Eigene ARC-Message-Signature wird bei eingehenden Nachrichten eingefügt

  • Mir ist aufgefallen, dass Rspamd kürzlich (Version 2.4) die ARC-Message-Signature nicht mehr bei ausgehenden Nachrichten einfügt. Stattdessen erfolgt das Hinzufügen bei allen eingehenden Nachrichten. Auch prüft Rspamd sich selbst. Woran kann es liegen? An meiner Mail-Konfiguration hat sich nichts geändert. Es muss am Update liegen. Die Changelogs der Rspamd Release lässt auch kein Rückschluss auf Änderungen zu.

  • Mir ist aufgefallen, dass Rspamd kürzlich (Version 2.4) die ARC-Message-Signature nicht mehr bei ausgehenden Nachrichten einfügt. Stattdessen erfolgt das Hinzufügen bei allen eingehenden Nachrichten.

    Das liegt an der korrekten Umsetzung von RFC8617, vergleiche Abschnitt 5 oder auch hier auf Folie 9 (ARC = Authenticated Received Chain).

    Quote

    ARC-enabled Internet Mail Handlers generally act as both ARC Validators (when receiving messages) and ARC Sealers (when sending messages onward, not originated locally).

  • Mir erschließt sich der Sinn nicht, bei DKIM signiert sich der Mailserver auch nicht selbst und prüft im Anschluss sich selbst. Damit wäre das Ganze Konzept hinfällig. Ferner scheint es keine kürzliche Änderung zu sein, warum wurde dies erst jetzt in Rspamd geändert?

  • Das Konzept wäre dadurch keinesfalls hinfällig (und DKIM und ARC sind nicht das Gleiche). Sofern man sauber definiert, welche IP-Adressen/Domänen als Einheit bzw "zur/m Rspamd-Instanz/-Cluster gehörend" anzusehen sind, erfolgt auch keine unnötige ARC-Signierung. Funktioniert hier dank "Whitelists" mit internen Statusmeldungen von Cron, Monit, Tenshi und Co. einwandfrei.

    Und die Änderung, welche irgendwann in einem Bug-Report kurz diskutiert wurde, wenn ich mich recht erinnere, erfolgte schlichtweg aus dem Grund, weil das ursprüngliche Verhalten eben nicht RFC-konform war.

    Einige Definitionen in den Konfigurationsdateien haben sich in der Vergangenheit tatsächlich deutlich geändert, so dass es sich empfiehlt, automatische Updates zu deaktivieren und vor einem Wechsel ein zeitversetztes, explizites Review durchzuführen (und neben der Mailingliste unbedingt aktuelle Tickets im Auge zu behalten).