[OSM-Bayern] Gibt es bekannte Probleme mit dem Einsatz von Mailinglisten ?

Mi Mär 16 11:54:08 CET 2022

Hallo Rüdiger,

"Also, müßtest Du bei GMX fragen, warum lehnt GMX den Header meiner Mail ab und steckt diese dann in den Spam-Ordner." -> Die Frage haben wir dir doch bereits schon mehrfach beantwortet, hat zuletzt Stephan ausführlich beschrieben: Weil DEIN E-Mail Anbieter DMARC aktiv hat (in Kombination mit der Konfiguration der Mailingliste).

Stefan

On 2022-03-16 10:10, Rüdiger Clausius wrote:
> Hallo Rainer,
>
> Rainer:"Bei mir landen Rüdigers Emails über die Liste immer im Spam-Ordner."
>
> Du bist bei GMX und ich bei mailbox.org. Also, müßtest Du bei GMX fragen, warum lehnt GMX den Header meiner Mail ab und steckt diese dann in den Spam-Ordner. Mit der Antwort von GMX gehe ich dann zum mailbox.org Support und eröffne dort ein Ticket. 
>
> Wir bekommen da schon Licht in die Geschichte rein. Man muß eine Problem-Mail konsequent zurückverfolgen und die Ursache finden.
>
> Rüdiger
>
>> Rainer <r.elbing at gmx.de> hat am 16.03.2022 09:50 geschrieben:
>>
>>  
>> Danke Stephan für die Erklärung!
>> Bei mir landen Rüdigers Emails über die Liste immer im Spam-Ordner. Ich
>> habe seine Adresse zwar auf die Weiße Liste gesetzt, aber das hilft
>> nicht und liegt wohl an der 100%-Ablehnungsregel von mailbox.org. Mein
>> Mail-Anbieter ist gmx.
>>
>> Grüß,
>> Rainer
>>
>> Am 16.03.22 um 09:17 schrieb Stephan Knauss:
>>> On 15.03.2022 10:57, Rüdiger Clausius wrote:
>>>> Es gibt die Mutmaßung, daß manche Mailprovider den Adress-Header
>>>> nicht web-konform auswerten und deshalb Mails blocken sprich nicht in
>>>> das Eingangspostfach weitergeben.
>>> Einige Mail-Provider werten den SPF/DKIM/DMARC *Standard* aus
>>>
>>> RFC 7489
>>>
>>> Gemäß diesem Standard signiert der Absendende Mailserver mittels
>>> public-key krypotographie den eMail-Absender. Zusätzlich
>>> veröffentlicht er die Information, dass er genau das tut und den
>>> public key. (DKIM)
>>>
>>> Ein Empfänger kann jetzt entscheiden, dass er nur eMails akzeptiert,
>>> die eine gültige Signatur haben. Das soll verhindern, dass du eMails
>>> mit gefälschtem Absender ankommen.
>>>
>>> Anwendungsfall ist sowas wie eine Mail vom "Chef" an die Sekretärin,
>>> dass er gerade in einer wichtigen Verhandlung ist und ganz dringend
>>> eine Million auf ein bestimmtes Konto überwiesen werden muss.
>>>
>>> Das kann natürlich nur Absenderadressen schützen, die auch so eine
>>> Signatur haben.
>>>
>>> Der Mail-Provider von Rüdiger macht das seit 30.9.2020:
>>> DKIM-Signaturen für alle ausgehenden E-Mails
>>> https://mailbox.org/de/post/sicherheitsanpassung-und-abschaltung-bestimmter-mailfunktionen
>>>
>>>
>>> Probleme kann es geben, wenn eine Software, wie z.B. "mailman" den
>>> Mailheader verändert und dadurch die Signatur ungültig wird.
>>>
>>> Bei vielen Empfängern wird die Signatur nicht geprüft, so dass es ohne
>>> Folgen bleibt. Problematisch wird es bei den Empfängern, die
>>> eingehende Mails vor Fälschungen schützen wollen.
>>>
>>> Diese prüfen die Signatur und werfen alle, oder einen Teil der
>>> problematischen eMails weg. Den genauen Anteil kommunizieren die
>>> *Absender* durch einen speziellen Eintrag im DNS.
>>>
>>> Oft wird auch die Tatsache, ob eine eMail so eine Signatur hat oder
>>> nicht in den Score für den Spamfilter mit aufgenommen. Das erhöht dann
>>> den Druck auf Absender, dass sie ihre eMails auch signieren.
>>>
>>> GMail ist so ein Beispiel, der SPF/DKIM haben will. Yahoo und Outlook
>>> prüfen wohl auch.
>>> Google stellt immer wieder mal emails nur verzögert zu und weist den
>>> Absender dann in den Logs darauf hin, dass man die Mailheader
>>> signieren soll:
>>>
>>> 421, "4.7.0", Our system has detected an unusual rate of unsolicited
>>> mail originating from your IP address. To protect our users from spam,
>>> mail sent from your IP address has been temporarily blocked. For more
>>> information, visit Prevent mail to Gmail users from being blocked or
>>> sent to spam [https://support.google.com/mail/answer/81126].
>>>
>>>
>>> Jetzt kommt es also darauf an, was genau passieren soll wenn die
>>> Signatur nicht stimmt. Wie erwähnt, stellt das der Absender ein.
>>>
>>> Mailbox.org gibt folgendes vor:
>>>
>>> v=DMARC1; p=reject; adkim=r; aspf=r; pct=100;
>>> rua=mailto:abuse+arf at heinlein-support.de; rf=afrf; fo=1;
>>> Sie sagen also, dass 100% der Nachrichten abgelehnt werden sollen,
>>> deren Signatur nicht passt. Sie bitten auch das Empfängersystem einen
>>> automatischen Statusreport an die angegebene Adresse zu schicken. Ob
>>> das passiert oder nicht ist wieder eine Sache des Empfängers.
>>>
>>> Zusammengefasst bedeutet das dann:
>>>
>>> Nachrichten, die Rüdiger schickt und bei denen die Signatur durch
>>> mailman ungültig wird werden z.B. bei mir zugestellt, da mein
>>> Mailserver so konfiguriert ist, dass ihm die Signaturen egal sind. Bei
>>> gmail als Empfänger wird die eMail nicht zugestellt, da die Policy vom
>>> Absender ja genau das verbietet.
>>>
>>>
>>> Wie Michael schon geschrieben hat, gibt es Optionen in Mailman um das
>>> Verhalten zu beeinflussen. Der Absender könnte zum Beispiel von
>>> user at mailbox.org geändert werden in user at mailbox.org.invalid.
>>>
>>> Da es für den "neuen" Absender aus der domain org.invalid keinen DMARC
>>> Eintrag gibt, würde der Empfänger die email somit auch nicht direkt
>>> ablehnen. Es kann aber zu Verzögerungen kommen, wenn der Empfänger wie
>>> Google oben auf signierten Absendern besteht. Die Verzögrung könnte
>>> man nur dann lösen, wenn es auch DMARC records für
>>> lists.openstreetmap.de gäbe und die ausgehenden mails mit DKIM
>>> signiert werden. Somit wäre ein einfaches Ändern des Absenders zu
>>> .invalid der einfachste Weg.
>>>
>>> Da ich gerade sehe, dass die Liste bayern@ anders konfiguriert ist als
>>> die Listen von osm.org:
>>>
>>> Wir haben aktuell das From auf dem originalen Absender und Reply-to
>>> ist die liste. Die osm.org haben als From die Liste und als Reply-to
>>> den originalen Absender. Bei osm.org gibt es somit das Problem nicht.
>>>
>>> Vorschlag wäre somit, die Konfiguration der Liste an die der osm.org
>>> Listen anzugleichen. Ist etwas mehr Arbeit, da dann zusätzlich dann
>>> auch DKIM einzurichten und eine DMARC Policy zu veröffentlichen.
>>>
>>> openstreetmap.org hat diese:
>>>
>>> v=DMARC1; p=none; rua=mailto:openstreetmap-d at dmarc.report-uri.com
>>>
>>> und signiert:
>>>
>>> DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
>>>     d=openstreetmap.org; s=20200301;
>>> h=Content-Type:Reply-To:From:List-Subscribe:
>>>     List-Help:List-Post:List-Archive:List-Unsubscribe:List-Id:Subject:
>>>     MIME-Version:Message-ID:Date:To:Sender:Cc:Content-Transfer-Encoding:
>>>     Content-ID:Content-Description:Resent-Date:Resent-From:Resent-Sender:
>>>     Resent-To:Resent-Cc:Resent-Message-ID:In-Reply-To:References:List-Owner;
>>>
>>>     bh=F0Mcmh/Z5KubrthV6xVVr4KIKp6fsGsvwwDoaC1/p38=;
>>> i=talk at openstreetmap.org;
>>>     t=1647343751; x=1648553351;
>>> b=Etwcoe5bV/SNN7UdA0zYvCVF4drAi7aT4ksWgjLrZgnOG7M
>>>     4BWj6Hf4F6YsBR/qXSKjqqki32bdXmNwYz4v45K3IxaqKWKKc/23ZxRcZeVcbdJ9UI/TEax6raTeg
>>>
>>>     2RwUTWHOvUxGOHkmPKA1B5sWtCSK6RHsukA+NrkaL/sa5GWeSwltqKRhKRQR9fbBAIncUIC+UFg2e
>>>
>>>     AyTn0vTaZnmdShwvT375QXoCKTRpYRq267Haou6btJZ3qtjnSQ2QmJM2NIx+lcsFnVSTbm/cTqaYs
>>>
>>>     Fy6cs5oeWSmLhZlRzppmPkEfOmPjyt2f0OY0FfiO1w3UfPDatVJGFgCSeXRulgOg==;
>>>
>>>
>>> @Rüdiger: Falls du das selbst ausprobieren willst, dann kannst du dich
>>> mit einer gmail Adresse zur Liste anmelden und schauen was dort ankommt.
>>>
>>>
>>> Stephan
>>>
>>>
>>> _______________________________________________
>>> Bayern mailing list
>>> Bayern at lists.openstreetmap.de
>>> https://lists.openstreetmap.de/mailman/listinfo/bayern
>> _______________________________________________
>> Bayern mailing list
>> Bayern at lists.openstreetmap.de
>> https://lists.openstreetmap.de/mailman/listinfo/bayern
> _______________________________________________
> Bayern mailing list
> Bayern at lists.openstreetmap.de
> https://lists.openstreetmap.de/mailman/listinfo/bayern
>
>