Hallo Freifunk-Kollegen,
ich arbeite für mail.de, und wir beobachten leider E-Mails von euren Mailinglist-Servern, bei denen die DKIM-Signaturen zerstört sind, und dadurch bereits jetzt bei einigen Empfängern nicht ankommen, und in Zukunft bei immer mehr Ziel-Mailservern abgelehnt werden. So auch bald bei uns.
Ich hoffe ich bin hier bei den technischen Betreibern dieser Server bzw. Mailinglisten gelandet.
Sehr viele Anbieter (ca. 80% der Versender) signieren ihre E-Mails mit einer DKIM-Signatur. Wenn durch eine Weiterleitung oder Mailing-Liste diese E-Mails umgeleitet und dabei verändert werden, geht diese Signatur kaputt. Anbieter wie beispielsweise Yahoo oder AOL veröffentlichen eine DMARC-Policy, dass solch veränderte E-Mails von Ziel-Mailservern nicht mehr angenommen werden sollen, wenn als Absender yahoo.com oder aol.com in der E-Mail steht, aber am Inhalt etwas verändert wurde. Gmail wird dies im Juni 2016 tun, sodass dann auch viele deutsche Nutzer betroffen sein werden und E-Mails nicht mehr ankommen werden.
Euer Server tut anscheinend genau dies, der Inhalt/Betreff wird verändert, dadurch wird die DKIM-Signatur ungültig. Immer mehr Anbieter setzen auf dieses System aus SPF, DKIM und DMARC zur Abwehr gegen Phishing.
Im Anhang findet ihr ein Beispiel eines Forensic DMARC Reports eurer E-Mails. Darin ist zu sehen dass die DKIM-Prüfung für die Google-DKIM-Signatur fehlschlägt. Ihr habt zwar eine gültige ffnw.de Signatur, aber die ist nicht aligned zur Mail-From-Header Domain googlemail.com. Deshalb dmarc=fail
Aktuell haben wir unseren OpenDMARC Filter noch so eingestellt dass diese E-Mails angenommen und zugestellt werden, in naher Zukunft werden wir aber den Wünschen der Domaininhaber nachkommen und die E-Mails in den Spam-Ordner leiten oder rejecten. Denn genau so sehen Phishing-E-Mails aus, sie kommen von unbekannten IP-Adressen und haben keine gültige DKIM-Signatur der Absenderdomain. Im Kampf gegen Phishing werden wir bald die DMARC-Policies aktivieren.
Es wäre super wenn ihr eure Mailserver bzw. eure Mailinglist-Software so konfigurieren könntet dass die DKIM-Signaturen gültig bleiben bei der Weiterleitung. Oder aber ihr verändert Envelope-From und Mail-From auf einen Absender von euch und entfernt die vorhandenen DKIM-Signaturen. Dies gilt natürlich für alle Mailinglisten auf dem Mailinglisten-Server.
Ein guter Anlaufpunkt könnten diese URLs sein: http://wiki.list.org/DEV/DMARC https://sys4.de/de/blog/2013/08/11/mailman-dmarc-konform-betreiben/
Nebeninfo: https://blog.nordwest.freifunk.net/verbreitung/ Wegen Mixed Content funktioniert diese Seite anscheinend nicht. Auch oben der Link zu "Netmon" führt ins Leere. "Laden von gemischten aktiven Inhalten "http://netmon.nordwest.freifunk.net/map.php?embed=1&longitude=8&lati..." wurde blockiert."
Nebenfrage: Plant ihr in naher Zukunft bereits IPv6 bei euren Mailservern? Würde mich sehr freuen mehr IPv6 zu sehen! ;-)
Bei Fragen versuche ich gern zu helfen!
Viele Grüße Michael