<div dir="ltr">On Fri, Aug 7, 2015 at 2:57 AM, Reindl Harald <span dir="ltr"><<a href="mailto:h.reindl@thelounge.net" target="_blank">h.reindl@thelounge.net</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
Am 07.08.2015 um 01:25 schrieb Heiko Richter:<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
</span><span class="">So ISC: please fix your list servers, let them rewrite the From headers!<br>
</span></blockquote>
<br>
please try to understand the topic before blaming!<br>
<a href="http://wiki.list.org/DEV/DMARC" rel="noreferrer" target="_blank">http://wiki.list.org/DEV/DMARC</a><br>
<br>
* SPF is about envelopes and *never* from-headers<br>
* the envelope is @<a href="http://lists.isc.org" rel="noreferrer" target="_blank">lists.isc.org</a><br>
<br></blockquote><div><br></div><div>...but DMARC is about mapping the domain in the "From" header to the domain authenticated in SPF or DKIM.  From RFC7489:<br><br>"Identifier Alignment:  When the domain in the RFC5322.From address<br>      matches a domain validated by SPF or DKIM (or both), it has<br>      Identifier Alignment."<br><br>and<br><br>"DMARC authenticates use of the RFC5322.From domain by requiring that<br>   it match (be aligned with) an Authenticated Identifier."<br><br>See also:<br><a href="https://dmarc.org/wiki/FAQ#What_is_the_difference_between_the_.22Mail_From.22_and_.22From_Header.22.2C_aren.27t_they_the_same.3F">https://dmarc.org/wiki/FAQ#What_is_the_difference_between_the_.22Mail_From.22_and_.22From_Header.22.2C_aren.27t_they_the_same.3F</a><br>where it states:<br><br>"DMARC protects the domain name of the RFC5322:From field against spoofing."<br><br>Here are the headers from one message sent to this list:<br><br>spf=pass (<a href="http://google.com">google.com</a>: best guess record for domain of <a href="mailto:bind-users-bounces@lists.isc.org">bind-users-bounces@lists.isc.org</a> designates 2001:4f8:0:2::23 as permitted sender) smtp.mail=<a href="mailto:bind-users-bounces@lists.isc.org">bind-users-bounces@lists.isc.org</a>;<br>       dmarc=fail (p=REJECT dis=NONE) header.from=<a href="http://heikorichter.name">heikorichter.name</a><br><br></div><div>SPF passes, but DMARC fails because the domain in the "From" header (<a href="http://heikorichter.name">heikorichter.name</a>) doesn't match the domain authenticated for SPF (<a href="http://lists.isc.org">lists.isc.org</a>).  And the REJECT policy makes the handling of this more severe by a receiving MTA that implements DMARC.<br><br>The link referenced above:<br><a href="http://wiki.list.org/DEV/DMARC" rel="noreferrer" target="_blank">http://wiki.list.org/DEV/DMARC</a><br></div><div>indicates that mailman (v 2.1.18 and greater) has a setting (dmarc_moderation_action) to munge the From header when the sender's DMARC policy is set to REJECT or QUARANTINE, but leave it in tact otherwise.<br><br></div><div>This is among the recommended solutions in:<a href="https://dmarc.org/wiki/FAQ#I_operate_a_mailing_list_and_I_want_to_interoperate_with_DMARC.2C_what_should_I_do.3F">https://dmarc.org/wiki/FAQ#I_operate_a_mailing_list_and_I_want_to_interoperate_with_DMARC.2C_what_should_I_do.3F</a><br><br></div><div>Casey<br></div></div></div></div>