[OSM-Bayern] Gibt es bekannte Probleme mit dem Einsatz von Mailinglisten ?
Rainer
r.elbing at gmx.de
Mi Mär 16 09:50:25 CET 2022
Danke Stephan für die Erklärung!
Bei mir landen Rüdigers Emails über die Liste immer im Spam-Ordner. Ich
habe seine Adresse zwar auf die Weiße Liste gesetzt, aber das hilft
nicht und liegt wohl an der 100%-Ablehnungsregel von mailbox.org. Mein
Mail-Anbieter ist gmx.
Grüß,
Rainer
Am 16.03.22 um 09:17 schrieb Stephan Knauss:
> On 15.03.2022 10:57, Rüdiger Clausius wrote:
>> Es gibt die Mutmaßung, daß manche Mailprovider den Adress-Header
>> nicht web-konform auswerten und deshalb Mails blocken sprich nicht in
>> das Eingangspostfach weitergeben.
>
> Einige Mail-Provider werten den SPF/DKIM/DMARC *Standard* aus
>
> RFC 7489
>
> Gemäß diesem Standard signiert der Absendende Mailserver mittels
> public-key krypotographie den eMail-Absender. Zusätzlich
> veröffentlicht er die Information, dass er genau das tut und den
> public key. (DKIM)
>
> Ein Empfänger kann jetzt entscheiden, dass er nur eMails akzeptiert,
> die eine gültige Signatur haben. Das soll verhindern, dass du eMails
> mit gefälschtem Absender ankommen.
>
> Anwendungsfall ist sowas wie eine Mail vom "Chef" an die Sekretärin,
> dass er gerade in einer wichtigen Verhandlung ist und ganz dringend
> eine Million auf ein bestimmtes Konto überwiesen werden muss.
>
> Das kann natürlich nur Absenderadressen schützen, die auch so eine
> Signatur haben.
>
> Der Mail-Provider von Rüdiger macht das seit 30.9.2020:
> DKIM-Signaturen für alle ausgehenden E-Mails
> https://mailbox.org/de/post/sicherheitsanpassung-und-abschaltung-bestimmter-mailfunktionen
>
>
> Probleme kann es geben, wenn eine Software, wie z.B. "mailman" den
> Mailheader verändert und dadurch die Signatur ungültig wird.
>
> Bei vielen Empfängern wird die Signatur nicht geprüft, so dass es ohne
> Folgen bleibt. Problematisch wird es bei den Empfängern, die
> eingehende Mails vor Fälschungen schützen wollen.
>
> Diese prüfen die Signatur und werfen alle, oder einen Teil der
> problematischen eMails weg. Den genauen Anteil kommunizieren die
> *Absender* durch einen speziellen Eintrag im DNS.
>
> Oft wird auch die Tatsache, ob eine eMail so eine Signatur hat oder
> nicht in den Score für den Spamfilter mit aufgenommen. Das erhöht dann
> den Druck auf Absender, dass sie ihre eMails auch signieren.
>
> GMail ist so ein Beispiel, der SPF/DKIM haben will. Yahoo und Outlook
> prüfen wohl auch.
> Google stellt immer wieder mal emails nur verzögert zu und weist den
> Absender dann in den Logs darauf hin, dass man die Mailheader
> signieren soll:
>
> 421, "4.7.0", Our system has detected an unusual rate of unsolicited
> mail originating from your IP address. To protect our users from spam,
> mail sent from your IP address has been temporarily blocked. For more
> information, visit Prevent mail to Gmail users from being blocked or
> sent to spam [https://support.google.com/mail/answer/81126].
>
>
> Jetzt kommt es also darauf an, was genau passieren soll wenn die
> Signatur nicht stimmt. Wie erwähnt, stellt das der Absender ein.
>
> Mailbox.org gibt folgendes vor:
>
> v=DMARC1; p=reject; adkim=r; aspf=r; pct=100;
> rua=mailto:abuse+arf at heinlein-support.de; rf=afrf; fo=1;
> Sie sagen also, dass 100% der Nachrichten abgelehnt werden sollen,
> deren Signatur nicht passt. Sie bitten auch das Empfängersystem einen
> automatischen Statusreport an die angegebene Adresse zu schicken. Ob
> das passiert oder nicht ist wieder eine Sache des Empfängers.
>
> Zusammengefasst bedeutet das dann:
>
> Nachrichten, die Rüdiger schickt und bei denen die Signatur durch
> mailman ungültig wird werden z.B. bei mir zugestellt, da mein
> Mailserver so konfiguriert ist, dass ihm die Signaturen egal sind. Bei
> gmail als Empfänger wird die eMail nicht zugestellt, da die Policy vom
> Absender ja genau das verbietet.
>
>
> Wie Michael schon geschrieben hat, gibt es Optionen in Mailman um das
> Verhalten zu beeinflussen. Der Absender könnte zum Beispiel von
> user at mailbox.org geändert werden in user at mailbox.org.invalid.
>
> Da es für den "neuen" Absender aus der domain org.invalid keinen DMARC
> Eintrag gibt, würde der Empfänger die email somit auch nicht direkt
> ablehnen. Es kann aber zu Verzögerungen kommen, wenn der Empfänger wie
> Google oben auf signierten Absendern besteht. Die Verzögrung könnte
> man nur dann lösen, wenn es auch DMARC records für
> lists.openstreetmap.de gäbe und die ausgehenden mails mit DKIM
> signiert werden. Somit wäre ein einfaches Ändern des Absenders zu
> .invalid der einfachste Weg.
>
> Da ich gerade sehe, dass die Liste bayern@ anders konfiguriert ist als
> die Listen von osm.org:
>
> Wir haben aktuell das From auf dem originalen Absender und Reply-to
> ist die liste. Die osm.org haben als From die Liste und als Reply-to
> den originalen Absender. Bei osm.org gibt es somit das Problem nicht.
>
> Vorschlag wäre somit, die Konfiguration der Liste an die der osm.org
> Listen anzugleichen. Ist etwas mehr Arbeit, da dann zusätzlich dann
> auch DKIM einzurichten und eine DMARC Policy zu veröffentlichen.
>
> openstreetmap.org hat diese:
>
> v=DMARC1; p=none; rua=mailto:openstreetmap-d at dmarc.report-uri.com
>
> und signiert:
>
> DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
> d=openstreetmap.org; s=20200301;
> h=Content-Type:Reply-To:From:List-Subscribe:
> List-Help:List-Post:List-Archive:List-Unsubscribe:List-Id:Subject:
> MIME-Version:Message-ID:Date:To:Sender:Cc:Content-Transfer-Encoding:
> Content-ID:Content-Description:Resent-Date:Resent-From:Resent-Sender:
> Resent-To:Resent-Cc:Resent-Message-ID:In-Reply-To:References:List-Owner;
>
> bh=F0Mcmh/Z5KubrthV6xVVr4KIKp6fsGsvwwDoaC1/p38=;
> i=talk at openstreetmap.org;
> t=1647343751; x=1648553351;
> b=Etwcoe5bV/SNN7UdA0zYvCVF4drAi7aT4ksWgjLrZgnOG7M
> 4BWj6Hf4F6YsBR/qXSKjqqki32bdXmNwYz4v45K3IxaqKWKKc/23ZxRcZeVcbdJ9UI/TEax6raTeg
>
> 2RwUTWHOvUxGOHkmPKA1B5sWtCSK6RHsukA+NrkaL/sa5GWeSwltqKRhKRQR9fbBAIncUIC+UFg2e
>
> AyTn0vTaZnmdShwvT375QXoCKTRpYRq267Haou6btJZ3qtjnSQ2QmJM2NIx+lcsFnVSTbm/cTqaYs
>
> Fy6cs5oeWSmLhZlRzppmPkEfOmPjyt2f0OY0FfiO1w3UfPDatVJGFgCSeXRulgOg==;
>
>
> @Rüdiger: Falls du das selbst ausprobieren willst, dann kannst du dich
> mit einer gmail Adresse zur Liste anmelden und schauen was dort ankommt.
>
>
> Stephan
>
>
> _______________________________________________
> Bayern mailing list
> Bayern at lists.openstreetmap.de
> https://lists.openstreetmap.de/mailman/listinfo/bayern
Mehr Informationen über die Mailingliste Bayern