Der CCCHH betreibt eine Reihe von Mailinglisten, um den Austausch und die Kommunikation in Projekten und darüber hinaus zu fördern. Eine Übersicht über öffentliche Mailinglisten samt der Möglichkeit, die zu abonnieren, findet ihr auf https://lists.hamburg.ccc.de.

Ihr wollt auf dem Laufenden bleiben, was im Hamburger Chaos so passiert? Ihr möchtet mit Menschen im Chaos diskutieren? Dann ist talk@lists.hamburg.ccc.de die richtige Liste für euch. Auf https://lists.hamburg.ccc.de/postorius/lists/talk.lists.hamburg.ccc.de/ habt ihr die Möglichkeit, die Liste zu abonnieren, oder schreibt eine Mail an talk-subscribe@lists.hamburg.ccc.de.

Unter https://lists.hamburg.ccc.de kannst du auch deine Mitgliedschaft auf den Mailinglisten verwalten. TODO: Mehr Informationen ergänzen, z.B. wie ein Account erstellt wird.

Wenn ihr Eigentümer von einer oder mehreren Mailinglisten auf lists.hamburg.ccc.de seid, dann könnt ihr die Konfiguration euere Mailingliste selbst anpassen. Hier ein paar Hinweise, welche Einstellungen sich bewährt haben.

Meldet euch mit der Email-Adresse an, die als Eigentümer der Mailingliste hinterlegt ist. Dann könnt ihr in der Übersicht die Mailingliste auswählen, die ihr bearbeiten möchtet. Ihr findet dazu im Menü die Einträge “Vorlagen”, “Einstellungen”, “Massenoperationen”, “Sperrliste” sowie “Header-Filter”. Wir gehen hier nicht auf alle Möglichkeiten ein; lest dazu gerne die Doku für Mailman 3 bzw. die Weboberfläche Postorius.

Unter Einstellungen/Mitgliederpolitik könnt ihr festlegen, welche Schritte ein neuer Abonnent durchlaufen muss, um aufgenommen zu werden. Für Listen, die quasi öffentlich sind, passt in der Regel die Option Bestätigen: der Abonnent muss seine Email-Adresse bestätigen, dann ist er Abonnent.

Wenn ihr etwas mehr Kontrolle haben möchtet, wer Abonnent wird, benutzt die Option Bestätigen, dann moderieren. Dann müssen die Moderatoren das Abo noch freigeben, nachdem die Email-Adresse bestätigt wurde.

Bitte verwendet auf keinen Fall die Option “Öffnen”, die ist nach DSGVO illegal (und auch schlechter Stil), denn dann können beliebige Menschen einfach eine Email-Adresse eintragen und die ist dann abonniert (also kein Double-Opt-In).

Mailman leitet Posts der Miglieder der Liste weiter, und es sendet selbst Emails, z. B. als Antwort auf eine Abo-Anfrage, oder wenn ein Post in der Moderations-Queue hängt. Diese Emails werden aus Vorlagen generiert, die ihr anpassen könnt, über den Menüpunkt Vorlagen.

Viele Listen verwenden einen Footer, der erklärt, dass es sich um eine Mail von einer Mailingliste handelt, und wie man das Abo abbestellen kann: [list:member:regular:footer].

Wenn Abonnenten zur Bestätigung ihres Abo aufgerufen werden, kann ein Hinweis auf die Datenschutzbestimmungen sinnvoll sein; [list:user:action:subcribe]

Eine vollständige Beschreibung findet sich in der Doku zu Templates.

Wenn ihr eine typische Diskussions-Liste habt, dann ist es in der Regel gut, wenn nur Listenmitglieder auf die Liste posten können. Das verhindert Spam sehr zuverlässig. Ihr konfiguriert das unter Einstellungen/Nachrichten-Akzeptanz.

Für eine Diskussionsliste bietet es sich an, die beiden Optionen Standard-Aktion, wenn ein Mitglied an die Liste sendet auf Standard-Verarbeitung und Standard-Aktion, wenn ein Nichtmitglied an die Liste sendet auf Moderieren zu setzen. Damit können die Abonnenten problemlos miteinander reden, und nicht-Abonnenten-Posts müssen durch einen Moderator freigegeben werden. Alternativ kann das auch auf Verwerfen (ohne Benachrichtigung) gesetzt werden, wenn das Spam-Aufkommen zu hoch ist. Dann könnten aber Abonnenten, die von der falschen Absenderadresse aus posten, frustriert sein, weil ihre Mails einfach verschwinden.

Wenn ihr die Liste ausschließlich für das Aussenden von Infos verwenden wollt, also keine Antworten an die Liste zulassen wollt, dann stellt beide Optionen Standard-Aktion, wenn ein Mitglied an die Liste sendet und Standard-Aktion, wenn ein Nichtmitglied an die Liste sendet auf Zurückweisen (mit Benachrichtigung).

Damit die berechtigten Menschen ein Announcement schicken können, müsst ihr die Menschen unter Benutzer/Moderatoren eintragen.

Wenn ihr die Liste benutzt, um z. B. eine Kontaktadresse zur Verfügung zu stellen, dann müsst ihr die Option Standard-Aktion, wenn ein Nichtmitglied an die Liste sendet natürlich auf Standard-Verarbeitung setzen, damit die Mails von beliebigen Menschen angenommen und an die Abonnenten verteilt werden.

lists.hamburg.ccc.de benutzt rspamd, um eingehende Mails auf Spam zu prüfen. Das Ergebnis der Prüfung wird in einer Reihe von Headern festgehalten. Ihr könnt eure Mailingliste so konfigurieren, dass ab einer bestimmten Stufe die Mail in die Moderations-Queue gesteckt wird, oder sogar sang- und klanglos ignoriert wird.

Unter Header-Filter legt ihr dazu einen Filter für den Header x-spam-level mit dem Wert \*{10} und der gewünschten Aktion an. Die 10 im Beispiel legt fest, das die Regel ab einem Spamlevel von 10 greifen soll (zehn Sternchen im Header). Ihr könnt auch mehrere Regeln dieser Form festlegen. Beispiel:

Dadurch werden Mails mit einem Spamlevel von 10 oder höher sofort gelöscht, und Mails mit Spamfilter von 5 bis 9 in die Moderations-Queue geschickt. Nur Mails mit einem Spamlevel unter 5 werden direkt verarbeitet. Die Regeln zur Annahme von Mails von (nicht-)Abonnenten gelten natürlich weiterhin.

DMARC ist ein Verfahren, mit dem Empfänger prüfen können, ob eine Mail tatsächlich vom vorgeblichen Absender stammt. Damit soll das Spoofing von Mails erschwert werden. Leider wird die Überprüfung des Absenders auf Basis des From:-Headers vorgenommen, nicht auf Basis des Envelops-Senders. Das führt dazu, dass Email, die weitergeleitet werden (wie z. B. über eine Mailingliste) plötzlich wie eine Fälschung aussehen (siehe DMARC considered harmful).

Alle großen Email-Provider (gmail, Microsoft, etc.) haben ihre Domains mit einer DMARC-Policy versehen, man kann das Problem als Mailinglistenbetreiber also leider nicht ignorieren. Im schlimmsten Fall werden Abonnenten vom ML-Server von der Liste geworfen, weil sie DMARC-markierte Mails ablehnen. Für den ML-Server ist aber nicht ersichtlich, dass das Problem eigentlich vom Absender der Mail verursacht wird, nicht vom Empfänger. Auch dehalb sollte man eine der Gegenmaßnahmen auswählen.

Mailman kann verschiedene Tricks anwenden, um DMARC-Probleme bei den Empfänger*innen von DMARC-markieren Emails zu verhindern, von “tue nichts” bis “schreibe alle Emails um”. Welches davon für eure Mailingliste am Besten geeignet ist, müsst ihr als Owner selbst entscheiden. Diese Optionen stehen zur Verfügung, siehe Einstellungen/DMARC-Hilfsmaßnahmen/DMARC-Gegenmaßnahme.

• Keine DMARC-Gegenmaßnahme: Der Listenserver ändert an der Mail nichts, sie wird unverändert weitergeleitet. Für Mails von Absendern, für die eine DMARC-Policy Quarantine oder Reject festgelegt wurde, bedeutet das im Zweifelsfall, dass die Mails auf Empfängerseite im Spamfilter landen, oder sogar direkt verworfen werden.
• Ersetze From mit Listen-Adresse: bei Mails, die von DMARC-Domains kommen, wird der Absender (From:-Header) so umgeschrieben, dass die Mail vom Mailinglisten-Server kommt. Also wird z. B. aus From: "Joe Blow" <joe@example.com> die Absenderadresse From: "Joe Blow via test" <test@lists.hamburg.ccc.de>. Damit gilt dann die DMARC-Policy von lists.hamburg.ccc.de, und die Mail sollte bei den Empfängern durchgehen. (Sofern auch alle anderen Prüfungen erfolgreich sind, z. B. SPF und DKIM). Wenn man aber dem ursprünglichen Autor der Mail direkt antworten will (statt an die Liste), geht das nicht, denn man kann die Mailadresse des Autors nicht aus der Mail selbst ersehen.
• Einhüllen der Nachricht: damit wird die eigentliche Mail in eine neue Mail eingebettet, die dann von der Liste kommt. Das macht häufig Schwierigkeiten auf Empfängerseite.
• Nachricht zurückweisen: Die Mail wird direkt bei Einlieferung mit einer Fehlermeldung zurückgewiesen, und geht nicht über die Liste. Der Autor muss dann bei Bedarf die Mail von einer anderen Absenderadresse ohne DMARC senden.
• Nachricht verwerfen: Die Mail wird einfach gelöscht. Der Autor erfährt nichts davon, es ist, als sei sie nie gesendet worden.

Zusättzlich gibt es die Option DMARC bedingungslose Gegenmaßnahme: wenn das angekreuzt ist, werden alle Mails mit der oben festgelegten Gegenmaßnahme behandelt. Ansonsten werden nur solche Mail verändert, die von einem Absender mit DMARC-Policy Quarantine oder Reject kommen.

Wir empfehlen, DMARC-Gegenmaßnahme auf Ersetze From mit Listen-Adresse zu setzen, und DMARC bedingungslose Gegenmaßnahme nicht anzukreuzen.

Weitere Infos findet ihr unter DMARC Mitigations.