Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Appuio DKIM Signatur einrichten #437

Open
larsUE opened this issue Jun 4, 2024 · 2 comments
Open

Appuio DKIM Signatur einrichten #437

larsUE opened this issue Jun 4, 2024 · 2 comments
Assignees
@Robin481
Labels
blocked blocked until further notice

Comments

@larsUE
Copy link
Collaborator

larsUE commented Jun 4, 2024
edited
Loading

Gemäss Stadt Zürich:

Ich denke nicht, dass das in der Software implementiert werden muss, sondern dass der Appuio Puzzle oder wie auch immer
Server die Möglichkeit haben müsste ausgehende Mails zu signieren.
Konkret wird der Server mxout.appuio.puzzle.ch reportet

Ursprüngliche Nachricht:

Über ein sogenanntes Dmarc reporting sehen wir wer Mails mit dem Absender zuerich.ch z.b. an Google sendet.
Identifiziert haben wir dabe die beiden Server von Appuio oder Puzzle (weis nicht genau wie das zusammenhängt) die Mails mit dem Absender zuerich.ch senden
Evtl. sind es auch noch andere aber das Reporting läuft erst seit kurzem.
Es sind diese hier:

185.79.233.85 [mxout.appuio.puzzle.ch](http://mxout.appuio.puzzle.ch/)> 2a06:c02:1000:1262::85 [mxout.appuio.puzzle.ch](http://mxout.appuio.puzzle.ch/)

Hier habe ich keine weitern Infos.

In meinem Log sehe ich auch Mails mit dem Absender [email protected] (Betreff ist z.b. "A new survey in Schipferhof 2027" oder " Neue Antwort auf Umfrage "Kontakt")

Google verschärft die Richtlinien: https://support.google.com/a/answer/81126?hl=de&visit_id=638416011110674418-1675868918&rd=1#zippy=%2Canforderungen-beim-senden-von-mindestens-nachrichten-pro-tag

Aus diesem Grund sollten diese Mails unbedingt signiert werden mit dkim. Dazu braucht es am Ende einen DNS Eintrag bei uns den ich aber nicht machen kann, sondern unser DNS Team.
@larsUE
Copy link
Collaborator Author

larsUE commented Jun 4, 2024

@Robin481 klärt mal ab, ob die neuen in-house Umgebung sowieso schon DKIM mitbringt

@Robin481
Copy link
Member

Robin481 commented Jun 4, 2024

Ich habe mal basierend auf diesem Artikel noch ein bisschen erweitert abgeklärt:

Authenticate all messages with DMARC (technically, authenticate all messages with SPF or DKIM aligned with the From domain):
DKIM wird im Moment nicht vom Puzzle Mailserver unterstützt ist aber in Planung. Das Kriterium können wir aber trotzdem via konfigurierter SPF erfüllen da DMARC "valid" ist wenn entweder SPF oder DKIM erfolgreich validiert werden kann. Wir haben dafür interne Guides ist aber hauptsächlich von der Domain Konfiguration abhängig.

Send from a domain with a DMARC policy of at least p=none
Kommt auch auf die Absender Domain an.

Have valid forward and reverse DNS that match each other
Haben wir.

Use the one-click unsubscribe header and an unsubscribe link in the footer
Logischerweise vom Mail Inhalt abhängig. Ist aber auf unserer Infrastruktur sowieso obligatorisch.

Maintain a low spam rate of < 0.1%
Nicht nur ganz einfach unter Kontrolle zu halten aber natürlich das Ziel 😁

Encrypt your email (technically, require TLS)
Haben wir.

@larsUE larsUE added the blocked blocked until further notice label Jun 6, 2024
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@Robin481 Robin481

Labels
blocked blocked until further notice
Projects
Basisplattform Mitwirken Umsetzung 2023/24
Status: Backlog
Milestone
No milestone
Development

No branches or pull requests
2 participants
@Robin481 @larsUE