DANE im smtp-Client nutzen

2019-04-03 Diskussionsfäden Patrick Ben Koetter 
Hallo,

wer mich kennt, weiß ich habe mir sicheren und vertraulichen Transport von
E-Mail auf die Fahnen geschrieben. Dazu habe ich u.a. vor ein paar Jahren an
DANE mit spezifiziert und Dank einiger unserer ISP-Kunden, die bereit waren
DANE zu implementieren, konnten wir bei sys4 dafür sorgen, dass DANE RFC
Standard wurde, weil es für ein RFC "rough consensus and running code"
 braucht und die
Implementierungen der "running code" waren.

Jetzt könnte man meinen alles wäre \o/ und alle Beteiligten reiten glücklich
grinsend in den Sonnenuntergang, weil DANE die Welt rettet. Ist aber nicht,
weil ich viele sagen höre für DANE bräuchte man DNSSEC und weil das aus
$GRÜNDEN schwierig ist, machen sie einen Bogen drum herum.

Das ist halb richtig und halb falsch und weil ich Sicherheit mit DANE all
denen, sie es nutzen können, ermöglichen möchte, ist es mir ein Bedürfnis
dieses "richtig/falsch" richtig zu stellen.

Richtig ist: Für DANE muss man seine Domain als DNSSEC-signierte Zone
ausliefern wenn man *anderen DANE anbietet*.

Richtig ist aber auch: Wenn man *als Sender DANE nutzen* möchte, muss man
überhaupt gar nichts an der eigenen Domain machen.

Die paar Handgriffe, die es dafür braucht, habe ich in „Outbound DANE in 15
Minuten einrichten“ auf
 zusammengeschrieben.

Ich hoffe, der Eine oder die Andere wußte das noch nicht, haut jetzt in die
Tasten, um den Server für outbound DANE zu aktivieren, und reitet dann
grinsend in den Sonnenuntergang. ;-)

p@rick


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein

Re: DKIM signing bei Mailweiterleitung

2019-04-03 Diskussionsfäden J. Fahrner 

Am 2019-04-03 09:58, schrieb Carsten Rosenberg:

Ich seh immer noch nicht wo Rspamd hier mikrig dokumentiert ist.


Einzige Erklärung der Option "try_fallback": Whether to fallback to 
global config


Wie soll ich denn riechen was "fallback to global config" bedeutet, bzw. 
für Konsequenzen hat?


Dir mag das vielleicht klar sein, mir jedenfalls nicht.

Re: DKIM signing bei Mailweiterleitung

2019-04-03 Diskussionsfäden Tobi 



On 03.04.19 09:16, J. Fahrner wrote:
> Läuft alles auf dem gleichen Rechner, ist nicht per IP unterscheidbar.
> Dovecot, Postfix, Roundcube.
dann definierst du am einfachsten einen neuen smtpd in master.cf auf
einem dedizierten Port am localhost. Ohne jegliche Filter bzw
überschreibst mit -o alle allenfalls in main.cf global gesetzten Filter.
Dann in der dovecot Konfig vom lda als submission_host diesen neuen
localhost:port angeben. So sollten deine Weiterleitungen nicht mehr
durch den spamfilter, was imho eh etwas doppelt gemoppelt ist, oder? ;-)

Re: DKIM signing bei Mailweiterleitung

2019-04-03 Diskussionsfäden Carsten Rosenberg 
Genau und dass es einen Fallback gibt wenn das nicht explizit definiert
ist. Im kommentierten Config Beispiel siehst du, dass du auch auswählen
kannst ob Rspamd header-from, smtp-from oder den auth-user zur Suche der
Domain benutzt.

Es steht aber nirgendwo, dass zu signierende Domänen erst definiert
werden müssen. Das ist analog zum Amavis, da macht man das ja auch nicht.

>> - To be eligible for signing, a mail must be received from an
>> authenticated user OR a reserved IP address OR an address in the
>> sign_networks map (if defined)

Das ist sein Aufhänger (Amavis: ORIGINATING)

Und für jede Mail, die Rspamd meint signieren zu wollen, sucht er keys.
Erst explizit, dann als Fallback

# Default path to key, can include '$domain' and '$selector' variables
path = "/var/lib/rspamd/dkim/$domain.$selector.key";


--
Ich seh immer noch nicht wo Rspamd hier mikrig dokumentiert ist.

VG c

On 03.04.19 07:21, J. Fahrner wrote:
> Am 2019-04-03 06:31, schrieb Carsten Rosenberg:
>> - To be eligible for signing, a mail must be received from an
>> authenticated user OR a reserved IP address OR an address in the
>> sign_networks map (if defined)
>>
>> - Selector and path to key are selected from domain-specific config if
>> present, falling back to global config
>>
>> https://rspamd.com/doc/modules/dkim_signing.html
>>
>>
>> Dort steht genau die Lösung deines Problems. Was sollte hier noch fehlen?
> 
> Nun, da steht ja nur wie er sich die Keys und den Selektor bestimmt. Da
> steht nicht, wie man ihm sagt für welche Domains er überhaupt signieren
> soll.
>

Re: Komische Mails an LinkedIn

2019-04-03 Diskussionsfäden Walter H. 
On Tue, April 2, 2019 20:54, J. Fahrner wrote:
> Hallo Liste,
> Junior ist bei LinkedIn angemeldet, und immer wenn er von da Mails
> bekommt geht anschliessend eine Mail zurück an eine komische
> Absenderadresse, z.B.
> m-szc8omy5imq0utn6mlluyot9o0v67ime5h8viq8buhjrvga82yj...@bounce.linkedin.com
>
> Was ist das? Sind das Empfangsbestätigungen? Kann ich die verhindern?
>
> Jochen
>
Hallo

kannst Du mal im Header des urspr. Mail nachsehen ob da

'return-receipt-to' vorkommt, das ist die Anforderung f. eine Empfangsbest.
wobei die Frage ist, ob Dein Server nicht so eingestellt werden kann,
daß er keine sendet ...

'disposition-notification-to'
'x-confirm-reading-to'
sind Lesebestätigung, welche man per Header-Check neutralisieren kann ...

if
/^(return-receipt-to|disposition-notification-to|x-confirm-reading-to):[[:cntrl:][:space:]].*$/
/^(return-receipt-to):[[:cntrl:][:space:]](.*)$/
REPLACE X-Blocked-Notify-To: [OnDelivery: $2]
/^(disposition-notification-to|x-confirm-reading-to):[[:cntrl:][:space:]](.*)$/
REPLACE X-Blocked-Notify-To: [OnRead: $2]
endif

Re: DKIM signing bei Mailweiterleitung

2019-04-03 Diskussionsfäden Tobi 



On 03.04.19 07:21, J. Fahrner wrote:
> Am 2019-04-03 06:31, schrieb Carsten Rosenberg:
>> - To be eligible for signing, a mail must be received from an
>> authenticated user OR a reserved IP address OR an address in the
>> sign_networks map (if defined)
>>
>> - Selector and path to key are selected from domain-specific config if
>> present, falling back to global config
>>
>> https://rspamd.com/doc/modules/dkim_signing.html
>>
>>
>> Dort steht genau die Lösung deines Problems. Was sollte hier noch fehlen?
> 
> Nun, da steht ja nur wie er sich die Keys und den Selektor bestimmt. Da
> steht nicht, wie man ihm sagt für welche Domains er überhaupt signieren
> soll.

aber dort steht, wie du den rspamd mittels der verwendeten IP Adresse
vom signieren abhälst. Deine dovecot Weiterleitung sollte von einer IP
kommen die nicht in sign_networks enthalten ist.
Oder du definierst in der Konfig deines MTA einen Port, welcher den
rspamd Filter nicht dran hat und benutzt den in der dovecot Konfig als
MTA für deine Weiterleitungen