[OSM-Bayern] Gibt es bekannte Probleme mit dem Einsatz von Mailinglisten ?

Rüdiger Clausius ruediger.clausius at mailbox.org
Mi Mär 16 20:36:02 CET 2022 

Hallo Stephan,

Danke Dir, Du hast die Mailtechnik gut analysiert und dargestellt. Wieder etwas dazu gelernt.:)

> Alle eMails, die als Absender etwas @mailbox.org haben und die nicht 
> über die dort aufgelisteten Server verschickt werden sind wieder verdächtig.

Das kommt bei mailbox.org noch zusätzlich dazu, um mehr Sicherheit im Mailverkehr zu bringen. Ich könnte jetzt versuchen unsere Mailingliste auf eine Whitelist der zulässigen Server zu setzen. Dann könnte es gehen.

Aber ich vermute, es gibt mit unserer Mailinglist noch mehr Problemfälle, wo gebouncte Mails nicht den Adressaten erreichen. Hier brauchen wir eine Lösung, die alle Mailinglist-Teilnehmer erreicht.

Rüdiger



> Stephan Knauss <osm at stephans-server.de> hat am 16.03.2022 13:22 geschrieben:
> 
>  
> Hallo Rüdiger,
> 
> On 16.03.2022 12:12, Rüdiger Clausius wrote:
> > Danke... War der Annahme, daß DMARC ein positives Sicherheitsfeature ist und nicht destruktiv wirkt.
> >
> > Werde mich nun mit dem mailbox.org Support zusammensetzen, um das Feature DMARC im Zusammenhang mit Mailinglisten zu diskutieren.
> 
> DU als Absender, bzw. Mailbox.org in deinem Auftrag signiert die 
> ausgehenden eMails.
> 
> Das soll dazu dienen nachträgliche Veränderungen an der eMail zu erkennen.
> 
> Zum Beispiel deine letzte Nachricht hat:
> 
> DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mailbox.org;
>   s=mail20150812; t=1647421830;
>   h=from:from:reply-to:subject:subject:date:date:message-id:message-id:
>   to:to:cc:mime-version:mime-version:content-type:content-type:
>   content-transfer-encoding:content-transfer-encoding:
>   in-reply-to:in-reply-to:references:references;
>   bh=l6InGh5kSJHGGtZRp/vMHUVjNh82tL4rKXieOuc1wJA=;
>   b=SjnTmxSj/igfePTHp/WrvTcpxbHr3t7kEZCtZSoQzSjnwrOutv/nPvxFgIRHQFq9bdTpBR
>   KzL+fdhjg74J+H0L0HWXpj4UyV/tWGi5g49SyN4RL+BgvlRV/xpGfctFfEztIrTzWtUy5z
>   czOlqp4VVm9Vg+8A2CuS5fwYs1/H+EpVs1qkdEnFvHbJ+q80QyW4+4To/IeKaHfyde7xRi
>   +nwMPi3VppMmr29+j+i1Bt26xbSrJpKxFth2fnp/hFBeiPPlgaAe2GxTofjFiqvZdn+miY
>   9H7+PxWfiK2KfuI8KkGYLvqYykVvjKKiUh0Pu9/EQOvXxPEgRX7MXIbJYtUrww==
> 
> Wichtig ist hier die liste der Header unter "h=". Diese Mail-Header 
> werden durch eine Signatur vor Veränderung geschützt.
> 
> Mailman (die Software, die hier die mailingliste verwaltet) ist so 
> konfiguriert, dass "Subject" verändert wird, der Absender "From" aber 
> gleich bleibt.
> Somit erkennt dann ein check, dass die Email die deinen Absender trägt 
> manipuliert wurde.
> 
> Weil du (über mailbox.org) als Absender festgelegt hast, dass niemand 
> unter deinem Namen veränderte Mails schicken darf wird die dann abgelehnt.
> Warum es GMX nur in den Spam-Ordner schiebt kann ich nicht sagen. Ist 
> eigentlich falsch und sie müssten auch ablehnen. Vielleicht machen sie 
> es um nicht ganz so viel Stress im Kundensupport zu haben.
> 
> 
> Hier kannst du den Mail-Source reinkopieren und die Analyse machen lassen:
> 
> https://www.appmaildev.com/en/dkimfile
> 
> 
> Wenn man das Subject in andere Header in Ruhe lassen würde wäre 
> vermutlich die DKIM Signatur wieder in Ordnung.
> 
> Leider würde es immer noch Probleme geben. Mailbox.org legt auch fest, 
> welche Server emails verschicken dürfen die von einer Adresse dort kommen:
> 
> v=spf1 ip4:213.203.238.0/25 ip4:195.10.208.0/24 ip4:91.198.250.0/24 
> ip4:80.241.56.0/21 ip6:2001:67c:2050::/48 ip4:80.241.60.0/24 mx ~all
> 
> Alle eMails, die als Absender etwas @mailbox.org haben und die nicht 
> über die dort aufgelisteten Server verschickt werden sind wieder verdächtig.
> 
> Die Mails aus dem Verteiler werden von einem Mailserver von 
> openstreetmap.de verschickt. Aber wieder gibt der Absender vor, dass es 
> mailbox.org ist.
> 
> Hier hast du als Absender (bzw. mailbox.org in deinem Auftrag) 
> angegeben, dass diese Mails ein SOFTFAIL (~all) sind. Sollen zugestellt 
> werden, dürfen aber als verdächtig markiert werden.
> 
> Lösung wäre vermutlich wieder das gleiche Vorgehen wie in meiner ersten 
> Mail beschreiben. Betrieb wie bei den osm.org Listen, signieren mit DKIM 
> und eine DMARC policy veröffentlichen.
> Disclaimer: Praktisch ausprobiert habe ich das nicht. Ist nur Theorie. 
> Bin aber sehr zuversichtlich, dass es funktionieren wird.
> 
> 
> Du kannst es selbst nachvollziehen, wenn du dir einen GMX account oder 
> gmail account anlegst und dich damit bei der Mailingliste anmeldest.
> 
> > Warten wir mal ab, was die Diskussion mit dem mailbox.org Support ergibt.
> 
> Ich als Support würde darauf verweisen, dass sie nicht für die 
> Konfiguration der Mailingliste bei openstreetmap.de zuständig sind und 
> du dort nachfragen sollst.
> 
> 
> _______________________________________________
> Bayern mailing list
> Bayern at lists.openstreetmap.de
> https://lists.openstreetmap.de/mailman/listinfo/bayern

Mehr Informationen über die Mailingliste Bayern