Hallo Freifunk-Kollegen,
ich arbeite für mail.de, und wir beobachten leider E-Mails von euren Mailinglist-Servern, bei denen die DKIM-Signaturen zerstört sind, und dadurch bereits jetzt bei einigen Empfängern nicht ankommen, und in Zukunft bei immer mehr Ziel-Mailservern abgelehnt werden. So auch bald bei uns.
Ich hoffe ich bin hier bei den technischen Betreibern dieser Server bzw. Mailinglisten gelandet.
Sehr viele Anbieter (ca. 80% der Versender) signieren ihre E-Mails mit einer DKIM-Signatur. Wenn durch eine Weiterleitung oder Mailing-Liste diese E-Mails umgeleitet und dabei verändert werden, geht diese Signatur kaputt. Anbieter wie beispielsweise Yahoo oder AOL veröffentlichen eine DMARC-Policy, dass solch veränderte E-Mails von Ziel-Mailservern nicht mehr angenommen werden sollen, wenn als Absender yahoo.com oder aol.com in der E-Mail steht, aber am Inhalt etwas verändert wurde.
Gmail wird dies im Juni 2016 tun, sodass dann auch viele deutsche Nutzer betroffen sein werden und E-Mails nicht mehr ankommen werden.
Euer Server tut anscheinend genau dies, der Inhalt/Betreff wird verändert, dadurch wird die DKIM-Signatur ungültig. Immer mehr Anbieter setzen auf dieses System aus SPF, DKIM und DMARC zur Abwehr gegen Phishing.
Im Anhang findet ihr ein Beispiel eines Forensic DMARC Reports eurer E-Mails. Darin ist zu sehen dass die DKIM-Prüfung für die Google-DKIM-Signatur fehlschlägt. Ihr habt zwar eine gültige ffnw.de Signatur, aber die ist nicht aligned zur Mail-From-Header Domain googlemail.com. Deshalb dmarc=fail
Aktuell haben wir unseren OpenDMARC Filter noch so eingestellt dass diese E-Mails angenommen und zugestellt werden, in naher Zukunft werden wir aber den Wünschen der Domaininhaber nachkommen und die E-Mails in den Spam-Ordner leiten oder rejecten. Denn genau so sehen Phishing-E-Mails aus, sie kommen von unbekannten IP-Adressen und haben keine gültige DKIM-Signatur der Absenderdomain. Im Kampf gegen Phishing werden wir bald die DMARC-Policies aktivieren.
Es wäre super wenn ihr eure Mailserver bzw. eure Mailinglist-Software so konfigurieren könntet dass die DKIM-Signaturen gültig bleiben bei der Weiterleitung. Oder aber ihr verändert Envelope-From und Mail-From auf einen Absender von euch und entfernt die vorhandenen DKIM-Signaturen. Dies gilt natürlich für alle Mailinglisten auf dem Mailinglisten-Server.
Ein guter Anlaufpunkt könnten diese URLs sein:
http://wiki.list.org/DEV/DMARC
https://sys4.de/de/blog/2013/08/11/mailman-dmarc-konform-betreiben/
Nebeninfo:
https://blog.nordwest.freifunk.net/verbreitung/
Wegen Mixed Content funktioniert diese Seite anscheinend nicht. Auch oben der Link zu "Netmon" führt ins Leere.
"Laden von gemischten aktiven Inhalten "http://netmon.nordwest.freifunk.net/map.php?embed=1&longitude=8&latitude=52.93&zoom=8&key=1" wurde blockiert."
Nebenfrage: Plant ihr in naher Zukunft bereits IPv6 bei euren Mailservern? Würde mich sehr freuen mehr IPv6 zu sehen! 
Bei Fragen versuche ich gern zu helfen!
Viele Grüße
Michael
Nachricht als Anhang (7.93 KB)
