DMARC/Mailverteiler: Erfahrungen?

Wir haben diverse Gemeinschafts-Verteiler, bei denen alle Verteilermitglieder posten dürfen. 1&1 behält die Original-Absenderadresse bei, was den netten Effekt hat, dass Antworten - wenn man es nicht explizit ändert - nur an den Absender, nicht an den ganzen Verteiler gehen.

Allerdings bedeutet das auch: Ein z.B. Gmail-Postfach erhält von einem 1&1-Server eine Mail, deren Absenderdomain yahoo.de ist. Mit Hinweis auf DMARC werden diese dann abgewiesen.

Mir ist noch nicht ganz klar, wie wir damit praktisch umgehen. Habt ihr Tipps oder Erfahrungen?

1 Like

Ich vermute da eine Fehlkonfiguration des Verteilers. Meiner Ansicht nach sollte der “from”-Eintrag im Mailheader unangetastet bleiben sonst hat man immer das Problem mit der IP-Prüfung. Wenn ich mir eine Mail von einem Mailmanverteiler von Domainfactory anschaue bleibt das “From” vom Originalabsender erhalten, es werden lediglich diverse X-Envelope-to und envelope-form dazugebastelt.

Hmmm, ich fürchte nur, dass da bei 1&1 wenig zu holen ist, wenn ich sie mit einer vermuteten Fehlkonfiguration konfrontiere…

Der Header einer Beispielmail sieht (anonymisiert) so aus:

Return-Path: listenadmin@posteo.de
Delivered-To: empfaenger@mailbox.org
Received: from director-02.heinlein-hosting.de ([80.241.60.215])
by dobby26a.heinlein-hosting.de with LMTP id qLK+Jz2JSV3imQAAmbrOTQ
for empfaenger@mailbox.org; Tue, 06 Aug 2019 16:05:49 +0200
Received: from mx2.mailbox.org ([80.241.60.215])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
by director-02.heinlein-hosting.de with LMTP id aCSkJD2JSV1rygEAlp8NpQ
; Tue, 06 Aug 2019 16:05:49 +0200
X-Virus-Scanned: amavisd-new at heinlein-support.de
Authentication-Results: spamfilter05.heinlein-hosting.de (amavisd-new);
dkim=fail (2048-bit key) reason=“fail (message has been altered)”
header.d=posteo.de
X-policyd-weight: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 CL_IP_EQ_HELO_IP=-2 (check from: .posteo. - helo: .mout.kundenserver. - helo-domain: .kundenserver.) FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1; rate: -2.5
Received: from mout.kundenserver.de (mout.kundenserver.de [217.72.192.73])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by mx2.mailbox.org (Postfix) with ESMTPS id 8DB4FA111D
for empfaenger@mailbox.org; Tue, 6 Aug 2019 16:05:46 +0200 (CEST)
Received: from [127.0.0.1] ([127.0.0.1]) by mail.1und1.de
(msvc-mlsched-eue001.server.lan [10.78.64.2]) (via HTTP); Tue, 6 Aug 2019
16:05:45 +0200
Received: from customer (localhost [127.0.0.1]) by submission (posteo.de)
with ESMTPSA id 462xHB55Djz9rxH; Tue, 6 Aug 2019 16:05:26 +0200 (CEST)
Mime-Version: 1.0 (Mac OS X Mail 11.3 (3445.6.18))
Message-Id: D7B67714-B3BE-40AE-A96E-57B055A4BB95@posteo.de
From: Absender absender@posteo.de
To: verteiler verteiler@gemeinschaft.de
Subject: =?UTF-8?Q?=5Bverteiler=40gemeinschaft=2Ede=5D_2_Campingst=C3=BChle_gesucht?=
Content-Type: multipart/alternative;
boundary=“Apple-Mail=_38F163E8-80CD-4C1D-92F3-33AB9B94736E”
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=posteo.de; s=2017;
t=1565100327; bh=VZ6DmGfKg+vKroDU1KfUPu1kODWRHjD4s2hUlUibubs=;
h=From:Date:Subject:To:From;
b=ItJ9JBXt3HUjHZxv4Ld0QaVeMAi1BK+pQJcnLWEjFLeePZjoU14wYjLwbIZI9lesi
kWlHSnMx7EwwiFyXibNl99xHCHWaEuRaCra/mh/uqxnK+CvAxg/TSnnG7jxqqOW7QJ
FPyTjDLtoz/R3WWlgsxUzASHUMOB5Ty/6NsMaSbYFUzgdad+IOsoc8O1nlKon0UsNb
DDH9Vif/k581dh9a8g9TNddtt7e2hcJI+FnJ0eAP+Mrccnfmv8WGafRKs2eCW7Ezi/
ftM3OskUs+3YBJcQ0IDVzpVqWgykfVnqDm36IRrEQcFvemWPnNk93x6Wf9xPrOB5JL
+9HZEfF4MqcsA==
Date: Tue, 6 Aug 2019 16:05:25 +0200
Resent-Date: Tue, 6 Aug 2019 16:05:45 +0200 (CEST)
Resent-From: absender@posteo.de
Precedence: list
List-Post: mailto:verteiler@gemeinschaft.de
List-Subscribe: https://ml.kundenserver.de/MailingList/verteiler@gemeinschaft.de/Subscription/Add?emailAddress=empfaenger@mailbox.org&lang=de
List-Unsubscribe: https://ml.kundenserver.de/MailingList/verteiler@gemeinschaft.de/Subscription/Remove?emailAddress=empfaenger@mailbox.org&lang=de
X-Mailer: Apple Mail (2.3445.6.18)
X-Loop: verteiler@gemeinschaft.de
X-UI-Out-Filterresults: notjunk:1;V03:K0:x4tyvCMNoGM=:KctfY/GmaT9kptFavi+Q2C
JW8SMhN0vWL9yGFZjzsEUZihfLKjSNfqnYdYxunUjE7/my79gpq7dSQ4dTUGZzqh8zaZHmqNv
g/dPs9FeRxUxbUTuIhe7JroHiBblxlU1bjlmODnCuvEy8zKVaceoY6OLPeoFss9X/di8W4rKB
FeDw/FFSq1zjGRns/sG/kt7MmzLf/lZVdmWwdYVvaJwcwqS1KrCzUW3xU8VBAROFdznkJn+oS
IyyGgvTzycftApkzCIyo9KNI4958yEILcjp/MoNvs8W6cgTj85qC0p9JRelLdlSCpRU1K0ygS
minsK5cLaaaBlSR/QIsU7hjyylrYyyOzL1AHTd0bOw8c9F42hgWSXU9LroSmjB6mVMMSOFZST
DXO2C5RqSBvdZuEOhMRq/yaVyF3/SNcabId8Ps5iuFjaYTGPVLHXz6Vc4mSTuSM4RJ7HQuYvy
wZdTrIBKXi+xQp0zPx2tL+MDMiXNBXQ=
X-Rspamd-Queue-Id: 8DB4FA111D

Was sagt denn Heinlein dazu, die sind doch E-Mail-Experten vor dem Herrn?

Naja, ich vermute dass schon auch ein Eigeninteresse daran haben, dass deren IPs nicht permanent also dubiose Versender aufleuchten aber sofern ihr keine VIP-Kunden seid wird euer Hinweis wahrscheinlich tatsächlich in irgendeiner Support-Queue versanden …

Ich stecke nicht tief genug drin, vermute aber, dass die envelopes fehlen.

Na ja, ich nehme an, deren Interesse an “Fehlkonfigurationen” seitens 1&1 ist begrenzt… Ich werde gelegentlich mal bei 1&1 anklopfen.

1&1/ionos hatte erwartungsgemäß keine Lösung anzubieten. Ein bisschen leuchtet mir das inzwischen auch ein. Wenn wir eine “Firma” wären und auf dem Verteiler lediglich Adressen @zegg.de stehen würden, hätten wir kein Problem. Tatsächlich haben wir aber einen wilden Mix an Mail-Domains, die senden und empfangen. Und das hat nur so lange so gut funktioniert, weil E-Mail halt ziemlich unsicher ist.

Damit ist dieses Tool für uns im Grunde tot und wir brauchen eine andere Lösung. Ein Wechsel des Domain-Anbieters ist wohl erst mal keine Option, daher würde ich auf unabhängige Lösungen wie z.B. eine eigene mattermost-Instanz schauen. riseup wäre ebenfalls eine Option, die haben aber ein Größenlimit von 500kB pro Mail, was ein Problem werden könnte.
Wie organisiert ihr aktuell eure Mailverteiler?

Ich seh das, wie gesagt, anders. Meiner Ansicht nach ist der Mailserver falsch konfiguriert – zig andere Mailinglisten bekommen es ja auch hin :wink:

Oder halt Discourse o.ä. Lass uns das auf jeden Fall miteinander abstimmen – ggf. können wir hier ja Ressourcen teilen. Das Solawi-Netzwerk ist derzeit v.a. mit der GWÖ im engen Austausch, was eine potentiell abgestimmte Infrastruktur angeht + es wäre cool, wenn weitere Orgas dazukommen.

Die Mailinglisten des Netzwerks laufen über Domainfactory – das läuft im Großen und Ganzen einwandfrei. Aber wir wollen grundsäztlich weg davon, ein Forum macht sich besser.

Hallo!

Habt ihr euch mal Hostsharing angeschaut? https://www.hostsharing.net/features/mailinglisten/

Ihr könnt eure Frage zur Umsetzung an support@hostsharing stellen, dort antworten die technisch versierten Genossenschaftsmitglieder und Hostmaster.

E-Mail bei Hostsharing zu hosten geht natürlich auch bei externer Domain: https://wiki.hostsharing.net/index.php?title=E-Mail

Liebe Grüße
Estelle

1 Like

DMARC ist doch abhängig vom Absender. Wenn da eine Absenderdomain vorgetäuscht wird, ist die ganze Idee hinter DMARC ad absurdum geführt worden. Es geht ja darum genau das zu verhindern.

Server 1 kann ja schlecht die Signatur von Server 2 generieren.

Wenn ihr wirklich wollt, dass man nicht auf die Liste sondern an den ursprünglichen Absender antworten soll, dann müsst ihr den Absender der Liste unangetastet lassen und den Return-path anpassen. Ansonsten macht, wie erwähnt, DMARC in dem Szenario einfach keinen Sinn.

Ich persönlich finde jedoch, dass Antworten generell auf die Liste und nicht an den Absender der ursprungsmail gehen sollten. Zum einen weil eine Liste kein reiner Verteiler ist und zum anderen wegen Datenschutz. Jemand der auf die Liste schreibt, leakt in eurem Szenario seine Mailadresse an alle auf der Liste - uncool.

Hallo Dennis, in Sachen DMARC stimme ich dir zu. Leider bietet 1&1 keinerlei Möglichkeiten, etwas zu konfigurieren. Also werden wir uns wohl auf die Suche nach einem anderen Provider machen - zumindest für die Verteilerlisten.

Das kommt auf die Situation an. Für meinen Geschmack haben wir eh schon ganz schön viel Traffic auf den Verteilern und ich lösche manches ungelesen. Und in Sachen Datenschutz: in unserem Fall, wo ich manchen der Listenteilnehmer fünfmal am Tag übern Weg laufe, sehe ich kein Problem darin, ihre echte Mailadresse zu sehen :wink:

Danke @Estelle, die habe ich auf jeden Fall im Blick!

1 Like

Wie wärs mit webspace wo du die Liste selber Hosten und komplett administrieren kannst? Ist kein Hexenwerk =)

“Ist kein Hexenwerk” ist relativ.
Ich habe nun zum zweiten Mal einen solchen selbstgehosteten Dienst verloren. Erst eine Owncloud, jetzt kürzlich eine Nextcloud. Beide sind “von selbst” kaputtgegangen, d.h. nicht mehr erreichbar, ohne dass ich etwas an der VM verändert hätte.
Vermutlich lässt sich das reparieren, aber gemessen an der geringen Bedeutung, die dieser Dienst bei uns hat, steht der Aufwand in keinem Verhältnis. Ich habe also nicht die besten Erfahrungen damit, solche Dienste aufzusetzen und dann sich selbst zu überlassen…

Stattdessen steht (wegen der Mailverteiler) nun tatsächlich der Wechsel zu Hostsharing im Raum. Ab November werden wir einen Testaccount buchen und uns das gründlich anschauen…

Die Häufung würde mir zu denken geben. Mir ist das so noch nicht passiert.

Stattdessen steht (wegen der Mailverteiler) nun tatsächlich der Wechsel zu Hostsharing im Raum. Ab November werden wir einen Testaccount buchen und uns das gründlich anschauen…

Nur der Neugier halber: wieso testet ihr nicht Hostsharing? Haben die keine ML im Portfolio?

LG M*

Guten Morgen Michael!
Aber wenn ich doch schreibe, dass wir Hostsharing testen werden. :wink:

Haha wie geil – ich hab zwischen meinen verklebten Augen hindurch “HostEurope” gelesen :smiley:

Du kannst gerne das nächste Mal hier um Hilfe bitten. Manchmal mag ich solche Herausforderungen. Und generell ist das perspektivisch etwas, was uns GEN (oder eine andere Dachorga) bereitstellen sollte (und auch wird - ich bin optimistisch).

Guten Morgen Felix,
danke! Die Nextcloud gibt es noch - und ich würde mich sehr freuen, wenn wir einen Blick darauf werfen könnten. Vielleicht übernächste Woche?