[OSM-Bayern] Gibt es bekannte Probleme mit dem Einsatz von Mailinglisten ?

Rüdiger Clausius ruediger.clausius at mailbox.org
Mi Mär 16 13:22:26 CET 2022


Hallo,

habe vom User pbnoxious einen Link https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/dmarc-erklaert/ zu DMARC bekommen. Wenn man sich das durchliest, sollte jeder Mailprovider DMARC unterstützen. DMARC schützt vor dem Empfang von betrügerischen Mails, wo man nicht sicher ist, wer der Absender ist. Das entsteht bei uns durch Umbiegen von Mailadressen in der Mailingliste. Mein Provider mailbox.org ist hier wohl moderner und sicherer als andere Mailprovider.

Werde mich deswegen nicht mit dem Support von mailbox.org zusammensetzen, weil DMARC ein Sicherheitsfeature ist, wovon mailbox.org nicht wieder abrücken wird.

Wir sollten uns eine Folgelösung für unsere Mailingliste überlegen. Es gibt Vorschläge von Fachleuten hier. Ich gehe jeden Weg mit, der hinterher zufrieden für alle arbeitet.

Rüdiger



> Rüdiger Clausius <ruediger.clausius at mailbox.org mailto:ruediger.clausius at mailbox.org> hat am 16.03.2022 12:12 geschrieben:
> 
> 
> Danke... War der Annahme, daß DMARC ein positives Sicherheitsfeature ist und nicht destruktiv wirkt.
> 
> Werde mich nun mit dem mailbox.org Support zusammensetzen, um das Feature DMARC im Zusammenhang mit Mailinglisten zu diskutieren.
> 
> Den Vorschlag von Rainer halte ich für zielführend, da funktionierend:
> 
> Alle Mails, die über bayern-bounces at lists.openstreetmap.de mailto:bayern-bounces at lists.openstreetmap.de laufen zur Kenntnis auch an die normale Mailadresse senden.
> 
> Warten wir mal ab, was die Diskussion mit dem mailbox.org Support ergibt.
> 
> Rüdiger
> 
> 
> 
> > Stefan <openstreetmap-bayern_18 at green-sparklet.de mailto:openstreetmap-bayern_18 at green-sparklet.de> hat am 16.03.2022 11:54 geschrieben:
> > 
> > 
> > Hallo Rüdiger,
> > 
> > "Also, müßtest Du bei GMX fragen, warum lehnt GMX den Header meiner Mail ab und steckt diese dann in den Spam-Ordner." -> Die Frage haben wir dir doch bereits schon mehrfach beantwortet, hat zuletzt Stephan ausführlich beschrieben: Weil DEIN E-Mail Anbieter DMARC aktiv hat (in Kombination mit der Konfiguration der Mailingliste).
> > 
> > Stefan
> > 
> > On 2022-03-16 10:10, Rüdiger Clausius wrote:
> > 
> > > Hallo Rainer,
> > > 
> > > Rainer:"Bei mir landen Rüdigers Emails über die Liste immer im Spam-Ordner."
> > > 
> > > Du bist bei GMX und ich bei mailbox.org. Also, müßtest Du bei GMX fragen, warum lehnt GMX den Header meiner Mail ab und steckt diese dann in den Spam-Ordner. Mit der Antwort von GMX gehe ich dann zum mailbox.org Support und eröffne dort ein Ticket.
> > > 
> > > Wir bekommen da schon Licht in die Geschichte rein. Man muß eine Problem-Mail konsequent zurückverfolgen und die Ursache finden.
> > > 
> > > Rüdiger
> > > 
> > > 
> > > > Rainer <r.elbing at gmx.de mailto:r.elbing at gmx.de> hat am 16.03.2022 09:50 geschrieben:
> > > > 
> > > > 
> > > > Danke Stephan für die Erklärung!
> > > > Bei mir landen Rüdigers Emails über die Liste immer im Spam-Ordner. Ich
> > > > habe seine Adresse zwar auf die Weiße Liste gesetzt, aber das hilft
> > > > nicht und liegt wohl an der 100%-Ablehnungsregel von mailbox.org. Mein
> > > > Mail-Anbieter ist gmx.
> > > > 
> > > > Grüß,
> > > > Rainer
> > > > 
> > > > Am 16.03.22 um 09:17 schrieb Stephan Knauss:
> > > > 
> > > > > On 15.03.2022 10:57, Rüdiger Clausius wrote:
> > > > > 
> > > > > > Es gibt die Mutmaßung, daß manche Mailprovider den Adress-Header
> > > > > > nicht web-konform auswerten und deshalb Mails blocken sprich nicht in
> > > > > > das Eingangspostfach weitergeben.
> > > > > > 
> > > > > Einige Mail-Provider werten den SPF/DKIM/DMARC *Standard* aus
> > > > > 
> > > > > RFC 7489
> > > > > 
> > > > > Gemäß diesem Standard signiert der Absendende Mailserver mittels
> > > > > public-key krypotographie den eMail-Absender. Zusätzlich
> > > > > veröffentlicht er die Information, dass er genau das tut und den
> > > > > public key. (DKIM)
> > > > > 
> > > > > Ein Empfänger kann jetzt entscheiden, dass er nur eMails akzeptiert,
> > > > > die eine gültige Signatur haben. Das soll verhindern, dass du eMails
> > > > > mit gefälschtem Absender ankommen.
> > > > > 
> > > > > Anwendungsfall ist sowas wie eine Mail vom "Chef" an die Sekretärin,
> > > > > dass er gerade in einer wichtigen Verhandlung ist und ganz dringend
> > > > > eine Million auf ein bestimmtes Konto überwiesen werden muss.
> > > > > 
> > > > > Das kann natürlich nur Absenderadressen schützen, die auch so eine
> > > > > Signatur haben.
> > > > > 
> > > > > Der Mail-Provider von Rüdiger macht das seit 30.9.2020:
> > > > > DKIM-Signaturen für alle ausgehenden E-Mails
> > > > > https://mailbox.org/de/post/sicherheitsanpassung-und-abschaltung-bestimmter-mailfunktionen
> > > > > 
> > > > > 
> > > > > Probleme kann es geben, wenn eine Software, wie z.B. "mailman" den
> > > > > Mailheader verändert und dadurch die Signatur ungültig wird.
> > > > > 
> > > > > Bei vielen Empfängern wird die Signatur nicht geprüft, so dass es ohne
> > > > > Folgen bleibt. Problematisch wird es bei den Empfängern, die
> > > > > eingehende Mails vor Fälschungen schützen wollen.
> > > > > 
> > > > > Diese prüfen die Signatur und werfen alle, oder einen Teil der
> > > > > problematischen eMails weg. Den genauen Anteil kommunizieren die
> > > > > *Absender* durch einen speziellen Eintrag im DNS.
> > > > > 
> > > > > Oft wird auch die Tatsache, ob eine eMail so eine Signatur hat oder
> > > > > nicht in den Score für den Spamfilter mit aufgenommen. Das erhöht dann
> > > > > den Druck auf Absender, dass sie ihre eMails auch signieren.
> > > > > 
> > > > > GMail ist so ein Beispiel, der SPF/DKIM haben will. Yahoo und Outlook
> > > > > prüfen wohl auch.
> > > > > Google stellt immer wieder mal emails nur verzögert zu und weist den
> > > > > Absender dann in den Logs darauf hin, dass man die Mailheader
> > > > > signieren soll:
> > > > > 
> > > > > 421, "4.7.0", Our system has detected an unusual rate of unsolicited
> > > > > mail originating from your IP address. To protect our users from spam,
> > > > > mail sent from your IP address has been temporarily blocked. For more
> > > > > information, visit Prevent mail to Gmail users from being blocked or
> > > > > sent to spam [https://support.google.com/mail/answer/81126].
> > > > > 
> > > > > 
> > > > > Jetzt kommt es also darauf an, was genau passieren soll wenn die
> > > > > Signatur nicht stimmt. Wie erwähnt, stellt das der Absender ein.
> > > > > 
> > > > > Mailbox.org gibt folgendes vor:
> > > > > 
> > > > > v=DMARC1; p=reject; adkim=r; aspf=r; pct=100;
> > > > > rua=mailto:abuse+arf at heinlein-support.de mailto:abuse+arf at heinlein-support.de; rf=afrf; fo=1;
> > > > > Sie sagen also, dass 100% der Nachrichten abgelehnt werden sollen,
> > > > > deren Signatur nicht passt. Sie bitten auch das Empfängersystem einen
> > > > > automatischen Statusreport an die angegebene Adresse zu schicken. Ob
> > > > > das passiert oder nicht ist wieder eine Sache des Empfängers.
> > > > > 
> > > > > Zusammengefasst bedeutet das dann:
> > > > > 
> > > > > Nachrichten, die Rüdiger schickt und bei denen die Signatur durch
> > > > > mailman ungültig wird werden z.B. bei mir zugestellt, da mein
> > > > > Mailserver so konfiguriert ist, dass ihm die Signaturen egal sind. Bei
> > > > > gmail als Empfänger wird die eMail nicht zugestellt, da die Policy vom
> > > > > Absender ja genau das verbietet.
> > > > > 
> > > > > 
> > > > > Wie Michael schon geschrieben hat, gibt es Optionen in Mailman um das
> > > > > Verhalten zu beeinflussen. Der Absender könnte zum Beispiel von
> > > > > user at mailbox.org mailto:user at mailbox.org geändert werden in user at mailbox.org.invalid mailto:user at mailbox.org.invalid.
> > > > > 
> > > > > Da es für den "neuen" Absender aus der domain org.invalid keinen DMARC
> > > > > Eintrag gibt, würde der Empfänger die email somit auch nicht direkt
> > > > > ablehnen. Es kann aber zu Verzögerungen kommen, wenn der Empfänger wie
> > > > > Google oben auf signierten Absendern besteht. Die Verzögrung könnte
> > > > > man nur dann lösen, wenn es auch DMARC records für
> > > > > lists.openstreetmap.de gäbe und die ausgehenden mails mit DKIM
> > > > > signiert werden. Somit wäre ein einfaches Ändern des Absenders zu
> > > > > .invalid der einfachste Weg.
> > > > > 
> > > > > Da ich gerade sehe, dass die Liste bayern@ anders konfiguriert ist als
> > > > > die Listen von osm.org:
> > > > > 
> > > > > Wir haben aktuell das From auf dem originalen Absender und Reply-to
> > > > > ist die liste. Die osm.org haben als From die Liste und als Reply-to
> > > > > den originalen Absender. Bei osm.org gibt es somit das Problem nicht.
> > > > > 
> > > > > Vorschlag wäre somit, die Konfiguration der Liste an die der osm.org
> > > > > Listen anzugleichen. Ist etwas mehr Arbeit, da dann zusätzlich dann
> > > > > auch DKIM einzurichten und eine DMARC Policy zu veröffentlichen.
> > > > > 
> > > > > openstreetmap.org hat diese:
> > > > > 
> > > > > v=DMARC1; p=none; rua=mailto:openstreetmap-d at dmarc.report-uri.com mailto:openstreetmap-d at dmarc.report-uri.com
> > > > > 
> > > > > und signiert:
> > > > > 
> > > > > DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
> > > > > d=openstreetmap.org; s=20200301;
> > > > > h=Content-Type:Reply-To:From:List-Subscribe:
> > > > > List-Help:List-Post:List-Archive:List-Unsubscribe:List-Id:Subject:
> > > > > MIME-Version:Message-ID:Date:To:Sender:Cc:Content-Transfer-Encoding:
> > > > > Content-ID:Content-Description:Resent-Date:Resent-From:Resent-Sender:
> > > > > Resent-To:Resent-Cc:Resent-Message-ID:In-Reply-To:References:List-Owner;
> > > > > 
> > > > > bh=F0Mcmh/Z5KubrthV6xVVr4KIKp6fsGsvwwDoaC1/p38=;
> > > > > i=talk at openstreetmap.org mailto:i=talk at openstreetmap.org;
> > > > > t=1647343751; x=1648553351;
> > > > > b=Etwcoe5bV/SNN7UdA0zYvCVF4drAi7aT4ksWgjLrZgnOG7M
> > > > > 4BWj6Hf4F6YsBR/qXSKjqqki32bdXmNwYz4v45K3IxaqKWKKc/23ZxRcZeVcbdJ9UI/TEax6raTeg
> > > > > 
> > > > > 2RwUTWHOvUxGOHkmPKA1B5sWtCSK6RHsukA+NrkaL/sa5GWeSwltqKRhKRQR9fbBAIncUIC+UFg2e
> > > > > 
> > > > > AyTn0vTaZnmdShwvT375QXoCKTRpYRq267Haou6btJZ3qtjnSQ2QmJM2NIx+lcsFnVSTbm/cTqaYs
> > > > > 
> > > > > Fy6cs5oeWSmLhZlRzppmPkEfOmPjyt2f0OY0FfiO1w3UfPDatVJGFgCSeXRulgOg==;
> > > > > 
> > > > > 
> > > > > @Rüdiger: Falls du das selbst ausprobieren willst, dann kannst du dich
> > > > > mit einer gmail Adresse zur Liste anmelden und schauen was dort ankommt.
> > > > > 
> > > > > 
> > > > > Stephan
> > > > > 
> > > > > 
> > > > > _______________________________________________
> > > > > Bayern mailing list
> > > > > Bayern at lists.openstreetmap.de mailto:Bayern at lists.openstreetmap.de
> > > > > https://lists.openstreetmap.de/mailman/listinfo/bayern
> > > > > 
> > > > _______________________________________________
> > > > Bayern mailing list
> > > > Bayern at lists.openstreetmap.de mailto:Bayern at lists.openstreetmap.de
> > > > https://lists.openstreetmap.de/mailman/listinfo/bayern
> > > > 
> > > _______________________________________________
> > > Bayern mailing list
> > > Bayern at lists.openstreetmap.de mailto:Bayern at lists.openstreetmap.de
> > > https://lists.openstreetmap.de/mailman/listinfo/bayern
> > > 
> > > 
> > > 
> > 
> > _______________________________________________
> > Bayern mailing list
> > Bayern at lists.openstreetmap.de mailto:Bayern at lists.openstreetmap.de
> > https://lists.openstreetmap.de/mailman/listinfo/bayern
> > 
> 
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.openstreetmap.de/pipermail/bayern/attachments/20220316/c2733f41/attachment.htm>


Mehr Informationen über die Mailingliste Bayern