Hej.
Vet inte om någon bryr sig, men nedanstående mail spam-markerades i gmail. Headrarna säger så här om någon är intresserad av att felsöka:
dkim=neutral (body hash did not verify) header.i=@tassmjau.com; dmarc=fail (p=QUARANTINE dis=NONE) header.from=tassmjau.com
vänliga hälsningar Mikael
Den 28 december 2015 11:29 skrev Martin mw@tassmjau.com:
God dag,
jag gillade verkligen pqc-talket (https://media.ccc.de/v/32c3-7210-pqchacks) och x86-talket ( https://media.ccc.de/v/32c3-7352-towards_reasonably_trustworthy_x86_laptops ), jag har fortfarande rätt många kvar att se ...
./martin
On Mon 28 Dec 2015 at 11:00, Joel Purra wrote:
God dag,
Som vanligt har CCC levererat och hittat duktiga talare med intressanta ämnen. Allt finns både för att titta på live, inspelat för arkivering -- dyk in! https://events.ccc.de/ https://events.ccc.de/congress/2015/ https://media.ccc.de/b/congress/2015
Vad är era tips för DFRI-folk?
-joelpurra.com
-- DFRI-listan är öppen för alla. Listan arkiveras och publiceras öppet på internet. Arkiv: http://dir.gmane.org/gmane.org.user-groups.dfri Listpolicy: https://www.dfri.se/regler-for-listan
mån 2015-12-28 klockan 21:29 +0100 skrev Mikael Falkvidd:
Vet inte om någon bryr sig, men nedanstående mail spam-markerades i gmail. Headrarna säger så här om någon är intresserad av att felsöka:
dkim=neutral (body hash did not verify) header.i=@tassmjau.com; dmarc=fail (p=QUARANTINE dis=NONE) header.from=tassmjau.com
Vad jag kan se har Gmail tekniskt sett gjort helt rätt.
Skickar man mail till mailinglistor är det rätt vågat att via DMARC signalera p=quarantine.
Möjligtvis att man skulle kunna diskutera hurtillvida DFRI vill ställa om sin mailman att sluta lägga till sidfoten. Ett annat (snäppet grövre) alternativ är att skriva om avsändaradressen, och på så vis istället låta @lists.dfri.se ansvarar för mailen.
// Andreas
Andreas Olsson andreas@arrakis.se wrote Mon, 28 Dec 2015 21:54:48 +0100:
| mån 2015-12-28 klockan 21:29 +0100 skrev Mikael Falkvidd: | > Vet inte om någon bryr sig, men nedanstående mail spam-markerades i | > gmail. Headrarna säger så här om någon är intresserad av att felsöka: | > | > dkim=neutral (body hash did not verify) header.i=@tassmjau.com; | > dmarc=fail (p=QUARANTINE dis=NONE) header.from=tassmjau.com | | Vad jag kan se har Gmail tekniskt sett gjort helt rätt. | | Skickar man mail till mailinglistor är det rätt vågat att via DMARC | signalera p=quarantine.
Gör tassmjau.com det?
Det enda jag ser för tassmjau.com är "v=spf1 mx -all" (vilket väl är konstigt då Martin verkar sända mejl från box.tassmjau.com [188.166.116.95]?)
| Möjligtvis att man skulle kunna diskutera hurtillvida DFRI vill ställa | om sin mailman att sluta lägga till sidfoten. Ett annat (snäppet | grövre) alternativ är att skriva om avsändaradressen, och på så vis | istället låta @lists.dfri.se ansvarar för mailen.
Hur påverkar sidfoten detta?
Sidfoten är f.ö. dåligt implementerad av minst två anledningar -- identisk oberoende av content-type (vilket gör att den bara ser vettig ut ibland) och syns inte i ett multipart mime-meddelande eftersom den "hamnar utanför" -- så den borde kanske bort i alla fall.
mån 2015-12-28 klockan 22:10 +0100 skrev Linus Nordberg:
Andreas Olsson andreas@arrakis.se wrote Skickar man mail till mailinglistor är det rätt vågat att via DMARC
signalera p=quarantine.
Gör tassmjau.com det?
Det enda jag ser för tassmjau.com är "v=spf1 mx -all" (vilket väl är konstigt då Martin verkar sända mejl från box.tassmjau.com [188.166.116.95]?)
$ dig +short _dmarc.tassmjau.com TXT "v=DMARC1; p=quarantine" $
Möjligtvis att man skulle kunna diskutera hurtillvida DFRI vill ställa om sin mailman att sluta lägga till sidfoten. Ett annat (snäppet grövre) alternativ är att skriva om avsändaradressen, och på så vis istället låta @lists.dfri.se ansvarar för mailen.
Hur påverkar sidfoten detta?
Sidfoten förändrar mailets kropp, varpå DKIM-signaturer blir ogiltig.
I ett DMARC-kontext behöver SPF:en matcha mot mailets From:, vilket inte tenderar att bli fallet när mailet kommer in via mailinglistans SMTP-server.
Sålunda finns varesig en godkänd DKIM eller en godkänd SPF, varpå man har ett DMARC-misslyckande, varpå p=quarantine blir aktuellt.
// Andreas
Andreas Olsson andreas@arrakis.se wrote Mon, 28 Dec 2015 22:22:44 +0100:
| mån 2015-12-28 klockan 22:10 +0100 skrev Linus Nordberg: | > Andreas Olsson andreas@arrakis.se wrote | > Skickar man mail till mailinglistor är det rätt vågat att via DMARC | > > signalera p=quarantine. | > | > Gör tassmjau.com det? | > | > Det enda jag ser för tassmjau.com är "v=spf1 mx -all" (vilket väl är | > konstigt då Martin verkar sända mejl från box.tassmjau.com | > [188.166.116.95]?) | | $ dig +short _dmarc.tassmjau.com TXT | "v=DMARC1; p=quarantine" | $
Jaha, så gör man. Tack. :)
| > Möjligtvis att man skulle kunna diskutera hurtillvida DFRI vill | > ställa om sin mailman att sluta lägga till sidfoten. Ett annat | > (snäppet grövre) alternativ är att skriva om avsändaradressen, och på | > så vis istället låta @lists.dfri.se ansvarar för mailen. | > | > Hur påverkar sidfoten detta? | | Sidfoten förändrar mailets kropp, varpå DKIM-signaturer blir ogiltig.
Ah, såklart.
DFRI borde börja DKIM-signera (oaktat sidfot). En giltig signatur räcker om jag minns rätt.
| I ett DMARC-kontext behöver SPF:en matcha mot mailets From:, vilket | inte tenderar att bli fallet när mailet kommer in via mailinglistans | SMTP-server. | | Sålunda finns varesig en godkänd DKIM eller en godkänd SPF, varpå man | har ett DMARC-misslyckande, varpå p=quarantine blir aktuellt.
Tack för förklaringarna.
Hej och tack för att ni sa till, jag har inte stött på det här förut så nu har jag lite att läsa på om.
./martin
On 2015-12-28 22:38, Linus Nordberg wrote:
Andreas Olsson andreas@arrakis.se wrote Mon, 28 Dec 2015 22:22:44 +0100:
| mån 2015-12-28 klockan 22:10 +0100 skrev Linus Nordberg: | > Andreas Olsson andreas@arrakis.se wrote | > Skickar man mail till mailinglistor är det rätt vågat att via DMARC | > > signalera p=quarantine. | > | > Gör tassmjau.com det? | > | > Det enda jag ser för tassmjau.com är "v=spf1 mx -all" (vilket väl är | > konstigt då Martin verkar sända mejl från box.tassmjau.com | > [188.166.116.95]?) | | $ dig +short _dmarc.tassmjau.com TXT | "v=DMARC1; p=quarantine" | $
Jaha, så gör man. Tack. :)
| > Möjligtvis att man skulle kunna diskutera hurtillvida DFRI vill | > ställa om sin mailman att sluta lägga till sidfoten. Ett annat | > (snäppet grövre) alternativ är att skriva om avsändaradressen, och på | > så vis istället låta @lists.dfri.se ansvarar för mailen. | > | > Hur påverkar sidfoten detta? | | Sidfoten förändrar mailets kropp, varpå DKIM-signaturer blir ogiltig.
Ah, såklart.
DFRI borde börja DKIM-signera (oaktat sidfot). En giltig signatur räcker om jag minns rätt.
| I ett DMARC-kontext behöver SPF:en matcha mot mailets From:, vilket | inte tenderar att bli fallet när mailet kommer in via mailinglistans | SMTP-server. | | Sålunda finns varesig en godkänd DKIM eller en godkänd SPF, varpå man | har ett DMARC-misslyckande, varpå p=quarantine blir aktuellt.
Tack för förklaringarna.
mån 2015-12-28 klockan 22:38 +0100 skrev Linus Nordberg:
DFRI borde börja DKIM-signera (oaktat sidfot). En giltig signatur räcker om jag minns rätt.
Jorå, att DFRI lägger på en egen DKIM-signatur är positivt.
Dock så kommer inte DFRI:s signatur påverkar DMARC-resultatet så länge mailet är From: anvandare@egendoman.tld. Därav det nämnda alternativet att skriva om From, och på så vis ge DFRI möjlighet att ta ansvaret via bland annat eget DKIM-signatur.
Så sker bland annat på Unbound-listan, där det omskriva resultatet blir enligt följande
From: Förnamn Efternamn via Unbound-users unbound-users@unbound.net Reply-To: Förnamn Efternamn anvandare@egendoman.tld
Fast det är som sagt en snäppet grövre approach.
// Andreas
-
Andreas Olsson -
Linus Nordberg -
Mikael Falkvidd -
mw@tassmjau.com