Hallo Freifunk-Kollegen,
ich arbeite für mail.de, und wir beobachten leider E-Mails von euren Mailinglist-Servern, bei denen die DKIM-Signaturen zerstört sind, und dadurch bereits jetzt bei einigen Empfängern nicht ankommen, und in Zukunft bei immer mehr Ziel-Mailservern abgelehnt werden. So auch bald bei uns.
Ich hoffe ich bin hier bei den technischen Betreibern dieser Server bzw. Mailinglisten gelandet.
Sehr viele Anbieter (ca. 80% der Versender) signieren ihre E-Mails mit einer DKIM-Signatur. Wenn durch eine Weiterleitung oder Mailing-Liste diese E-Mails umgeleitet und dabei verändert werden, geht diese Signatur kaputt. Anbieter wie beispielsweise Yahoo oder AOL veröffentlichen eine DMARC-Policy, dass solch veränderte E-Mails von Ziel-Mailservern nicht mehr angenommen werden sollen, wenn als Absender yahoo.com oder aol.com in der E-Mail steht, aber am Inhalt etwas verändert wurde. Gmail wird dies im Juni 2016 tun, sodass dann auch viele deutsche Nutzer betroffen sein werden und E-Mails nicht mehr ankommen werden.
Euer Server tut anscheinend genau dies, der Inhalt/Betreff wird verändert, dadurch wird die DKIM-Signatur ungültig. Immer mehr Anbieter setzen auf dieses System aus SPF, DKIM und DMARC zur Abwehr gegen Phishing.
Im Anhang findet ihr ein Beispiel eines Forensic DMARC Reports eurer E-Mails. Darin ist zu sehen dass die DKIM-Prüfung für die Google-DKIM-Signatur fehlschlägt. Ihr habt zwar eine gültige ffnw.de Signatur, aber die ist nicht aligned zur Mail-From-Header Domain googlemail.com. Deshalb dmarc=fail
Aktuell haben wir unseren OpenDMARC Filter noch so eingestellt dass diese E-Mails angenommen und zugestellt werden, in naher Zukunft werden wir aber den Wünschen der Domaininhaber nachkommen und die E-Mails in den Spam-Ordner leiten oder rejecten. Denn genau so sehen Phishing-E-Mails aus, sie kommen von unbekannten IP-Adressen und haben keine gültige DKIM-Signatur der Absenderdomain. Im Kampf gegen Phishing werden wir bald die DMARC-Policies aktivieren.
Es wäre super wenn ihr eure Mailserver bzw. eure Mailinglist-Software so konfigurieren könntet dass die DKIM-Signaturen gültig bleiben bei der Weiterleitung. Oder aber ihr verändert Envelope-From und Mail-From auf einen Absender von euch und entfernt die vorhandenen DKIM-Signaturen. Dies gilt natürlich für alle Mailinglisten auf dem Mailinglisten-Server.
Ein guter Anlaufpunkt könnten diese URLs sein: http://wiki.list.org/DEV/DMARC https://sys4.de/de/blog/2013/08/11/mailman-dmarc-konform-betreiben/
Nebeninfo: https://blog.nordwest.freifunk.net/verbreitung/ Wegen Mixed Content funktioniert diese Seite anscheinend nicht. Auch oben der Link zu "Netmon" führt ins Leere. "Laden von gemischten aktiven Inhalten "http://netmon.nordwest.freifunk.net/map.php?embed=1&longitude=8&lati..." wurde blockiert."
Nebenfrage: Plant ihr in naher Zukunft bereits IPv6 bei euren Mailservern? Würde mich sehr freuen mehr IPv6 zu sehen! ;-)
Bei Fragen versuche ich gern zu helfen!
Viele Grüße Michael
Am 5. Januar 2016 00:37:00 MEZ, schrieb Michael Kliewe m.kliewe@team.mail.de:
Hallo Freifunk-Kollegen,
ich arbeite für mail.de, und wir beobachten leider E-Mails von euren Mailinglist-Servern, bei denen die DKIM-Signaturen zerstört sind, und dadurch bereits jetzt bei einigen Empfängern nicht ankommen, und in Zukunft bei immer mehr Ziel-Mailservern abgelehnt werden. So auch bald bei uns.
Ich hoffe ich bin hier bei den technischen Betreibern dieser Server bzw. Mailinglisten gelandet.
Sehr viele Anbieter (ca. 80% der Versender) signieren ihre E-Mails mit einer DKIM-Signatur. Wenn durch eine Weiterleitung oder Mailing-Liste diese E-Mails umgeleitet und dabei verändert werden, geht diese Signatur kaputt. Anbieter wie beispielsweise Yahoo oder AOL veröffentlichen eine
DMARC-Policy, dass solch veränderte E-Mails von Ziel-Mailservern nicht mehr angenommen werden sollen, wenn als Absender yahoo.com oder aol.com
in der E-Mail steht, aber am Inhalt etwas verändert wurde. Gmail wird dies im Juni 2016 tun, sodass dann auch viele deutsche Nutzer betroffen sein werden und E-Mails nicht mehr ankommen werden.
Euer Server tut anscheinend genau dies, der Inhalt/Betreff wird verändert, dadurch wird die DKIM-Signatur ungültig. Immer mehr Anbieter
setzen auf dieses System aus SPF, DKIM und DMARC zur Abwehr gegen Phishing.
Im Anhang findet ihr ein Beispiel eines Forensic DMARC Reports eurer E-Mails. Darin ist zu sehen dass die DKIM-Prüfung für die Google-DKIM-Signatur fehlschlägt. Ihr habt zwar eine gültige ffnw.de Signatur, aber die ist nicht aligned zur Mail-From-Header Domain googlemail.com. Deshalb dmarc=fail
Aktuell haben wir unseren OpenDMARC Filter noch so eingestellt dass diese E-Mails angenommen und zugestellt werden, in naher Zukunft werden
wir aber den Wünschen der Domaininhaber nachkommen und die E-Mails in den Spam-Ordner leiten oder rejecten. Denn genau so sehen Phishing-E-Mails aus, sie kommen von unbekannten IP-Adressen und haben keine gültige DKIM-Signatur der Absenderdomain. Im Kampf gegen Phishing
werden wir bald die DMARC-Policies aktivieren.
Es wäre super wenn ihr eure Mailserver bzw. eure Mailinglist-Software so konfigurieren könntet dass die DKIM-Signaturen gültig bleiben bei der Weiterleitung. Oder aber ihr verändert Envelope-From und Mail-From auf einen Absender von euch und entfernt die vorhandenen DKIM-Signaturen. Dies gilt natürlich für alle Mailinglisten auf dem Mailinglisten-Server.
Ein guter Anlaufpunkt könnten diese URLs sein: http://wiki.list.org/DEV/DMARC https://sys4.de/de/blog/2013/08/11/mailman-dmarc-konform-betreiben/
Nebeninfo: https://blog.nordwest.freifunk.net/verbreitung/ Wegen Mixed Content funktioniert diese Seite anscheinend nicht. Auch oben der Link zu "Netmon" führt ins Leere. "Laden von gemischten aktiven Inhalten "http://netmon.nordwest.freifunk.net/map.php?embed=1&longitude=8&lati..."
wurde blockiert."
Nebenfrage: Plant ihr in naher Zukunft bereits IPv6 bei euren Mailservern? Würde mich sehr freuen mehr IPv6 zu sehen! ;-)
Bei Fragen versuche ich gern zu helfen!
Viele Grüße Michael
Ich kümmer mich darum mal.
Am 5. Januar 2016 21:34:16 MEZ, schrieb Bjoern Franke bjo@nord-west.org:
Ich kümmer mich darum mal.
Also um den Mail-Foo.
-- xmpp bjo@schafweide.org
Admin mailing list Admin@lists.ffnw.de https://lists.ffnw.de/mailman/listinfo/admin
Done. Die Mailinglisten machen nun munge from, sodass für die Mails unsere DKIM-Signaturen gültig sind.
VG
Am 05.01.2016 um 22:53 schrieb Bjoern Franke via Admin:
Done. Die Mailinglisten machen nun munge from, sodass für die Mails unsere DKIM-Signaturen gültig sind.
moin bjo,
der absender ist nicht okay. https://fr32k.de/share/screenshots/screen_20160106-084027.png
Am Mittwoch, den 06.01.2016, 08:42 +0100 schrieb picard:
Am 05.01.2016 um 22:53 schrieb Bjoern Franke via Admin:
Done. Die Mailinglisten machen nun munge from, sodass für die Mails unsere DKIM-Signaturen gültig sind.
moin bjo,
der absender ist nicht okay. https://fr32k.de/share/screenshots/screen_20160106-084027.png
Doch, siehe https://sys4.de/de/blog/2013/08/11/mailman-dmarc-konform-betreiben/
Im From steht nun "Bjoern Franke via Admin admin@lists.ffnw.de", damit die DKIM-Signatur von ffnw.de greift. Dein MUA macht daraus aber "Admin ML", da du diese Bezeichnung für admin@lists.ffnw.de im Adressbuch stehen hast. Insgesamt finde ich die Lösung aber auch noch suboptimal, ich werde deswegen mal Michael Kliewe kontaktieren.
vg
Am 06.01.2016 um 09:50 schrieb Bjoern Franke via Admin:
Doch, siehe https://sys4.de/de/blog/2013/08/11/mailman-dmarc-konform-betreiben/
Im From steht nun "Bjoern Franke via Admin admin@lists.ffnw.de", damit die DKIM-Signatur von ffnw.de greift. Dein MUA macht daraus aber "Admin ML", da du diese Bezeichnung für admin@lists.ffnw.de im Adressbuch stehen hast. Insgesamt finde ich die Lösung aber auch noch suboptimal, ich werde deswegen mal Michael Kliewe kontaktieren.
workaround adressbuch einträge gelöscht,
danke dir.
-
Bjoern Franke -
Michael Kliewe -
picard