4
Server für Mailinglisten macht Probleme bei den Zertifikaten
Hallo ihr alle,
ich habe unter Sympa einen Mailserver unter Postfix aufgebaut. Schickt jemand eine Mail an eine Mailingliste, so verteilt der Server diese Mail an alle Adressen, die in der Liste aufgeführt sind.
Dabei gibt es ein Problem mit Zertifikaten. Ich hoffe, ich verstehe alles richtig. Also: Der Mailtransport zwischen dem Nutzer und dem Mailserver ist mit Zertifikaten abgesichert. Nun schickt aber der Mailserver diese Mail weiter, erstellt aber kein neues Zertifikat und einen neuen Absender, so dass das Zertifikat ungültig geworden ist.
Kurz gesagt: bei der Weiterleitung muss der Mailserver ein neues Zertifikat erstellen, aber das macht er nicht.
Dies macht nur dann Probleme, wenn der Empfängerserver eine DMARC-Überprüfung vornimmt, aber damit muss man ja rechnen.
Unten das Ergebnis von “journalctl -u opendkim". Der Nutzer franz-schneider@web.de schreibt an eine Liste auf sympa.schule.de:
Mär 18 12:31:06 sympa.schule.de opendkim[438350]: 8DA6A4052A: mout.web.de [212.227.17.12] not internal
Mär 18 12:31:06 sympa.schule.de opendkim[438350]: 8DA6A4052A: not authenticated
Mär 18 12:31:06 sympa.schule.de opendkim[438350]: 8DA6A4052A: signature=fLpUG667 domain=web.de selector=s29768273 result="no signature error"
Mär 18 12:31:06 sympa.schule.de opendkim[438350]: 8DA6A4052A: DKIM verification successful
Mär 18 12:31:06 sympa.schule.de opendkim[438350]: 8DA6A4052A: s=s29768273 d=web.de a=rsa-sha256 SSL
Mär 18 12:31:07 sympa.schule.de opendkim[438350]: CE88C4052A: no signing table match for 'franz-schneider@web.de'
Mär 18 12:31:07 sympa.schule.de opendkim[438350]: CE88C4052A: signature=fLpUG667 domain=web.de selector=s29768273 result="signature verification failed"
Mär 18 12:31:07 sympa.schule.de opendkim[438350]: CE88C4052A: s=s29768273 d=web.de a=rsa-sha256 SSL error:02000068:rsa routines::bad signature
Mär 18 12:31:07 sympa.schule.de opendkim[438350]: CE88C4052A: bad signature data
Gruß
Ralph
ich habe unter Sympa einen Mailserver unter Postfix aufgebaut. Schickt jemand eine Mail an eine Mailingliste, so verteilt der Server diese Mail an alle Adressen, die in der Liste aufgeführt sind.
Dabei gibt es ein Problem mit Zertifikaten. Ich hoffe, ich verstehe alles richtig. Also: Der Mailtransport zwischen dem Nutzer und dem Mailserver ist mit Zertifikaten abgesichert. Nun schickt aber der Mailserver diese Mail weiter, erstellt aber kein neues Zertifikat und einen neuen Absender, so dass das Zertifikat ungültig geworden ist.
Kurz gesagt: bei der Weiterleitung muss der Mailserver ein neues Zertifikat erstellen, aber das macht er nicht.
Dies macht nur dann Probleme, wenn der Empfängerserver eine DMARC-Überprüfung vornimmt, aber damit muss man ja rechnen.
Unten das Ergebnis von “journalctl -u opendkim". Der Nutzer franz-schneider@web.de schreibt an eine Liste auf sympa.schule.de:
Mär 18 12:31:06 sympa.schule.de opendkim[438350]: 8DA6A4052A: mout.web.de [212.227.17.12] not internal
Mär 18 12:31:06 sympa.schule.de opendkim[438350]: 8DA6A4052A: not authenticated
Mär 18 12:31:06 sympa.schule.de opendkim[438350]: 8DA6A4052A: signature=fLpUG667 domain=web.de selector=s29768273 result="no signature error"
Mär 18 12:31:06 sympa.schule.de opendkim[438350]: 8DA6A4052A: DKIM verification successful
Mär 18 12:31:06 sympa.schule.de opendkim[438350]: 8DA6A4052A: s=s29768273 d=web.de a=rsa-sha256 SSL
Mär 18 12:31:07 sympa.schule.de opendkim[438350]: CE88C4052A: no signing table match for 'franz-schneider@web.de'
Mär 18 12:31:07 sympa.schule.de opendkim[438350]: CE88C4052A: signature=fLpUG667 domain=web.de selector=s29768273 result="signature verification failed"
Mär 18 12:31:07 sympa.schule.de opendkim[438350]: CE88C4052A: s=s29768273 d=web.de a=rsa-sha256 SSL error:02000068:rsa routines::bad signature
Mär 18 12:31:07 sympa.schule.de opendkim[438350]: CE88C4052A: bad signature data
Gruß
Ralph
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672025
Url: https://administrator.de/forum/server-fuer-mailinglisten-macht-probleme-bei-den-zertifikaten-672025.html
Ausgedruckt am: 15.04.2025 um 07:04 Uhr
4 Kommentare
Neuester Kommentar
DKIM und Mailing-List ist etwas kompliziert. Aber Sympa hat auch ein eigenes Forum und so wie ich gelesen habe gibts da auch KOnfigurationsbeispiele. Vielleicht mal da schauen wenn sich hier niemand meldet?
Hallo @bloodstix,
vielen Dank für deinen Beitrag. Ich habe schon bemerkt, dass dies ein tüfteliges Thema ist.
Ein Sympa-Forum ist mir nicht bekannt. Kannst du mir da weiterhelfen? Ich habe stattdessen an die Mailingliste "en@sympa.community" geschrieben. Die einzige Antwort war von jemandem, der sich (soweit ich das beurteilen kann) sehr intensiv mit Sympa befasst hat. Und der schrieb, das sei doch ein Problem von opendkim und ich solle mich an entsprechend Foren wenden. Das finde ich etwas merkwürdig, denn es greift doch ein zentrales Problem von Mailinglistenservern auf.
Gruß
Ralph
vielen Dank für deinen Beitrag. Ich habe schon bemerkt, dass dies ein tüfteliges Thema ist.
Ein Sympa-Forum ist mir nicht bekannt. Kannst du mir da weiterhelfen? Ich habe stattdessen an die Mailingliste "en@sympa.community" geschrieben. Die einzige Antwort war von jemandem, der sich (soweit ich das beurteilen kann) sehr intensiv mit Sympa befasst hat. Und der schrieb, das sei doch ein Problem von opendkim und ich solle mich an entsprechend Foren wenden. Das finde ich etwas merkwürdig, denn es greift doch ein zentrales Problem von Mailinglistenservern auf.
Gruß
Ralph
Also kennst du das hier schon ? www.sympa.community/manual/customize/dkim-arc/setup-sympa.html
Kannst auch im github von denen mal schauen ob da was bei den Issues zu deinem Problem passt.
Kannst auch im github von denen mal schauen ob da was bei den Issues zu deinem Problem passt.
Hallo @bloodstix,
das ist die Krux mit dieser Doku. Man arbeitet sind gradlinig durch und denkt, damit wäre alles erledigt, und dann bekommt man Hinweise auf weitere Kapitel, die gar nicht nebensächlich, sondern fundamental wichtig sind für die Funktion.
Ich vermute, dass der Hauptteil der Doku aus einer Zeit stammt, wo man an Sicherheitsfeatures kaum gedacht hat. Und dann kam in diesem Bereich immer mehr dazu und das hat man dann in Zusatzkapiteln behandelt ("Gartenlaubenanbau"), anstatt es in die Hauptdoku zu integrieren.
Gruß
Ralph
das ist die Krux mit dieser Doku. Man arbeitet sind gradlinig durch und denkt, damit wäre alles erledigt, und dann bekommt man Hinweise auf weitere Kapitel, die gar nicht nebensächlich, sondern fundamental wichtig sind für die Funktion.
Ich vermute, dass der Hauptteil der Doku aus einer Zeit stammt, wo man an Sicherheitsfeatures kaum gedacht hat. Und dann kam in diesem Bereich immer mehr dazu und das hat man dann in Zusatzkapiteln behandelt ("Gartenlaubenanbau"), anstatt es in die Hauptdoku zu integrieren.
Gruß
Ralph
