DMARC-konforme Konfiguration von Mailman-Listen

Dieser Beitrag richtet sich an Administratoren von Mailinglisten. Er beschreibt, welche Probleme das Mail-Policy-Protokoll DMARC bei Mailinglisten verursachen kann und zeigt Lösungen dafür auf. Für eine Einführung in die DMARC-Problematik an sich sei auf den Beitrag DMARC und damit verbundene Probleme verwiesen (Anmerkung dazu: Die Fa. Google hat ihre DMARC-Policy zumindest im Juni 2016 noch nicht aktiviert, dies kann aber jederzeit geschehen).

Welche Probleme können bei Mailinglisten auftreten ?

  • DKIM-Signaturen werden zerstört und die betreffenden E-Mails daher von Mailservern, die DMARC unterstützen, nicht mehr angenommen, d.h. es besteht die Gefahr dass E-Mails, die z.B. von gmail.com-Adressen kommen, nicht mehr an alle Listenmitglieder zugestellt werden
  • Falls Listenmitglieder dadurch mehrfach nicht erreichbar sind, können sie aufgrund des automatischen „Bounce-Handlings“ von Mailman über kurz oder lang ganz aus der Mailingliste entfernt oder dekativiert werden.

Keine Probleme, falls ...

  • E-Mails durch die Mailingliste nicht verändert werden, insbesondere keine Veränderung des Betreffs, kein Anhängen von Kopf- oder Fußzeilen und kein Abtrennen von Anhängen. Bitte kontrollieren Sie die entsprechenden Einstellungen

    • unter "Allgemeine Optionen": Kein Präfix für die Betreffzeile
      betreff
    • unter "Non-Digest-Optionen": Keine Kopfzeilen, keine Fußzeilen (bis 18.04.2016 waren Fußzeilen die Voreinstellung für neue Listen!) und kein Aufsplitten von Attachments und E-Mails
    • header-footer
    • In diesem Fall bleiben eventuelle DKIM-Signaturen unverändert erhalten (u.a. auch bei Absendeadressen mit der Google-Domain gmail.com).
  • E-Mails durch die Mailingliste anonymisiert werden, d.h. die Absendeadresse durch die Adresse der Mailingliste ersetzt wird (Option "Verstecken des Absenders einer Nachricht …" unter "Allgemeine Optionen").
    anonymous-list1
    In diesem Fall werden eventuell vorhandene bzw. zerstörte DKIM-Signaturen entfernt und eine neue erzeugt.
  • Oder wenn der ursprüngliche Absender zumindest noch im reply-to-Header enthalten sein soll, können Sie unter "Allgemeine Optionen" mit der Option "Ersetzt den "From:"-Header mit der E-Mail-Adresse der Mailingsliste..." einstellen, dass als Absenderadresse immer die Adresse der Mailingliste selbst eingesetzt werden soll und der ursprüngliche Absender dann in den reply-to-Header hinzugefügt wird. Der Anzeigename des Absenders wird dann zu "Absendername via Listenname".

Andersrum gesagt ...

Probleme können auftreten, wenn von Absendeadressen mit Domains, die die DMARC-Policy "Reject" fahren (wie möglicherweise bald gmail.com), E-Mails verschickt werden, die durch die Mailingliste verändert werden und nicht auf die Adresse der Mailingliste umgeschrieben werden.

Was kann man dagegen tun?

Als Abhilfe kann man entweder – wie oben beschrieben – die Mailingliste so konfigurieren, dass E-Mails nicht (mehr) verändert werden oder anonym versandt werden, oder man kann konkret definieren, was mit kritischen E-Mails geschehen soll, also mit E-Mails, die von Domains mit aktivierter DMARC-Policy kommen. Dazu klicke man zunächst auf "Abo-Regeln und Adreßfilter", dann auf "Absender-Filter" und scrolle dort zur Frage "Was soll geschehen, wenn jemand an die Liste schreibt, auf dessen Domain eine DMARC-Reject/Quarantäne-Regel passt?".

Hier empfehlen wir die etwas kryptische Einstellung "Absender verschleiern". Dadurch wird die Absendeadresse durch die Listenadresse ersetzt und die tatsächliche Absendeadresse in das Reply-To-Feld geschrieben. Diese Änderungen werden aber nur bei DMARC-kritischen E-Mails vorgenommen, alle anderen bleiben unverändert. Bei der Einstellung "Nachricht zusammenfassen" wird die Originalmail als Anhang einer neuen E-Mail verschickt, bei der die Absendeadresse auf die Listenadresse gesetzt ist. Mit solchen E-Mails können die meisten Mailclients aber nicht gut umgehen (insbesondere beim Antworten) und daher empfehlen wir diese Option weniger.

dmarc-optionen

Bei den beiden folgenden Optionen ("Soll die obige dmarc_moderation_action ...") geht es darum, unter welchen Bedingungen eine der oben beschriebenen Aktionen erfolgen soll. Hier empfehlen wir die Voreinstellungen zu belassen, d.h. Ausführung der Aktion nur für die DMARC-Policies "quarantine" und "reject", aber nicht für "none".