puzzle / decidim-zuerich

Mitwirkungsportal für die Stadt Zürich, basierend auf Decidim
https://mitwirken.stadt-zuerich.ch
GNU Affero General Public License v3.0
8 stars 2 forks source link

Appuio DKIM Signatur einrichten #437

Open larsUE opened 5 months ago

larsUE commented 5 months ago

Gemäss Stadt Zürich:

Ich denke nicht, dass das in der Software implementiert werden muss, sondern dass der Appuio Puzzle oder wie auch immer Server die Möglichkeit haben müsste ausgehende Mails zu signieren. Konkret wird der Server mxout.appuio.puzzle.ch reportet

Ursprüngliche Nachricht:

Über ein sogenanntes Dmarc reporting sehen wir wer Mails mit dem Absender zuerich.ch z.b. an Google sendet. Identifiziert haben wir dabe die beiden Server von Appuio oder Puzzle (weis nicht genau wie das zusammenhängt) die Mails mit dem Absender zuerich.ch senden Evtl. sind es auch noch andere aber das Reporting läuft erst seit kurzem. Es sind diese hier:

185.79.233.85 [mxout.appuio.puzzle.ch](http://mxout.appuio.puzzle.ch/) > 2a06:c02:1000:1262::85 [mxout.appuio.puzzle.ch](http://mxout.appuio.puzzle.ch/)

Hier habe ich keine weitern Infos.

In meinem Log sehe ich auch Mails mit dem Absender mitwirken@zuerich.ch (Betreff ist z.b. "A new survey in Schipferhof 2027" oder " Neue Antwort auf Umfrage "Kontakt")

Google verschärft die Richtlinien: https://support.google.com/a/answer/81126?hl=de&visit_id=638416011110674418-1675868918&rd=1#zippy=%2Canforderungen-beim-senden-von-mindestens-nachrichten-pro-tag

Aus diesem Grund sollten diese Mails unbedingt signiert werden mit dkim. Dazu braucht es am Ende einen DNS Eintrag bei uns den ich aber nicht machen kann, sondern unser DNS Team.

larsUE commented 5 months ago

@Robin481 klärt mal ab, ob die neuen in-house Umgebung sowieso schon DKIM mitbringt

Robin481 commented 5 months ago

Ich habe mal basierend auf diesem Artikel noch ein bisschen erweitert abgeklärt:

Authenticate all messages with DMARC (technically, authenticate all messages with SPF or DKIM aligned with the From domain):
DKIM wird im Moment nicht vom Puzzle Mailserver unterstützt ist aber in Planung. Das Kriterium können wir aber trotzdem via konfigurierter SPF erfüllen da DMARC "valid" ist wenn entweder SPF oder DKIM erfolgreich validiert werden kann. Wir haben dafür interne Guides ist aber hauptsächlich von der Domain Konfiguration abhängig.

Send from a domain with a DMARC policy of at least p=none Kommt auch auf die Absender Domain an.

Have valid forward and reverse DNS that match each other Haben wir.

Use the one-click unsubscribe header and an unsubscribe link in the footer Logischerweise vom Mail Inhalt abhängig. Ist aber auf unserer Infrastruktur sowieso obligatorisch.

Maintain a low spam rate of < 0.1% Nicht nur ganz einfach unter Kontrolle zu halten aber natürlich das Ziel :grin:

Encrypt your email (technically, require TLS) Haben wir.

larsUE commented 2 months ago

@Robin481 @Kagemaru Ist die Servermigration zwischenzeitlich erfolgt?

Kagemaru commented 2 months ago

Hallo @larsUE

Die STLU INT ist gezügelt, aber die Routen laufen noch über APPUiO. Die Routen und die STZH INT werden diese Woche noch gezügelt.