[Postfixbuch-users] Amavis, DKIM, Mailinglisten

[Maximilian Grobecker]

Hallo zusammen,

ich habe mir vor ein paar Tagen für eine Domain testweise einen
DMARC-Record hinzugefügt der mich in erster Linie nur informieren soll
("Report") von welchen Systemen evtl. legitime aber unsignierte Mails
unter meiner Domain herkommen.


Jedenfalls bekam ich heute gleich mehrere Reports, weil gleich mehrere
Anbieter der Meinung waren meine von mir in eine Mailingliste gesendete
Mail wäre vermutlich Spam weil die DKIM-Signatur nicht gültig ist.

Ich fand heraus, dass es daran liegt dass ja nunmal die Subject-Zeile
ebenfalls mitsigniert wird und diese durch Mailman verändert wurde -
bekanntes Problem halt.
Um das in Zukunft evtl. vermeiden zu können habe ich Amavis angewiesen,
den "Subject"-Header nicht mehr in die Signatur einzuschließen, so dass
letztlich egal ist ob der Betreff - durch wen auch immer - verändert wird.

Das geht - für wen es von Interesse ist - über die Variable
$signed_header_fields{'subject'} = 0
in der jeweiligen Policy-Bank.

Ich frage mich nur, ob ich damit die DKIM-Signatur nicht vielleicht ein
bisschen zu sehr aufweiche und es (theoretisch) Spammern möglich wäre
damit eine gültige DKIM-Signatur zum Spamversand zu verwenden.
Laut Header werden weiterhin der Content-Type, MIME-Version, User-Agent,
Absender, Datum, Message-ID und die Received-Header eingeschlossen - was
man ja nunmal theoretisch alles selbst zurecht-spoofen könnte.
Andererseits könnte das ja theoretisch eigentlich auch passieren, wenn
die Betreffzeile ebenfalls mitsigniert wäre ;-)


Hat da jemand eine Meinung zu, ob das was ich da anstellte so in dieser
Form sinnvoll oder zielführend ist?
Man kann natürlich drüber streiten, ob es sinnvoll ist dass
Mailinglisten die Betreffzeile bearbeiten - aber realistisch betrachtet
tun das gefühlt >98% aller Mailinglisten, diese hier eingeschlossen ;-)



Danke und viele Grüße aus dem Tal
Max