Maillnglisten und DKIM

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|

Maillnglisten und DKIM

Günther J. Niederwimmer
Hallo Liste,

Die Frage ist an die Profis von Euch ;-).

Ich habe mir eine Mailingliste abonniert und dabei eine DKIM / DNSSEC
signierte Email Adresse angegeben!

Nach senden der ersten Mail an die Mailingliste, bekomme ich jetzt Reports von
allen großen Anbietern mit der Nachricht das die Mail abgelehnt oder als Junk
eingestuft wurde!

Darf / soll man an Mailinglisten keine gesicherten Mails senden?

Oder sind die Listen Server nicht darauf ausgelegt solche Mails zu
verarbeiten?

Angeprangert wird die Listen Server IP die natürlich nicht zu meiner IP passt!

Oder ist der Listen Server falsch konfiguriert?

Danke für eine Antwort,
--
mit freundlichen Grüßen / best regards,

  Günther J. Niederwimmer


Reply | Threaded
Open this post in threaded view
|

Re: Maillnglisten und DKIM

Gunther Nitzsche
Hi,

On 27.04.2018 12:21, Günther J. Niederwimmer wrote:

> Hallo Liste,
>
> Die Frage ist an die Profis von Euch ;-).
>
> Ich habe mir eine Mailingliste abonniert und dabei eine DKIM / DNSSEC
> signierte Email Adresse angegeben!
>
> Nach senden der ersten Mail an die Mailingliste, bekomme ich jetzt Reports von
> allen großen Anbietern mit der Nachricht das die Mail abgelehnt oder als Junk
> eingestuft wurde!
>
> Darf / soll man an Mailinglisten keine gesicherten Mails senden?

Eine Fehlermeldung wär' nicht schlecht - ja, dkim wird vermutlich
gebrochen sein, aber meist geschieht ablehnen/spammy-Einstufung
wegen fehlerhafter SPF-Sprüfung. DNSSEC hat damit vermutlich
gar nichts zu tun.

Hast Du beim Versand eine Mail-Adresse genutzt, die ein "-all"
irgendwo im spf-record stehen hat und der Listserver schreibt
die Adresse nicht um (SRS), dann handeln die Empfänger völlig
korrekt. Da muss sich der SPF-maintainer der Sende-Domain
fragen lassen, ob er dies bedacht hat.

Kaputte DKIM-Mails (letzte was ich sah: ca 7% aller dkim-signierten
Mails sind kaputt) nicht anzunehmen, ist unüblich; da verliert man
zu viele echte Mails.

> Oder sind die Listen Server nicht darauf ausgelegt solche Mails zu
> verarbeiten?
>
> Angeprangert wird die Listen Server IP die natürlich nicht zu meiner IP passt!
Das klingt sehr nach spf, nicht nach dkim.

> Oder ist der Listen Server falsch konfiguriert?
Auch möglich. Wahrscheinlich. Muss aber der SPF-Maintainer
beim Anlegen des Records bedenken. Einige Listserver schreiben
den Absender um, aber nicht alle.

> Danke für eine Antwort,

Wenn das die Absende-Adresse ist: "..@gjn.priv.at" dann musst Du
Dich nicht wundern:

Non-authoritative answer:
gjn.priv.at    text = "v=spf1 mx ptr ip4:89.26.108.0/28
ip6:2001:470:1f0b:371::/64 include:4gjn.com -all"

Der Admin der Domain hat der Empfänger-Welt klar gesagt: nehmt nichts
von der Domain an,
was nicht von diesen IPs stammt! 


Gruß
Gunther

NetCologne Systemadministration
--
Netcologne Gesellschaft für Telekommunikation mbH
Am Coloneum 9 ; 50829 Köln
Geschäftsführer:  
  Timo von Lepel,
  Mario Wilhelm  
Vorsitzender des Aufsichtsrates:
  Dr. Andreas Cerbe
  HRB 25580, AG Köln


Reply | Threaded
Open this post in threaded view
|

Re: Maillnglisten und DKIM

Andreas Pothe-2
In reply to this post by Günther J. Niederwimmer

Am 27.04.2018 um 12:21 schrieb Günther J. Niederwimmer:

> Hallo Liste,
>
> Die Frage ist an die Profis von Euch ;-).
>
> Ich habe mir eine Mailingliste abonniert und dabei eine DKIM / DNSSEC
> signierte Email Adresse angegeben!
>
> Nach senden der ersten Mail an die Mailingliste, bekomme ich jetzt Reports von
> allen großen Anbietern mit der Nachricht das die Mail abgelehnt oder als Junk
> eingestuft wurde!
Deine Signatur ist hier auch ungültig bewertet worden. Ohne es überprüft
zu haben vermute ich, dass Du Header mit signierst, die von den
Mailinglistenservern gern überschrieben oder ergänzt werden.

Authentication-Results: mail.proweser.de;
        dkim=fail reason="signature verification failed" (3072-bit key; unprotected) header.d=gjn.priv.at header.i=@gjn.priv.at header.b="a0Yi9GsS";
        dkim-atps=neutral

> Darf / soll man an Mailinglisten keine gesicherten Mails senden?
>
Doch klar, siehe diese (meine) Mail. Da geht DKIM korrekt durch.

> Oder sind die Listen Server nicht darauf ausgelegt solche Mails zu
> verarbeiten?
Manche nicht. Viele alte Listen verändern z. B. das Subject, dass macht
diese Postfix-Liste aber seit längerem nicht mehr (eben wegen der
DKIM-Problematik).

CU
Andreas
Reply | Threaded
Open this post in threaded view
|

Re: Maillnglisten und DKIM

Andreas Pothe-2
In reply to this post by Gunther Nitzsche


Am 27.04.2018 um 12:47 schrieb Gunther Nitzsche:
>
> Kaputte DKIM-Mails (letzte was ich sah: ca 7% aller dkim-signierten
> Mails sind kaputt) nicht anzunehmen, ist unüblich; da verliert man
> zu viele echte Mails.
>
>
Hilfreich ist es, die Anweisungen im DMARC-Record zu beachten. Fehlt
dieser oder macht keine Aussagen, im Zweifel lieber annehmen (bzw. das
DKIM-Result nur als Teil des Scorings zu verwenden).
Reply | Threaded
Open this post in threaded view
|

Re: Maillnglisten und DKIM

Juri Haberland
In reply to this post by Andreas Pothe-2
On 2018-04-27 12:48, Andreas Pothe wrote:
> Am 27.04.2018 um 12:21 schrieb Günther J. Niederwimmer:

>> Ich habe mir eine Mailingliste abonniert und dabei eine DKIM / DNSSEC
>> signierte Email Adresse angegeben!
>>
>> Nach senden der ersten Mail an die Mailingliste, bekomme ich jetzt
>> Reports von
>> allen großen Anbietern mit der Nachricht das die Mail abgelehnt oder
>> als Junk
>> eingestuft wurde!
> Deine Signatur ist hier auch ungültig bewertet worden. Ohne es
> überprüft
> zu haben vermute ich, dass Du Header mit signierst, die von den
> Mailinglistenservern gern überschrieben oder ergänzt werden.

Vermutlich liegt es daran, dass auch der Reply-To Header signiert wird.
Der wird üblicherweise von Mailinglisten gesetzt/geändert.
Welche Software setzt du denn zum Signieren ein? Hier ist nämlich
nochjemand auf der Liste unterwegs, der offensichtlich die gleiche
Software einsetzt und deshalb ebenfalls mit dkim=fail hier aufschlägt.

Gruß,
   Juri
Reply | Threaded
Open this post in threaded view
|

Re: Maillnglisten und DKIM

Günther J. Niederwimmer
Hallo,

Am Freitag, 27. April 2018, 13:35:33 CEST schrieb Juri Haberland:

> On 2018-04-27 12:48, Andreas Pothe wrote:
> > Am 27.04.2018 um 12:21 schrieb Günther J. Niederwimmer:
> >> Ich habe mir eine Mailingliste abonniert und dabei eine DKIM / DNSSEC
> >> signierte Email Adresse angegeben!
> >>
> >> Nach senden der ersten Mail an die Mailingliste, bekomme ich jetzt
> >> Reports von
> >> allen großen Anbietern mit der Nachricht das die Mail abgelehnt oder
> >> als Junk
> >> eingestuft wurde!
> >
> > Deine Signatur ist hier auch ungültig bewertet worden. Ohne es
> > überprüft
> > zu haben vermute ich, dass Du Header mit signierst, die von den
> > Mailinglistenservern gern überschrieben oder ergänzt werden.
>
> Vermutlich liegt es daran, dass auch der Reply-To Header signiert wird.
> Der wird üblicherweise von Mailinglisten gesetzt/geändert.
> Welche Software setzt du denn zum Signieren ein? Hier ist nämlich
> nochjemand auf der Liste unterwegs, der offensichtlich die gleiche
> Software einsetzt und deshalb ebenfalls mit dkim=fail hier aufschlägt.

Ich benutze rspamd.

obige Mail Adresse ist eigentlich meine "alte" Mailadresse (ohne DNSSEC usw.)
aber bei Mailinglisten funktioniert die am besten??
 
> Gruß,
>    Juri


--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer


Reply | Threaded
Open this post in threaded view
|

Re: Maillnglisten und DKIM

Juri Haberland
On 28.04.2018 10:52, Günther J. Niederwimmer wrote:
> Am Freitag, 27. April 2018, 13:35:33 CEST schrieb Juri Haberland:

>> Vermutlich liegt es daran, dass auch der Reply-To Header signiert wird.
>> Der wird üblicherweise von Mailinglisten gesetzt/geändert.
>> Welche Software setzt du denn zum Signieren ein? Hier ist nämlich
>> nochjemand auf der Liste unterwegs, der offensichtlich die gleiche
>> Software einsetzt und deshalb ebenfalls mit dkim=fail hier aufschlägt.
>
> Ich benutze rspamd.

Probiere mal, beim Parameter sign_headers den Teil ":(o)reply-to" und alle
"list*"-Teile zu entfernen. Das sollte vermutlich dein Problem lösen.

> obige Mail Adresse ist eigentlich meine "alte" Mailadresse (ohne DNSSEC usw.)
> aber bei Mailinglisten funktioniert die am besten??

DNSSEC hat damit nichts zu tun.

Gruß,
  Juri