[OSM-Bayern] Gibt es bekannte Probleme mit dem Einsatz von Mailinglisten ?

[Stephan Knauss]

Hallo Rüdiger,

On 16.03.2022 12:12, Rüdiger Clausius wrote:
> Danke... War der Annahme, daß DMARC ein positives Sicherheitsfeature ist und nicht destruktiv wirkt.
>
> Werde mich nun mit dem mailbox.org Support zusammensetzen, um das Feature DMARC im Zusammenhang mit Mailinglisten zu diskutieren.

DU als Absender, bzw. Mailbox.org in deinem Auftrag signiert die 
ausgehenden eMails.

Das soll dazu dienen nachträgliche Veränderungen an der eMail zu erkennen.

Zum Beispiel deine letzte Nachricht hat:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mailbox.org;
  s=mail20150812; t=1647421830;
  h=from:from:reply-to:subject:subject:date:date:message-id:message-id:
  to:to:cc:mime-version:mime-version:content-type:content-type:
  content-transfer-encoding:content-transfer-encoding:
  in-reply-to:in-reply-to:references:references;
  bh=l6InGh5kSJHGGtZRp/vMHUVjNh82tL4rKXieOuc1wJA=;
  b=SjnTmxSj/igfePTHp/WrvTcpxbHr3t7kEZCtZSoQzSjnwrOutv/nPvxFgIRHQFq9bdTpBR
  KzL+fdhjg74J+H0L0HWXpj4UyV/tWGi5g49SyN4RL+BgvlRV/xpGfctFfEztIrTzWtUy5z
  czOlqp4VVm9Vg+8A2CuS5fwYs1/H+EpVs1qkdEnFvHbJ+q80QyW4+4To/IeKaHfyde7xRi
  +nwMPi3VppMmr29+j+i1Bt26xbSrJpKxFth2fnp/hFBeiPPlgaAe2GxTofjFiqvZdn+miY
  9H7+PxWfiK2KfuI8KkGYLvqYykVvjKKiUh0Pu9/EQOvXxPEgRX7MXIbJYtUrww==

Wichtig ist hier die liste der Header unter "h=". Diese Mail-Header 
werden durch eine Signatur vor Veränderung geschützt.

Mailman (die Software, die hier die mailingliste verwaltet) ist so 
konfiguriert, dass "Subject" verändert wird, der Absender "From" aber 
gleich bleibt.
Somit erkennt dann ein check, dass die Email die deinen Absender trägt 
manipuliert wurde.

Weil du (über mailbox.org) als Absender festgelegt hast, dass niemand 
unter deinem Namen veränderte Mails schicken darf wird die dann abgelehnt.
Warum es GMX nur in den Spam-Ordner schiebt kann ich nicht sagen. Ist 
eigentlich falsch und sie müssten auch ablehnen. Vielleicht machen sie 
es um nicht ganz so viel Stress im Kundensupport zu haben.


Hier kannst du den Mail-Source reinkopieren und die Analyse machen lassen:

https://www.appmaildev.com/en/dkimfile


Wenn man das Subject in andere Header in Ruhe lassen würde wäre 
vermutlich die DKIM Signatur wieder in Ordnung.

Leider würde es immer noch Probleme geben. Mailbox.org legt auch fest, 
welche Server emails verschicken dürfen die von einer Adresse dort kommen:

v=spf1 ip4:213.203.238.0/25 ip4:195.10.208.0/24 ip4:91.198.250.0/24 
ip4:80.241.56.0/21 ip6:2001:67c:2050::/48 ip4:80.241.60.0/24 mx ~all

Alle eMails, die als Absender etwas @mailbox.org haben und die nicht 
über die dort aufgelisteten Server verschickt werden sind wieder verdächtig.

Die Mails aus dem Verteiler werden von einem Mailserver von 
openstreetmap.de verschickt. Aber wieder gibt der Absender vor, dass es 
mailbox.org ist.

Hier hast du als Absender (bzw. mailbox.org in deinem Auftrag) 
angegeben, dass diese Mails ein SOFTFAIL (~all) sind. Sollen zugestellt 
werden, dürfen aber als verdächtig markiert werden.

Lösung wäre vermutlich wieder das gleiche Vorgehen wie in meiner ersten 
Mail beschreiben. Betrieb wie bei den osm.org Listen, signieren mit DKIM 
und eine DMARC policy veröffentlichen.
Disclaimer: Praktisch ausprobiert habe ich das nicht. Ist nur Theorie. 
Bin aber sehr zuversichtlich, dass es funktionieren wird.


Du kannst es selbst nachvollziehen, wenn du dir einen GMX account oder 
gmail account anlegst und dich damit bei der Mailingliste anmeldest.

> Warten wir mal ab, was die Diskussion mit dem mailbox.org Support ergibt.

Ich als Support würde darauf verweisen, dass sie nicht für die 
Konfiguration der Mailingliste bei openstreetmap.de zuständig sind und 
du dort nachfragen sollst.