärin,
> dass er gerade in einer wichtigen Verhandlung ist und ganz dringend eine
> Million auf ein bestimmtes Konto überwiesen werden muss.
> 
> Das kann natürlich nur Absenderadressen schützen, die auch so eine
> Signatur haben.
> 
> Der Mail-Provider von Rüdiger macht das seit 30.9.2020:
> DKIM-Signaturen für alle ausgehenden E-Mails
> https://mailbox.org/de/post/sicherheitsanpassung-und-abschaltung-bestimmter-mailfunktionen
> 
> Probleme kann es geben, wenn eine Software, wie z.B. "mailman" den
> Mailheader verändert und dadurch die Signatur ungültig wird.
> 
> Bei vielen Empfängern wird die Signatur nicht geprüft, so dass es ohne
> Folgen bleibt. Problematisch wird es bei den Empfängern, die eingehende
> Mails vor Fälschungen schützen wollen.
> 
> Diese prüfen die Signatur und werfen alle, oder einen Teil der
> problematischen eMails weg. Den genauen Anteil kommunizieren die
> *Absender* durch einen speziellen Eintrag im DNS.
> 
> Oft wird auch die Tatsache, ob eine eMail so eine Signatur hat oder
> nicht in den Score für den Spamfilter mit aufgenommen. Das erhöht dann
> den Druck auf Absender, dass sie ihre eMails auch signieren.
> 
> GMail ist so ein Beispiel, der SPF/DKIM haben will. Yahoo und Outlook
> prüfen wohl auch.
> Google stellt immer wieder mal emails nur verzögert zu und weist den
> Absender dann in den Logs darauf hin, dass man die Mailheader signieren
> soll:
> 
> 421, "4.7.0", Our system has detected an unusual rate of unsolicited
> mail originating from your IP address. To protect our users from spam,
> mail sent from your IP address has been temporarily blocked. For more
> information, visit Prevent mail to Gmail users from being blocked or
> sent to spam [https://support.google.com/mail/answer/81126].
> 
> 
> Jetzt kommt es also darauf an, was genau passieren soll wenn die
> Signatur nicht stimmt. Wie erwähnt, stellt das der Absender ein.
> 
> Mailbox.org gibt folgendes vor:
> 
> v=DMARC1; p=reject; adkim=r; aspf=r; pct=100;
> rua=mailto:abuse+arf at heinlein-support.de mailto:abuse+arf at heinlein-support.de; rf=afrf; fo=1;
> Sie sagen also, dass 100% der Nachrichten abgelehnt werden sollen, deren
> Signatur nicht passt. Sie bitten auch das Empfängersystem einen
> automatischen Statusreport an die angegebene Adresse zu schicken. Ob das
> passiert oder nicht ist wieder eine Sache des Empfängers.
> 
> Zusammengefasst bedeutet das dann:
> 
> Nachrichten, die Rüdiger schickt und bei denen die Signatur durch
> mailman ungültig wird werden z.B. bei mir zugestellt, da mein Mailserver
> so konfiguriert ist, dass ihm die Signaturen egal sind. Bei gmail als
> Empfänger wird die eMail nicht zugestellt, da die Policy vom Absender ja
> genau das verbietet.
> 
> 
> Wie Michael schon geschrieben hat, gibt es Optionen in Mailman um das
> Verhalten zu beeinflussen. Der Absender könnte zum Beispiel von
> user at mailbox.org mailto:user at mailbox.org geändert werden in user at mailbox.org.invalid mailto:user at mailbox.org.invalid.
> 
> Da es für den "neuen" Absender aus der domain org.invalid keinen DMARC
> Eintrag gibt, würde der Empfänger die email somit auch nicht direkt
> ablehnen. Es kann aber zu Verzögerungen kommen, wenn der Empfänger wie
> Google oben auf signierten Absendern besteht. Die Verzögrung könnte man
> nur dann lösen, wenn es auch DMARC records für lists.openstreetmap.de
> gäbe und die ausgehenden mails mit DKIM signiert werden. Somit wäre ein
> einfaches Ändern des Absenders zu .invalid der einfachste Weg.
> 
> Da ich gerade sehe, dass die Liste bayern@ anders konfiguriert ist als
> die Listen von osm.org:
> 
> Wir haben aktuell das From auf dem originalen Absender und Reply-to ist
> die liste. Die osm.org haben als From die Liste und als Reply-to den
> originalen Absender. Bei osm.org gibt es somit das Problem nicht.
> 
> Vorschlag wäre somit, die Konfiguration der Liste an die der osm.org
> Listen anzugleichen. Ist etwas mehr Arbeit, da dann zusätzlich dann auch
> DKIM einzurichten und eine DMARC Policy zu veröffentlichen.
> 
> openstreetmap.org hat diese:
> 
> v=DMARC1; p=none; rua=mailto:openstreetmap-d at dmarc.report-uri.com mailto:openstreetmap-d at dmarc.report-uri.com
> 
> und signiert:
> 
> DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
> d=openstreetmap.org; s=20200301; h=Content-Type:Reply-To:From:List-Subscribe:
> List-Help:List-Post:List-Archive:List-Unsubscribe:List-Id:Subject:
> MIME-Version:Message-ID:Date:To:Sender:Cc:Content-Transfer-Encoding:
> Content-ID:Content-Description:Resent-Date:Resent-From:Resent-Sender:
> Resent-To:Resent-Cc:Resent-Message-ID:In-Reply-To:References:List-Owner;
> bh=F0Mcmh/Z5KubrthV6xVVr4KIKp6fsGsvwwDoaC1/p38=; i=talk at openstreetmap.org mailto:i=talk at openstreetmap.org;
> t=1647343751; x=1648553351; b=Etwcoe5bV/SNN7UdA0zYvCVF4drAi7aT4ksWgjLrZgnOG7M
> 4BWj6Hf4F6YsBR/qXSKjqqki32bdXmNwYz4v45K3IxaqKWKKc/23ZxRcZeVcbdJ9UI/TEax6raTeg
> 2RwUTWHOvUxGOHkmPKA1B5sWtCSK6RHsukA+NrkaL/sa5GWeSwltqKRhKRQR9fbBAIncUIC+UFg2e
> AyTn0vTaZnmdShwvT375QXoCKTRpYRq267Haou6btJZ3qtjnSQ2QmJM2NIx+lcsFnVSTbm/cTqaYs
> Fy6cs5oeWSmLhZlRzppmPkEfOmPjyt2f0OY0FfiO1w3UfPDatVJGFgCSeXRulgOg==;
> 
> 
> @Rüdiger: Falls du das selbst ausprobieren willst, dann kannst du dich
> mit einer gmail Adresse zur Liste anmelden und schauen was dort ankommt.
> 
> 
> Stephan
> 
> 
> _______________________________________________
> Bayern mailing list
> Bayern at lists.openstreetmap.de mailto:Bayern at lists.openstreetmap.de
> https://lists.openstreetmap.de/mailman/listinfo/bayern
> 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.openstreetmap.de/pipermail/bayern/attachments/20220316/a39b66f1/attachment.htm>

Mehr Informationen über die Mailingliste Bayern