DMARC und das Problem mit den Mailinglisten

Wenn man etwas nicht ausprobiert oder am besten damit arbeitet, dann kommt man mit einigen Problemen nicht in Berührung. Warum nicht? Na, viele Probleme treten erst in einer gewissen Kombination auf oder man denkt erst überhaupt nicht dran.

Über so etwas bin ich vor kurzem „gestolpert“. Problem? Joar, in Verbindung mit Mailinglisten. Mailman ist da ja ganz vorne! Im Grunde ist DMARC nicht der Hauptverantwortliche. DMARC hat mehr dafür gesorgt dass dieses Problem „bewusst“ wird.

DKIM signiert, anders als z.B.: GPG, nicht nur den E-Mail Body (sprich den eigentlichen Text und ggf. noch Anhang), sondern unter anderem auch den Betreff einer E-Mail. Publiziert man nun eine DMARC Policy, welche E-Mails zurückweist wenn der DKIM Check fehlschlägt... Ja dann werden oft E-Mails die man über eine Mailingliste schickt zurückgewiesen. Das liegt daran dass die DKIM-Signatur durch den Mailinglisten-Manager gebrochen wird. Es wird z.B.: der Betreff verändert und eine Fußnote (Werbung und oder Infos für die Mailingliste) an den E-Mailtext angehangen.

Fast alle Mailinglisten-Manager (auch Mailman) erweitern die E-Mail ebenfalls um einen Header. Liste-id: Früher gab es diesen Header nicht. Früher wurde also meist vor den Betreff noch ein Identifier für die Mailingliste gestellt. Zum Beispiel etwas wie: „[tollte-Mailingliste] eigentlicher Betreff“. Nun konnte jeder Abonnent einfach in seinem Mailclient einstellen dass alle E-Mails die im Betreff diesen Identifier enthalten an eine besondere Stelle sortiert werden. Heute kann/sollte man es über den List-id Header umsetzten. Die meisten Mailclients erkennen diesen Header und man kann die Regel schon mit der rechten Maustaste verwirklichen.

Nun könnten die Betreiber einer Mailingliste ihren Mailinglisten-Manager so konfigurieren dass die DKIM Signatur nicht gebrochen wird. Das größte Hindernis scheint dabei denn noch zu sein, dass sie gerne diesen Identifier behalten wollen. Oft ist ihnen das Problem einfach nicht bewusst. Ich habe dieses Thema natürlich bereits bei einigen großen Listen angesprochen. Es scheint im Moment nicht genügend Druck für eine Umsetzung zu geben. Wird sicher noch... Schon alleine weil Microsoft und Google mit hinter DMARC stehen. Beide haben zwar einen DMARC-RECORD, geben eine keine klare Policy vor. Ob dieses ein Grund sein könnte?

Bleibt also wieder, wie so oft, dieses Problem zu thematisieren. Nachfragen, aufklären und hoffen. Sicherheit muss leider oft Bequemlichkeit weichen.