Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comm.software.mailserver > #7208 > unrolled thread

Mailinglistenproblem mit DMARC

Back to article view | Back to de.comm.software.mailserver

Contents

  Mailinglistenproblem mit DMARC Ulli Horlacher <framstag@rus.uni-stuttgart.de> - 2025-06-26 07:36 +0000
    Re: Mailinglistenproblem mit DMARC Heiko Schlichting <heiko@cis.fu-berlin.de> - 2025-06-26 08:02 +0000
    Re: Mailinglistenproblem mit DMARC Marco Moock <mm+solani@dorfdsl.de> - 2025-06-26 16:53 +0200
    Re: Mailinglistenproblem mit DMARC Arno Welzel <usenet@arnowelzel.de> - 2025-06-27 13:29 +0200
      Re: Mailinglistenproblem mit DMARC Paul Muster <exp-311225@news.muster.net> - 2025-06-27 14:23 +0200
        Re: Mailinglistenproblem mit DMARC Arno Welzel <usenet@arnowelzel.de> - 2025-06-27 22:46 +0200
      Re: Mailinglistenproblem mit DMARC Marco Moock <mm+solani@dorfdsl.de> - 2025-06-27 14:54 +0200
      Re: Mailinglistenproblem mit DMARC Ralph Aichinger <ralph@pi.h5.or.at> - 2025-06-27 15:14 +0000
        Re: Mailinglistenproblem mit DMARC Marc Haber <mh+usenetspam1118@zugschl.us> - 2025-06-27 19:18 +0200
        Re: Mailinglistenproblem mit DMARC Arno Welzel <usenet@arnowelzel.de> - 2025-06-27 22:46 +0200
    Re: Mailinglistenproblem mit DMARC "Christoph Schneegans" <christoph@schneegans.de> - 2025-06-28 01:04 +0200
      Re: Mailinglistenproblem mit DMARC Heiko Schlichting <heiko@cis.fu-berlin.de> - 2025-06-28 12:00 +0000
        Re: Mailinglistenproblem mit DMARC Andreas Metzler <ametzler@bebt.de> - 2025-06-28 16:46 +0200
          Re: Mailinglistenproblem mit DMARC Heiko Schlichting <heiko@cis.fu-berlin.de> - 2025-06-28 15:26 +0000
        Re: Mailinglistenproblem mit DMARC "Christoph Schneegans" <christoph@schneegans.de> - 2025-06-29 01:24 +0200
    Re: Mailinglistenproblem mit DMARC Martin Τrautmann <t-usenet@gmx.net> - 2025-07-02 11:42 +0200
      Re: Mailinglistenproblem mit DMARC Arno Welzel <usenet@arnowelzel.de> - 2025-07-02 13:22 +0200
      Re: Mailinglistenproblem mit DMARC Paul Muster <exp-311225@news.muster.net> - 2025-07-02 17:34 +0200
        Re: Mailinglistenproblem mit DMARC "Peter J. Holzer" <hjp-usenet4@hjp.at> - 2025-07-02 17:58 +0200
        Re: Mailinglistenproblem mit DMARC Heiko Schlichting <heiko@cis.fu-berlin.de> - 2025-07-03 05:58 +0000
        Re: Mailinglistenproblem mit DMARC Arno Welzel <usenet@arnowelzel.de> - 2025-07-06 13:11 +0200
          Re: Mailinglistenproblem mit DMARC Thomas Hochstein <thh@thh.name> - 2025-07-09 09:10 +0200
            Re: Mailinglistenproblem mit DMARC Arno Welzel <usenet@arnowelzel.de> - 2025-07-11 09:23 +0200
    Re: Mailinglistenproblem mit DMARC Thomas Hochstein <thh@thh.name> - 2026-05-05 20:51 +0200
      Re: Mailinglistenproblem mit DMARC Marco Moock <mm@dorfdsl.de> - 2026-05-06 08:32 +0200
        Re: Mailinglistenproblem mit DMARC Paul Muster <exp-311226@news.muster.net> - 2026-05-06 17:31 +0200

Page 1 of 2  [1] 2  Next page →

#7208 — Mailinglistenproblem mit DMARC

Ich betreibe mehrere Mailinglisten und bekomme zunehmend Probleme mit DMARC.

ZB setzt yahoo DMARC fuer seine Domain(s).
Microsoft wertet DMARC aus und stellt fest, dass die Mail mit From von
yahoo nicht von einem yahoo MTA kommt und schickt die Mail an den
envelope-from zurueck, also zum Listen-Admin auf meinem Mailserver.

Die Mails werden nicht bloss nicht verteilt, sondern zusaetzlich werden
error-bounces erzeugt.

Was macht man da?
Alle Absenderdomains mit DMARC sperren?
Alle Empfaenger-MXe sperren die DMARC auswerten?

-- 
Ullrich Horlacher              Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart         E-Mail: horlacher@tik.uni-stuttgart.de
Allmandring 30a                Tel:    ++49-711-68565868
70569 Stuttgart (Germany)      WWW:    https://www.tik.uni-stuttgart.de/

[toc] | [next] | [standalone]

#7209

Ulli Horlacher <framstag@rus.uni-stuttgart.de> wrote:
> Ich betreibe mehrere Mailinglisten und bekomme zunehmend Probleme mit DMARC.
[...]
> Was macht man da?

Adressen umschreiben, wenn nötig (und nur dann). Nein, ich bin kein Fan,
aber es hat sich bei uns als die einzig praktikable Lösung herausgestellt. 

Das entspricht dem "Munge From" in folgender Beschreibung von Mailman:

    https://wiki.list.org/DEV/DMARC

Also für Mailman2: dmarc_moderation_action = 1

Dadurch haben sich alle Probleme bei uns (3.000+ Listen) gelöst und der
Aufschrei wegen der Adressfummelei, den ich befürchtet hatte, ist
ausgeblieben.

Heiko

[toc] | [prev] | [next] | [standalone]

#7210

Am 26.06.2025 07:36 Uhr schrieb Ulli Horlacher:

> Ich betreibe mehrere Mailinglisten und bekomme zunehmend Probleme mit
> DMARC.
> 
> ZB setzt yahoo DMARC fuer seine Domain(s).
> Microsoft wertet DMARC aus und stellt fest, dass die Mail mit From von
> yahoo nicht von einem yahoo MTA kommt und schickt die Mail an den
> envelope-from zurueck, also zum Listen-Admin auf meinem Mailserver.
> 
> Die Mails werden nicht bloss nicht verteilt, sondern zusaetzlich
> werden error-bounces erzeugt.

Wesentlich besser als die still zu vernichten, was leider heute auch
häufig passiert.

> Was macht man da?

Umschreiben ist eine Option, die häufig genutzt wird.
ARC existiert als RFC-Draft, aber das machen wohl bisher nur die großen
Anbieter.

Modifizierst du die Nachricht, sodass es mit DKIM kracht?

-- 
Gruß
Marco

Spam und Werbung bitte an
1750916173ichwillgesperrtwerden@nirvana.admins.ws

[toc] | [prev] | [next] | [standalone]

#7211

Ulli Horlacher, 2025-06-26 09:36:

> Ich betreibe mehrere Mailinglisten und bekomme zunehmend Probleme mit DMARC.
> 
> ZB setzt yahoo DMARC fuer seine Domain(s).
> Microsoft wertet DMARC aus und stellt fest, dass die Mail mit From von
> yahoo nicht von einem yahoo MTA kommt und schickt die Mail an den
> envelope-from zurueck, also zum Listen-Admin auf meinem Mailserver.

Ja, das ist das erwartete Verhalten, wenn Empfänger prüfen, ob der
Server laut SPF-Angaben für die Domain berechtigt ist.

> Die Mails werden nicht bloss nicht verteilt, sondern zusaetzlich werden
> error-bounces erzeugt.
> 
> Was macht man da?

<https://docs.mailman3.org/projects/mailman/en/latest/src/mailman/handlers/docs/dmarc-mitigations.html>

> Alle Absenderdomains mit DMARC sperren?
> Alle Empfaenger-MXe sperren die DMARC auswerten?

Nein, siehe oben. Im Zeitalter von massivem Spam ist es halt wenig
sinnvoll, eine E-Mail mit "@domain.example" abzuschicken, wenn man
selbst der berechtigte Server für domain.example ist.

-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#7212

On 27.06.25 13:29, Arno Welzel wrote:

> Im Zeitalter von massivem Spam ist es halt wenig
> sinnvoll, eine E-Mail mit "@domain.example" abzuschicken, wenn man
> selbst der berechtigte Server für domain.example ist.

Hä?


mfG Paul

[toc] | [prev] | [next] | [standalone]

#7216

Paul Muster, 2025-06-27 14:23:

> On 27.06.25 13:29, Arno Welzel wrote:
> 
>> Im Zeitalter von massivem Spam ist es halt wenig
>> sinnvoll, eine E-Mail mit "@domain.example" abzuschicken, wenn man
>> selbst der berechtigte Server für domain.example ist.
> 
> Hä?

Da fehlte ein "nicht" vor "selbst der berechtigte Server".


-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#7213

Am 27.06.2025 13:29 Uhr schrieb Arno Welzel:

> Ulli Horlacher, 2025-06-26 09:36:
> 
> > Ich betreibe mehrere Mailinglisten und bekomme zunehmend Probleme
> > mit DMARC.
> > 
> > ZB setzt yahoo DMARC fuer seine Domain(s).
> > Microsoft wertet DMARC aus und stellt fest, dass die Mail mit From
> > von yahoo nicht von einem yahoo MTA kommt und schickt die Mail an
> > den envelope-from zurueck, also zum Listen-Admin auf meinem
> > Mailserver.  
> 
> Ja, das ist das erwartete Verhalten, wenn Empfänger prüfen, ob der
> Server laut SPF-Angaben für die Domain berechtigt ist.

SPF ist hier ok, weil es ja die Domain vom Listensystem ist.
Solange die Mail nicht verändert wird, schlägt auch DKIM nicht fehl.
Ändert man den Inhalt, kracht DKIM.

DMARC kracht aber, weil die Domains unterschiedlich sind.
https://dmarcian.com/alignment/

-- 
Gruß
Marco

Spam und Werbung bitte an
1751023787ichwillgesperrtwerden@nirvana.admins.ws

[toc] | [prev] | [next] | [standalone]

#7214

Arno Welzel <usenet@arnowelzel.de> wrote:
> Nein, siehe oben. Im Zeitalter von massivem Spam ist es halt wenig
> sinnvoll, eine E-Mail mit "@domain.example" abzuschicken, wenn man
> selbst der berechtigte Server für domain.example ist.

Fehlt da wo eine Verneinung?

/ralph

[toc] | [prev] | [next] | [standalone]

#7215

Ralph Aichinger <ralph@pi.h5.or.at> wrote:
>Arno Welzel <usenet@arnowelzel.de> wrote:
>> Nein, siehe oben. Im Zeitalter von massivem Spam ist es halt wenig
>> sinnvoll, eine E-Mail mit "@domain.example" abzuschicken, wenn man
>> selbst der berechtigte Server für domain.example ist.
>
>Fehlt da wo eine Verneinung?

Und die Unterscheidung zwischen Envelope und Header, ja.

Grüße
Marc
-- 
----------------------------------------------------------------------------
Marc Haber         |   " Questions are the         | Mailadresse im Header
Rhein-Neckar, DE   |     Beginning of Wisdom "     | 
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

[toc] | [prev] | [next] | [standalone]

#7217

Ralph Aichinger, 2025-06-27 17:14:

> Arno Welzel <usenet@arnowelzel.de> wrote:
>> Nein, siehe oben. Im Zeitalter von massivem Spam ist es halt wenig
>> sinnvoll, eine E-Mail mit "@domain.example" abzuschicken, wenn man
>> selbst der berechtigte Server für domain.example ist.
> 
> Fehlt da wo eine Verneinung?

Ja. Vor "selbst der berechtigte Server".


-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#7218

Ulli Horlacher schrieb:

> Ich betreibe mehrere Mailinglisten und bekomme zunehmend Probleme mit
> DMARC.

DKIM sollte dieses Problem doch zuverlässig erschlagen haben, und DMARC
ist zufrieden, wenn DKIM /oder/ SPF passen.

Bei einer von mir administrierten Liste setze ich ein paar Header
(List-Id, List-Unsubscribe, List-Post, List-Owner), die typischerweise
nicht in die DKIM-Signatur eingehen, und nehme ansonsten natürlich keine
Änderungen vor. Insbesondere Yahoo akzeptiert diese Mails anstandslos.

-- 
https://schneegans.de/windows/unattend-generator/ · unattend.xml erzeugen

[toc] | [prev] | [next] | [standalone]

#7219

Christoph Schneegans <christoph@schneegans.de> wrote:
> Bei einer von mir administrierten Liste setze ich ein paar Header
> (List-Id, List-Unsubscribe, List-Post, List-Owner), die typischerweise
> nicht in die DKIM-Signatur eingehen, und nehme ansonsten natürlich keine
> Änderungen vor.

Diese Header werden üblicherweise in der DKIM-Signatur aufgenommen. Ich
glaube, dass ich bei uns die Default-Konfiguration von Exim diesbezüglich
nicht geändert habe:

    $ exim -n -bP macro _DKIM_SIGN_HEADERS | tr : "\n"
    From
    Sender
    Reply-To
    Subject
    Date
    Message-ID
    To
    Cc
    MIME-Version
    Content-Type
    Content-Transfer-Encoding
    Content-ID
    Content-Description
    Resent-Date
    Resent-From
    Resent-Sender
    Resent-To
    Resent-Cc
    Resent-Message-ID
    In-Reply-To
    References
    List-Id
    List-Help
    List-Unsubscribe
    List-Subscribe
    List-Post
    List-Owner
    List-Archive

RFC 4871 sagt dazu:

    5.5.  Recommended Signature Content
    [...]
       o  List-Id, List-Help, List-Unsubscribe, List-Subscribe, List-Post,
	  List-Owner, List-Archive

Heiko

[toc] | [prev] | [next] | [standalone]

#7220

Heiko Schlichting <heiko@cis.fu-berlin.de> wrote:
> Christoph Schneegans <christoph@schneegans.de> wrote:
>> Bei einer von mir administrierten Liste setze ich ein paar Header
>> (List-Id, List-Unsubscribe, List-Post, List-Owner), die typischerweise
>> nicht in die DKIM-Signatur eingehen, und nehme ansonsten natürlich keine
>> Änderungen vor.

> Diese Header werden üblicherweise in der DKIM-Signatur aufgenommen. Ich
> glaube, dass ich bei uns die Default-Konfiguration von Exim diesbezüglich
> nicht geändert habe:

>     $ exim -n -bP macro _DKIM_SIGN_HEADERS | tr : "\n"
[...]
>     List-Id
>     List-Help
[...]
> RFC 4871 sagt dazu:

>     5.5.  Recommended Signature Content
>     [...]
>        o  List-Id, List-Help, List-Unsubscribe, List-Subscribe, List-Post,
>           List-Owner, List-Archive

Hallo Heiko,

was exim da by default macht ist imho falsch. Es signiert nämlich auch
die Absenz des List-ID, headers sodass hinzufügen desselben die
Signatur invalidiert.  Im RFC steht so nicht drin. "The following
header fields SHOULD be included in the signature, if they are present
in the message being signed:" Über oversigning sagt der RFC iirc
nichts.

Ich bin schlussendlich bei
+From:+Sender:+Reply-To:+Subject:+Date:+Message-ID:+To:+Cc:+MIME-Version:+Content-Type:+Content-Transfer-Encoding:+Content-ID:+Content-Description:=Resent-Date:=Resent-From:=Resent-Sender:=Resent-To:=Resent-Cc:=Resent-Message-ID:+In-Reply-To:+References:=List-Id:=List-Help:=List-Post
gelandet.
Es gäbe auch einen bug-report dazu.
https://bugs.exim.org/show_bug.cgi?id=2394#c5

cu Andreas

-- 
`What a good friend you are to him, Dr. Maturin. His other friends are
so grateful to you.'
`I sew his ears on from time to time, sure'

[toc] | [prev] | [next] | [standalone]

#7221

Andreas Metzler <ametzler@bebt.de> wrote:
> was exim da by default macht ist imho falsch. Es signiert nämlich auch
> die Absenz des List-ID, headers sodass hinzufügen desselben die
> Signatur invalidiert.

Ja, so verstehe ich das auch.

> Ich bin schlussendlich bei
> +From:+Sender:+Reply-To:+Subject:+Date:+Message-ID:+To:+Cc:+MIME-Version:+Content-Type:+Content-Transfer-Encoding:+Content-ID:+Content-Description:=Resent-Date:=Resent-From:=Resent-Sender:=Resent-To:=Resent-Cc:=Resent-Message-ID:+In-Reply-To:+References:=List-Id:=List-Help:=List-Post
> gelandet.

Ich bin noch nicht sicher, ob ich bei uns die Voreinstellung überschreiben
will. Derzeit habe ich es nicht gemacht, weil es kein Problem darstellt.
Listen können die Mails einfach mit einer weiteren DKIM-Signatur versehen.
Problematisch wird es erst, wenn man DMARC scharf schaltet und davon halte
ich (bislang) nichts. Ich habe daher die beste aller DMARC-Policies
eingetragen:

    $ dig +short _dmarc.fu-berlin.de txt
    "v=DMARC1; p=none"

Heiko

[toc] | [prev] | [next] | [standalone]

#7222

Heiko Schlichting schrieb:

> Christoph Schneegans <christoph@schneegans.de> wrote:
>> Bei einer von mir administrierten Liste setze ich ein paar Header
>> (List-Id, List-Unsubscribe, List-Post, List-Owner), die typischerweise
>> nicht in die DKIM-Signatur eingehen, und nehme ansonsten natürlich keine
>> Änderungen vor.
>
> Diese Header werden üblicherweise in der DKIM-Signatur aufgenommen.

Das ist bei den Mails, die an meine Liste verschickt werden, durchaus
nicht der Fall. Absender sind mehrheitlich GMX, web.de und Yahoo.

-- 
https://schneegans.de/windows/unattend-generator/ · unattend.xml erzeugen

[toc] | [prev] | [next] | [standalone]

#7223

On Thu, 26 Jun 2025 07:36:13 -0000 (UTC), Ulli Horlacher wrote:
>
> Ich betreibe mehrere Mailinglisten und bekomme zunehmend Probleme mit DMARC.

Ja, das ist ein massives Ärgernis.

DMARC mag durchaus sinnvoll und berechtigt sein - nur kommt es mit dem
Konzept von mailing lists nicht klar-

An der Stelle ist pauschales DMARC falsch, wenn man keine Ausnahmen für
solche mailing lists hinzufügen kann, umso mehr, wenn diese verifiziert
und moderiert sind.


Google groups macht's anders herum - die löschen einfach die
Absender-Mail-Adresse und ersetzen sie durch die der mailing list. Das
funktioniert zwar wunderbar mit DMARC, ist aber so implementiert, dass
man dem Absender einer mail überhaupt nicht mehr antworten kann, weil
dessen E-Mail-Adresse nirgends gezeigt wird.

Über Signierung oder Verschlüsselung wage ich dann nicht mal
nachzudenken.

Sprich: DMARC-Betreiber brauchen 'ne whitelist. Das Problem einfach auf
die mailing list Betreiber abzuwälzen darf nicht sein.

[toc] | [prev] | [next] | [standalone]

#7224

Martin Τrautmann, 2025-07-02 11:42:

> On Thu, 26 Jun 2025 07:36:13 -0000 (UTC), Ulli Horlacher wrote:
>>
>> Ich betreibe mehrere Mailinglisten und bekomme zunehmend Probleme mit DMARC.
> 
> Ja, das ist ein massives Ärgernis.
> 
> DMARC mag durchaus sinnvoll und berechtigt sein - nur kommt es mit dem
> Konzept von mailing lists nicht klar-

Mailinglisten sind halt vom Verhaltne her wie Spammer - sie schicken
unter Angabe irgendeiner Mail-Adresse eines Absenders über ihre eigenen
Server E-Mails an viele Empfänger.

> An der Stelle ist pauschales DMARC falsch, wenn man keine Ausnahmen für
> solche mailing lists hinzufügen kann, umso mehr, wenn diese verifiziert
> und moderiert sind.

DMARC selbst macht ja nichts. Es legt nur fest, was bei Fehlern aufgrund
SPF und DKIM mit den E-Mail passieren soll - also ob E-Mails als Spam
behandelt werden oder abgelehnt werden sollen und der Domain-Inhaber
darüber einen Bericht bekommen soll etc..

Entscheidend im Kontext mit Mailinglisten daher SPF und DKIM, da
DKIM-Signaturen u.U. nicht passen und SPF verbietet, dass eine E-Mail
mit dem Envelope-From des Absenders statt der Mailingliste gesendet wird.

> Google groups macht's anders herum - die löschen einfach die
> Absender-Mail-Adresse und ersetzen sie durch die der mailing list. Das
> funktioniert zwar wunderbar mit DMARC, ist aber so implementiert, dass
> man dem Absender einer mail überhaupt nicht mehr antworten kann, weil
> dessen E-Mail-Adresse nirgends gezeigt wird.

Ein Reply-To wäre technisch ja kein Problem.

> Über Signierung oder Verschlüsselung wage ich dann nicht mal
> nachzudenken.
> 
> Sprich: DMARC-Betreiber brauchen 'ne whitelist. Das Problem einfach auf
> die mailing list Betreiber abzuwälzen darf nicht sein.

Was ist denn ein "DMARC-Betreiber"? DMARC ist nur ein Eintrag im Nameserver.



-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]

#7225

On 02.07.25 11:42, Martin Τrautmann wrote:
> On Thu, 26 Jun 2025 07:36:13 -0000 (UTC), Ulli Horlacher wrote:

>> Ich betreibe mehrere Mailinglisten und bekomme zunehmend Probleme mit DMARC.
> 
> Ja, das ist ein massives Ärgernis.
> 
> DMARC mag durchaus sinnvoll und berechtigt sein - nur kommt es mit dem
> Konzept von mailing lists nicht klar-
> 
> An der Stelle ist pauschales DMARC falsch, wenn man keine Ausnahmen für
> solche mailing lists hinzufügen kann, umso mehr, wenn diese verifiziert
> und moderiert sind.

Ist die Antwort auf 'Mailingliste vs DMARC' nicht SRS (sender rewriting 
scheme)?


mfG Paul

[toc] | [prev] | [next] | [standalone]

#7226

On 2025-07-02 17:34, Paul Muster <exp-311225@news.muster.net> wrote:
> Ist die Antwort auf 'Mailingliste vs DMARC' nicht SRS (sender rewriting 
> scheme)?

Nein, das wäre die Antwort auf SPF. Macht aber ohnehin jede Mailingliste
sowieso, und das schon viel länger als es SPF gibt.

        hjp

[toc] | [prev] | [next] | [standalone]

#7227

Paul Muster <exp-311225@news.muster.net> wrote:
>
> Ist die Antwort auf 'Mailingliste vs DMARC' nicht SRS (sender rewriting 
> scheme)?

Nein, definitiv nicht. SRS bezieht sich auf den Envelope Absender, DMARC
aber auf den From: Header.

Daher hilft nur:

    "Munge the From: header"
    https://wiki.list.org/DEV/DMARC

Die meisten Listen tun das. Die besseren aber nur, wenn es eine strikte
DMARC-Policy für die Absenderdomain gibt, die durch die Listensoftware
abgefragt wird, und für die anderen Absender bleibt es unverändert.

Heiko

[toc] | [prev] | [next] | [standalone]

Page 1 of 2  [1] 2  Next page →

Back to top | Article view | de.comm.software.mailserver

csiph-web