Frage Mailinglisten DNSEC DKIM usw.

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

Frage Mailinglisten DNSEC DKIM usw.

Günther J. Niederwimmer
Hallo,

ist das eigentlich üblich DKIM  Fehler zu bekommen!
Hintergrund:

Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert, jetzt
habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen umgestellt.

Seit dem hagelt es Statusreports mit Fehlermeldungen ??

Kann man so eine Email Adresse nicht für Mailinglisten verwenden oder ist da
was falsch eingestellt?

Normaler Mailversand funktioniert, da bekommt man zwar auch Reports, die sind
aber mit "Pass" gekennzeichnet.

--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: Frage Mailinglisten DNSEC DKIM usw.

mailinglisten-2


Am 26.02.2018 um 13:55 schrieb Günther J. Niederwimmer:
> ist das eigentlich üblich DKIM  Fehler zu bekommen!
> Hintergrund:
>
> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert, jetzt
> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen umgestellt.
>
> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
>
Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
successfull.
Reply | Threaded
Open this post in threaded view
|

AW: Frage Mailinglisten DNSEC DKIM usw.

Daniel-6
In reply to this post by Günther J. Niederwimmer
Dann hast du wohl entsprechende Report Einträge im DNS, dass du sowas wünscht.

Gruß Daniel


smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Frage Mailinglisten DNSEC DKIM usw.

Günther J. Niederwimmer
In reply to this post by mailinglisten-2
Hallo,

Am Montag, 26. Februar 2018, 14:01:11 CET schrieb Andreas Pothe:

> Am 26.02.2018 um 13:55 schrieb Günther J. Niederwimmer:
> > ist das eigentlich üblich DKIM  Fehler zu bekommen!
> > Hintergrund:
> >
> > Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert, jetzt
> > habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen umgestellt.
> >
> > Seit dem hagelt es Statusreports mit Fehlermeldungen ??
>
> Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
> successfull.

Das ist ja auch meine "alte" EMail Adresse ohne DNSSEC usw. ;-)

Ich habe zum Test nur bei opensuse Mailinglisten auf meine "neuen" Adressen
umgestellt und da funktioniert das ganze anscheinend nicht!

Da bekkomme ich nur Reports mit "fail" da ja der SUSE Server nicht zu meiner
Adresse passt!

Also wieder zurück zur alten Adresse jedefalls für Mailinglisten :-(.
--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: Frage Mailinglisten DNSEC DKIM usw.

mailinglisten-2
Hi,


Am 26.02.2018 um 14:20 schrieb Günther J. Niederwimmer:

> ist das eigentlich üblich DKIM Fehler zu bekommen!
>>> Hintergrund:
>>>
>>> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert, jetzt
>>> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen umgestellt.
>>>
>>> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
>> Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
>> successfull.
> Das ist ja auch meine "alte" EMail Adresse ohne DNSSEC usw. ;-)
>
> Ich habe zum Test nur bei opensuse Mailinglisten auf meine "neuen" Adressen
> umgestellt und da funktioniert das ganze anscheinend nicht!
>
> Da bekkomme ich nur Reports mit "fail" da ja der SUSE Server nicht zu meiner
> Adresse passt!
Das hat dann aber nichts mit DNSSEC zu tun, sondern damit, dass dein
DKIM nicht passt. Wer nimmt denn aufgrund fehlerhafter DKIM-Signatur
nicht an, die Mailingliste oder deren Empfänger? Wenn letzteres, wird
der Header durch den Mailinglisten-Server verändert.

Lass mich raten: Du hast auch den Header auf Strict? Versuch es mal mit
Relaxed, dann ist die Wahrscheinlichkeit für Ablehnung besser.

Für weitere Hilfe brauchen wir Tacheles. Ohne konkrete Daten können wir
nur spekulieren, das ist doof.

CU
Andreas
Reply | Threaded
Open this post in threaded view
|

Re: Frage Mailinglisten DNSEC DKIM usw.

Patrick Ben Koetter-2
In reply to this post by Günther J. Niederwimmer
Hallo Günther,

* Günther J. Niederwimmer <[hidden email]>:
> ist das eigentlich üblich DKIM  Fehler zu bekommen!

es kommt noch viel zu häufig vor, weil eine Verletzung von DKIM-Signaturen
sich bisher wenig auf die deliverability ausgewirkt hatte. Das wird sich bei
steigender Popularität von DMARC, über das nun DKIM-Policies vermittelt werden
können, ändern.

> Hintergrund:
>
> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert, jetzt
> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen umgestellt.
>
> Seit dem hagelt es Statusreports mit Fehlermeldungen ??

Dann, nehme ich an, nutzt Du schon DMARC und lässt Dir Fehlermeldungen
zusenden.


> Kann man so eine Email Adresse nicht für Mailinglisten verwenden oder ist da
> was falsch eingestellt?

Im Regelfall ist der MLM bzw. die Config der Mailingliste falsch eingestellt.
Peer hat vor einer Weile auf Umschreiben der Adresse umgestellt. Damit löst er
sich aus der DKIM-Vorgabe Deiner Senderdomain und kann deren Policy gar nicht
mehr verletzen. Wie das mit Mailman geht, hatten wir 2013 in
https://blog.sys4.de/mailman-dmarc-konform-betreiben-de.html beschrieben.

Alternativ kann der MLM auch so konfiguriert werden, dass er Subject und Body
nicht verändert. Darüber hatte ich in etwa zur selben Zeit auch im sys4 Blog
geschrieben: https://blog.sys4.de/dkim-konforme-mailinglisten-de.html

Ob das die einzigen beiden brauchbaren Möglichkeiten bleiben werden, ist noch
nicht abschliessend geklärt. Mit ARC steht eine Ergänzung zu DKIM zur
Standardisierung an, die es einem MLM gestattet eine DKIM-konforme Nachricht
vor dem Versenden selbst zu signieren und gleichzeitig die Konformität der
Nachricht zum Zeitpunkt der Annahme zu bestätigen.

Ob das was wird, zweifle ich allerdings noch an. Ein ARC-Signierer muss
trusted sein, d.h. er muss auf einer Liste vertrauenswürdiger Signierer
geführt werden. Diese Liste soll – so mein letzter Wissensstand – von Hand
geführt und verteilt werden.

Das könnte man meiner Meinung nach schon als bewußte Sabotage auffassen. Und
irgendwie erinnert es mich schwer an die pre-DNS-Zeit in Deutschland, als
Peter Koch noch Listen mit DNS-IP-Zuordnungen von Hand geführt und auf seinem
FTP-Server zur Verfügung gestellt hat. Damals 14 - 18 vor Verdun… :-/

p@rick

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: Frage Mailinglisten DNSEC DKIM usw.

Günther J. Niederwimmer
In reply to this post by mailinglisten-2
Hallo,

Am Montag, 26. Februar 2018, 14:25:47 CET schrieb Andreas Pothe:

> Hi,
>
> Am 26.02.2018 um 14:20 schrieb Günther J. Niederwimmer:
> > ist das eigentlich üblich DKIM Fehler zu bekommen!
> >
> >>> Hintergrund:
> >>>
> >>> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert,
> >>> jetzt
> >>> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen
> >>> umgestellt.
> >>>
> >>> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
> >>
> >> Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
> >> successfull.
> >
> > Das ist ja auch meine "alte" EMail Adresse ohne DNSSEC usw. ;-)
> >
> > Ich habe zum Test nur bei opensuse Mailinglisten auf meine "neuen"
> > Adressen
> > umgestellt und da funktioniert das ganze anscheinend nicht!
> >
> > Da bekkomme ich nur Reports mit "fail" da ja der SUSE Server nicht zu
> > meiner Adresse passt!
>
> Das hat dann aber nichts mit DNSSEC zu tun, sondern damit, dass dein
> DKIM nicht passt. Wer nimmt denn aufgrund fehlerhafter DKIM-Signatur
> nicht an, die Mailingliste oder deren Empfänger? Wenn letzteres, wird
> der Header durch den Mailinglisten-Server verändert.
>
> Lass mich raten: Du hast auch den Header auf Strict? Versuch es mal mit
> Relaxed, dann ist die Wahrscheinlichkeit für Ablehnung besser.
>
> Für weitere Hilfe brauchen wir Tacheles. Ohne konkrete Daten können wir
> nur spekulieren, das ist doof.

Ja ich habe auch DMARK aktiviert ist ein rspamd installation!

Du meintest Tacheles ;-)

die Mailingliste nimmt es an, es kommen die Fehlermeldungen vom Empfänger!

wie gesagt, ich habe erst 2 Mailinglisten umgestellt auf die neue Adresse.
z.B. sowas
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
        <version>1.0</version>
        <report_metadata>
                <org_name>comcast.net</org_name>
                <email>[hidden email]</email>
                <report_id>v1-1519629093-gjn.at</report_id>
                <date_range>
                        <begin>1519516800</begin>
                        <end>1519603200</end>
                </date_range>
        </report_metadata>
        <policy_published>
                <domain>gjn.at</domain>
                <adkim>s</adkim>
                <aspf>s</aspf>
                <p>reject</p>
                <sp>reject</sp>
                <pct>100</pct>
                <fo>0</fo>
        </policy_published>
        <record>
                <row>
                        <source_ip>195.135.221.145</source_ip>
                        <count>1</count>
                        <policy_evaluated>
                                <disposition>reject</disposition>
                                <dkim>fail</dkim>
                                <spf>fail</spf>
                        </policy_evaluated>
                </row>
                <identifiers>
                        <header_from>gjn.at</header_from>
                </identifiers>
                <auth_results>
                        <dkim>
                                <domain>gjn.at</domain>
                                <result>fail</result>
                                <selector>2017</selector>
                        </dkim>
                        <spf>
                                <domain>opensuse.org</domain>
                                <scope>mfrom</scope>
                                <result>none</result>
                        </spf>
                </auth_results>
        </record>
        <record>
                <row>
                        <source_ip>2001:67c:2178:8::18</source_ip>
                        <count>4</count>
                        <policy_evaluated>
                                <disposition>reject</disposition>
                                <dkim>fail</dkim>
                                <spf>fail</spf>
                        </policy_evaluated>
                </row>
                <identifiers>
                        <header_from>gjn.at</header_from>
                </identifiers>
                <auth_results>
                        <dkim>
                                <domain>gjn.at</domain>
                                <result>fail</result>
                                <selector>2017</selector>
                        </dkim>
                        <spf>
                                <domain>opensuse.org</domain>
                                <scope>mfrom</scope>
                                <result>none</result>
                        </spf>
                </auth_results>
        </record>
</feedback>


Ich habe es ziehmich hart eingestellt, glaube ich ;-).


--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: Frage Mailinglisten DNSEC DKIM usw.

Andreas Schulze
Am 26.02.2018 um 14:58 schrieb Günther J. Niederwimmer:

> Hallo,
>
> Am Montag, 26. Februar 2018, 14:25:47 CET schrieb Andreas Pothe:
>> Hi,
>>
>> Am 26.02.2018 um 14:20 schrieb Günther J. Niederwimmer:
>>> ist das eigentlich üblich DKIM Fehler zu bekommen!
>>>
>>>>> Hintergrund:
>>>>>
>>>>> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert,
>>>>> jetzt
>>>>> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen
>>>>> umgestellt.
>>>>>
>>>>> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
>>>> Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
>>>> successfull.
>>> Das ist ja auch meine "alte" EMail Adresse ohne DNSSEC usw. ;-)
>>>
>>> Ich habe zum Test nur bei opensuse Mailinglisten auf meine "neuen"
>>> Adressen
>>> umgestellt und da funktioniert das ganze anscheinend nicht!
>>>
>>> Da bekkomme ich nur Reports mit "fail" da ja der SUSE Server nicht zu
>>> meiner Adresse passt!
>> Das hat dann aber nichts mit DNSSEC zu tun, sondern damit, dass dein
>> DKIM nicht passt. Wer nimmt denn aufgrund fehlerhafter DKIM-Signatur
>> nicht an, die Mailingliste oder deren Empfänger? Wenn letzteres, wird
>> der Header durch den Mailinglisten-Server verändert.
>>
>> Lass mich raten: Du hast auch den Header auf Strict? Versuch es mal mit
>> Relaxed, dann ist die Wahrscheinlichkeit für Ablehnung besser.
>>
>> Für weitere Hilfe brauchen wir Tacheles. Ohne konkrete Daten können wir
>> nur spekulieren, das ist doof.
> Ja ich habe auch DMARK aktiviert ist ein rspamd installation!
>
> Du meintest Tacheles ;-)
>
> die Mailingliste nimmt es an, es kommen die Fehlermeldungen vom Empfänger!
>
> wie gesagt, ich habe erst 2 Mailinglisten umgestellt auf die neue Adresse.
> z.B. sowas
> <?xml version="1.0" encoding="UTF-8" ?>
> <feedback>
> <version>1.0</version>
> <report_metadata>
> <org_name>comcast.net</org_name>
> <email>[hidden email]</email>
> <report_id>v1-1519629093-gjn.at</report_id>
> <date_range>
> <begin>1519516800</begin>
> <end>1519603200</end>
> </date_range>
> </report_metadata>
> <policy_published>
> <domain>gjn.at</domain>
> <adkim>s</adkim>
> <aspf>s</aspf>
> <p>reject</p>
> <sp>reject</sp>
> <pct>100</pct>
> <fo>0</fo>
> </policy_published>
> <record>
> <row>
> <source_ip>195.135.221.145</source_ip>
> <count>1</count>
> <policy_evaluated>
> <disposition>reject</disposition>
> <dkim>fail</dkim>
> <spf>fail</spf>
> </policy_evaluated>
> </row>
> <identifiers>
> <header_from>gjn.at</header_from>
> </identifiers>
> <auth_results>
> <dkim>
> <domain>gjn.at</domain>
> <result>fail</result>
> <selector>2017</selector>
> </dkim>
> <spf>
> <domain>opensuse.org</domain>
> <scope>mfrom</scope>
> <result>none</result>
> </spf>
> </auth_results>
> </record>
> <record>
> <row>
> <source_ip>2001:67c:2178:8::18</source_ip>
> <count>4</count>
> <policy_evaluated>
> <disposition>reject</disposition>
> <dkim>fail</dkim>
> <spf>fail</spf>
> </policy_evaluated>
> </row>
> <identifiers>
> <header_from>gjn.at</header_from>
> </identifiers>
> <auth_results>
> <dkim>
> <domain>gjn.at</domain>
> <result>fail</result>
> <selector>2017</selector>
> </dkim>
> <spf>
> <domain>opensuse.org</domain>
> <scope>mfrom</scope>
> <result>none</result>
> </spf>
> </auth_results>
> </record>
> </feedback>
>
>
> Ich habe es ziehmich hart eingestellt, glaube ich ;-).
>

Hallo,

nun will ich meinen Senf auch mal noch dazu geben...

1. Mit einer Domain, die p=quarantine oder p=reject als DMARC Policy
ansagt, sollte man nicht an Mailinglisten senden.
      Sehr wahrscheinlich macht der Listserver die eigene DKIM-Signatur
kaputt.
      Das Ergebnis ist dann ehr unerwünscht: E-Mails bouncen.

2. Wer DMARC auswertet und bei fehlender Authentisierung wirklich
rejected ( z.B. yahoo.com, weil die p=reject vorgeben )
     der sollte unbedingt bekannte Listserver von der DMARC-Prüfung
ausnehmen. Ansonsten ist man selbst ( oder die eigenen Anwender) schnell
von den Listen unsubscribed, weil der Listserver Bounces sieht.

3. Wer einen Listserver betreibt, sollte entsprechend Patricks
Blogeintrag "Message-Modifikation" abschalten. Also
     - Betreff nicht verändern
     - keinen Footer an die E-Mails anhängen
     - bei einem Mailman2 darauf achten, dass man eine aktuelle Version
betreibt. 2.1.15 ist da nicht ausreichend.
       ab ca. Version 2.1.20 wurden im Mailman2 diverse Änderungen
vorgenommen, damit E-Mail weniger wahrscheinlich verändert werden:
       früher hat Mailman z.B. auch "Conten-Type" Headerzeilen einfach
umgeschrieben:
       Content-Type: text/plain; charset=utf-8 wurde zu Content-Type:
text/plain; charset="UTF8"
       Damit ist eine DKIM-Signatur üblicherweise auch ungültig...

       Bei solchen Problemen ist man aber immer auf den Betreiber des
Listservers angewiesen. *Der* muss seinen Hausaufgaben erledigen...

4. Diverse große Mailprovider bieten an Ihrem MX-Server keine
8BITMIME-Erweiterung an. Prominetestes Beispiel ist die 1&1 (GMX+Web.de)
      Wenn man also seinen Inhalt im 8Bit Format generiert und signiert,
ist die eigene DKIM-Signatur schon nach dem Transport zu einem solchen
MX kaputt.
      Der eigene Versandserver wird den Inhalt auf 7bit runterkodieren
und damit die gerade erstelle Signatur invalidieren :-/

       Man sollte also beim Versenden darauf achten, sich auf 7Bit
Content zu beschränken.

Alles in Allem: keine schöne E-Mail Welt, aber wie haben nur diese ...

Andreas

Reply | Threaded
Open this post in threaded view
|

Re: Frage Mailinglisten DNSEC DKIM usw.

Alex JOST
In reply to this post by Günther J. Niederwimmer
Am 26.02.2018 um 14:58 schrieb Günther J. Niederwimmer:

> Hallo,
>
> Am Montag, 26. Februar 2018, 14:25:47 CET schrieb Andreas Pothe:
>> Hi,
>>
>> Am 26.02.2018 um 14:20 schrieb Günther J. Niederwimmer:
>>> ist das eigentlich üblich DKIM Fehler zu bekommen!
>>>
>>>>> Hintergrund:
>>>>>
>>>>> Ich habe meine neuen Email Adressen mit DNSSEC DKIM usw abgesichert,
>>>>> jetzt
>>>>> habe ich mal zwei Mailinglisten auf meine neuen EMail Adressen
>>>>> umgestellt.
>>>>>
>>>>> Seit dem hagelt es Statusreports mit Fehlermeldungen ??
>>>>
>>>> Was für Fehlermeldungen? Hat doch funktioniert, DKIM verification
>>>> successfull.
>>>
>>> Das ist ja auch meine "alte" EMail Adresse ohne DNSSEC usw. ;-)
>>>
>>> Ich habe zum Test nur bei opensuse Mailinglisten auf meine "neuen"
>>> Adressen
>>> umgestellt und da funktioniert das ganze anscheinend nicht!
>>>
>>> Da bekkomme ich nur Reports mit "fail" da ja der SUSE Server nicht zu
>>> meiner Adresse passt!
>>
>> Das hat dann aber nichts mit DNSSEC zu tun, sondern damit, dass dein
>> DKIM nicht passt. Wer nimmt denn aufgrund fehlerhafter DKIM-Signatur
>> nicht an, die Mailingliste oder deren Empfänger? Wenn letzteres, wird
>> der Header durch den Mailinglisten-Server verändert.
>>
>> Lass mich raten: Du hast auch den Header auf Strict? Versuch es mal mit
>> Relaxed, dann ist die Wahrscheinlichkeit für Ablehnung besser.
>>
>> Für weitere Hilfe brauchen wir Tacheles. Ohne konkrete Daten können wir
>> nur spekulieren, das ist doof.
>
> Ja ich habe auch DMARK aktiviert ist ein rspamd installation!
>
> Du meintest Tacheles ;-)
>
> die Mailingliste nimmt es an, es kommen die Fehlermeldungen vom Empfänger!
>
> wie gesagt, ich habe erst 2 Mailinglisten umgestellt auf die neue Adresse.

> <source_ip>195.135.221.145</source_ip>
> <count>1</count>
> <policy_evaluated>
> <disposition>reject</disposition>
> <dkim>fail</dkim>
> <spf>fail</spf>
> </policy_evaluated>

> <source_ip>2001:67c:2178:8::18</source_ip>
> <count>4</count>
> <policy_evaluated>
> <disposition>reject</disposition>
> <dkim>fail</dkim>
> <spf>fail</spf>
> </policy_evaluated>

$ dig gjn.at TXT +short
"v=spf1 mx ip4:89.26.108.7 ip4:89.26.108.0/28 ip6:2001:470:1f0b:371::203
ip6:2001:470:1f0b:371::/64 include:4gjn.com -all"

$ dig 4gjn.com TXT +short
"v=spf1 mx ip4:89.26.108.7 ip4:89.26.108.8 ip6:2001:470:1f0b:371::203
ip6:2001:470:1f0b:371::213 -all"

Die Absender-IPs stimmen nicht mit den SPF-Einträgen überein.
Wahrscheinlich haben sich die IPs mal geändert, und Du hast vergessen
die DNS-Einträge anzupassen.

Übrigens macht das 'include:4gjn.com' in dem Fall keinen Sinn.


> <domain>gjn.at</domain>
> <result>fail</result>
> <selector>2017</selector>

Der verwendete Selektor existiert im DNS. Warum die Prüfung auf DKIM
fehlschlägt ist von hier aus also nicht so einfach zu beantworten.

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: Frage Mailinglisten DNSEC DKIM usw.

mailinglisten-2


Am 26.02.2018 um 17:12 schrieb Alex JOST:

>
>>             <source_ip>195.135.221.145</source_ip>      
>>             <source_ip>2001:67c:2178:8::18</source_ip>           
> $ dig gjn.at TXT +short
> "v=spf1 mx ip4:89.26.108.7 ip4:89.26.108.0/28
> ip6:2001:470:1f0b:371::203 ip6:2001:470:1f0b:371::/64 include:4gjn.com
> -all"
>
> $ dig 4gjn.com TXT +short
> "v=spf1 mx ip4:89.26.108.7 ip4:89.26.108.8 ip6:2001:470:1f0b:371::203
> ip6:2001:470:1f0b:371::213 -all"
>
> Die Absender-IPs stimmen nicht mit den SPF-Einträgen überein.
> Wahrscheinlich haben sich die IPs mal geändert, und Du hast vergessen
> die DNS-Einträge anzupassen.
>
Das werden die IPs des Mailinglisten-Mailservers sein.

> Der verwendete Selektor existiert im DNS. Warum die Prüfung auf DKIM
> fehlschlägt ist von hier aus also nicht so einfach zu beantworten.
>
Weil der Mailinglisten-Mailserver die Mail so abändert, dass DKIM
fehlschlägt. Damit dann SPF = fail, DKIM = fail => REJECT

Wenn ich DMARC richtig verstehe, reicht es, wenn SPF oder DKIM passed,
um die Mail anzunehmen. Ein (unsauberer) Workaround könnte damit sein,
die Outgoing-Mailserver der Mailingliste in die erlaubten SPF-Sender
aufzunehmen. Bitte korrigiert mich, falls ich hier falsch liege.

Die saubere Lösung wäre, wenn der Betreiber der Mailingliste diese mal
so einstellt, dass nichts verbotenes abgeändert wird.

CU
Andreas