DKIM konforme Mailing-Listen (SPF-konform wäre hier auch angeraten)

Patrick Ben Koetter p at sys4.de
Mi Aug 5 07:00:24 CEST 2015


Walter,

* Walter H. <Walter.H at mathemainzel.info>:
> >>Da stehe ich aktuell auf dem Schlauch. Des Weiteren ist mir aufgefallen,
> >>dass hier auf der Liste der From-Header nicht mehr "Autor via
> >>Listenname" lautet sondern nur den ursprünglichen Autor enthält. Warum
> >>ist das so und die DKIM-Signaturen sind trotzdem korrekt?
> >Es war ein Versuch (so hatten wir das damals IIRC auch angekündigt) die Liste
> >auch DMARC-konform zu betreiben, indem ein neuer Autor ins Spiel kommt und
> >DMARC so nicht mehr ungültig sein kann.
> >
> >Wir haben das wieder eingestellt, weil DMARC (glücklicherweise) in eine
> >Revision ging und wir das Experiment deshalb nicht mehr weiterführen wollten
> >und weil Alexander Wirt mich wegen des Experiments mit fiesen Flüchen belegt
> >hatte. Denn dieser Test gefiel ihm gar nicht (mir auch nicht). Seitdem ich das
> >zurückgestellt habe, ist mein Leben auch wieder viel besser. ;)
> >
> Hallo Patrick,
> 
> die Geschichte mit Mailinglisten und DMARC kann aber auch ganz böse
> sein, und ist sie zwangsweise auch;
> nimm nur folgende Situation her:
> 
> jemand hat bei seiner Domain nur folgende 2 DNS-Einträge:
> 
> _dmarc.domain.tld TXT "v=DMARC1; p=quarantine;
> rua=mailto:dmarc-feedback at domain.tld;
> ruf=mailto:dmarc-failure at domain.tld"
> und
> domain.tld TXT "v=spf1 mx -all"
> 
> dann wird er bei Versand an einer sehr großen Mailingliste und
> sobald DMARC einen gewissen Grad an Verbreitung überschreitet, eine
> sehr böse Überraschung erleben;
> 
> jeder Adressat (respetive dessen Mailserver) wird ihn mit
> DMARC-Mails im wahrsten Sinn des Wortes zumüllen, und das kann nicht
> Sinn des ganzen sein;

Du bringst es auf den Punkt. Deshalb wurde und wird DMARC ja auch so
kritisiert.

Andererseits ist längst Tatsache ("normative Kraft des Faktischen"), dass
US-Unternehmen DMARC produktiv einsetzen. Aus deren Sicht überwiegt der Nutzen
den Schaden - auch wenn sie Re-Mailer/Forwader/Mailinglisten damit de facto
'kaputt' machen.

Darüber ist viel diskutiert und noch mehr (unsachlich) gestritten worden.
Soviel, dass die Moderatoren der IETF-Liste sich genötigt sahen einzelne
Personen zuerst öffentlich zu ermahnen und sie dann sogar zu bannen. Ein
durchaus hitziges Thema also.

Eine kompatible Lösung scheint gefunden. Die DMARC WG der IETF scheint ein
agreement zu haben. Ich habe es mir noch nicht angesehen, weil es IIRC noch
nicht final war/ist.

(Mindestens) solange setzen wir auf MLMs kein DMARC ein. Ob das auch für diese
Liste gilt? Ich persönlich bin ein Freund von "eat your own dogfood". Wer wenn
nicht wir könnten frühzeitig herausfinden was taugt und was (noch) nicht
taugt. Mal sehen. Offensichtlich ins Verderben rennen muss ja auch nicht sein.
;)


> DKIM ist da dann eine ganz andere Geschichte, wobei DKIM-signierte Mails
> landen bei mir grundsätzlich in der Quarantäne oder werden mit ein paar
> Ausnahmen gleich geblockt;

Eine DKIM-Signatur ist eine Identität. Sie ist *keine* Reputation. An eine
Identität kann ich für eine bestimmte Domain z.B. bewußt ein Whitelisting
hängen. Unbewußt (lies: automatisch entschieden) mache ich DKIM nicht zur
Grundlage von Entscheidungen.

p at rick



-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste postfix-users