Appuio DKIM Signatur einrichten

[larsUE]

Gemäss Stadt Zürich:

Ich denke nicht, dass das in der Software implementiert werden muss, sondern dass der Appuio Puzzle oder wie auch immer
Server die Möglichkeit haben müsste ausgehende Mails zu signieren.
Konkret wird der Server mxout.appuio.puzzle.ch reportet

Ursprüngliche Nachricht:

Über ein sogenanntes Dmarc reporting sehen wir wer Mails mit dem Absender zuerich.ch z.b. an Google sendet.
Identifiziert haben wir dabe die beiden Server von Appuio oder Puzzle (weis nicht genau wie das zusammenhängt) die Mails mit dem Absender zuerich.ch senden
Evtl. sind es auch noch andere aber das Reporting läuft erst seit kurzem.
Es sind diese hier:

185.79.233.85 [mxout.appuio.puzzle.ch](http://mxout.appuio.puzzle.ch/)> 2a06:c02:1000:1262::85 [mxout.appuio.puzzle.ch](http://mxout.appuio.puzzle.ch/)

Hier habe ich keine weitern Infos.

In meinem Log sehe ich auch Mails mit dem Absender mitwirken@zuerich.ch (Betreff ist z.b. "A new survey in Schipferhof 2027" oder " Neue Antwort auf Umfrage "Kontakt")

Google verschärft die Richtlinien: https://support.google.com/a/answer/81126?hl=de&visit_id=638416011110674418-1675868918&rd=1#zippy=%2Canforderungen-beim-senden-von-mindestens-nachrichten-pro-tag

Aus diesem Grund sollten diese Mails unbedingt signiert werden mit dkim. Dazu braucht es am Ende einen DNS Eintrag bei uns den ich aber nicht machen kann, sondern unser DNS Team.

[larsUE]

@Robin481 klärt mal ab, ob die neuen in-house Umgebung sowieso schon DKIM mitbringt

[Robin481]

Ich habe mal basierend auf diesem Artikel noch ein bisschen erweitert abgeklärt:

Authenticate all messages with DMARC (technically, authenticate all messages with SPF or DKIM aligned with the From domain):
DKIM wird im Moment nicht vom Puzzle Mailserver unterstützt ist aber in Planung. Das Kriterium können wir aber trotzdem via konfigurierter SPF erfüllen da DMARC "valid" ist wenn entweder SPF oder DKIM erfolgreich validiert werden kann. Wir haben dafür interne Guides ist aber hauptsächlich von der Domain Konfiguration abhängig.

Send from a domain with a DMARC policy of at least p=none
Kommt auch auf die Absender Domain an.

Have valid forward and reverse DNS that match each other
Haben wir.

Use the one-click unsubscribe header and an unsubscribe link in the footer
Logischerweise vom Mail Inhalt abhängig. Ist aber auf unserer Infrastruktur sowieso obligatorisch.

Maintain a low spam rate of < 0.1%
Nicht nur ganz einfach unter Kontrolle zu halten aber natürlich das Ziel 😁

Encrypt your email (technically, require TLS)
Haben wir.

[larsUE]

@Robin481 @Kagemaru Ist die Servermigration zwischenzeitlich erfolgt?

[Kagemaru]

Hallo @larsUE

Die STLU INT ist gezügelt, aber die Routen laufen noch über APPUiO. Die Routen und die STZH INT werden diese Woche noch gezügelt.