Názory k článku DKIM podpisy pro důveryhodnější e-mail

Bohuzel, nekdy mi take prijde SPAM a ma SPF i DKIM oboje validni. Jenze to ma odesilatel trojskeho kone v kompu, pres ktery utocnik rozesila SPAM. Obycejne klasicke padelani a vydavani se za nekoho jineho je ale diky SPF a DKIM mnohem obtiznejsi, zbyva jen hacknout ten komp a vzdalene jej nejakym bootnetem ovladat.... co u nekterych BFU neni bohuzel problem....

Ono se jede i to, že se jen ukradnou autorizační údaje z Outlooku/Thun­derbirda a pak pomocí nich valí z několika míst spamy přes ten správný SMTP server s ověřením. Zrovna včera jsem propleskával takového neštastníka. Nečím se mu vyžraly autorizační údaje a pak pomocí nich přes správný SMTP daného uživatele (takže jak bylo znmíněno, tak SPF a DKIM v pořádku) z Ukrajiny, Azerbajdžánu a dalších jelo rozesílání nějakého svinsta (SPAMu ne, posílalo to nějaký SCR a Eset a další na něj ani nepípl, takže asi nějaký nový downloader bordelu).

co delat, kdyz spam chodi z validni domeny vcetne DKIM a SPF? Poslednich nekolik tydnu me chodi takovyto cesky SPAM pravidelne.
MA vzdy stejnou strukturu, kdy emal adresa je nahodne vygenereovane jmeno s propojenym cislem. Napriklad vasil_vavra_13_02­.86@shishicai­i.com. Domena ve validni, vsechno formalne v poradku, ale patri nejakemu proxy registratoru v Paname. Co me ale nejvice prekvapuje, ze vsechny domeny jsou na adresach 95.140.38.0/24 vctne serveru, ze kterych se to rozesila. Adresy patri nejakemu virtualnimu cloudu v Madarsku a prekvapive nejsou na prakticky zanem blacklistu.
Kazda domena je pouzita pouze jedinkrat, priste to prijde z jine podobne generovane jako lorem ipsum.
Rozesilatel ma evidentne jaky extra laciny pristup na registraci domen, kdyz kazdou pouzeje pouze 1x
Ten spam je jeden jako druhy, az na nahodne chyby na ztizeni detekce. Nadpis, linkovany obrazek a na konci ruzne komolenym "odhlasuji se z nabidky ubytovani"

Na serveru jsem blouknul cely rozsah pouzivanych adres, ale riskuji tim, ze tam hostuje i nejaky regulerni zakaznik co posila regulerni postu.

pardon za preklepy, specham. Mam jich tam moc

Stopa ale konci v Paname na proxy registratoru domeny. Zkuzte to.

Hlásit cokoliv na trafiku obecního blba Němce nemá smysl. Soudruzi mají důležitější věci na starosti, např. chránit politiky před zvědavými daňovými poplatníky nebo zloděje před obětmi jejich trestné činnosti.

spamassassin? Nahadzat to do sa-learn a rozumne nastavit thresholdy. Spravy s X-Spam-Flag: YES rovno dorucovat do Maildir/.SPAM

Ano, toho mi také chodily tuny do doby, než jsem ten rozsah zablokoval.

Resim jeden zásadní problem

U domény svého zákazníka mám nastaven spf record, emaily podepisují Dkim a když poslu email ze sveho webserveru na 5 různých emailových adres pod doménou @gmail.com tak vždy skončí ve spamu

Nevím co stím mám dělat,IP serveru ze ktereho se maily odesílají nikdy nebyla na internetu,dokonce IP rotují .....IP nejsou na žádném blacklistu .....když se mrknu do hlaviček z gmailu.....vidím ze google respektuje spf a dkim (spf=pass , dkim=pass) a stejně email zkonci ve spamu....

Kontaktovat google jsem zkoušel ale ti mi nic kloudneho neřekli....

Jestli někdo resite podobný problém nebo víte jak to vyresit prosím o pomoc

Moc díky

Mijo

Blokovali mě na základě recesistického user-agenta obsahujícího string "Dastych". Zkus si nastavit UA někoho komu to chodí.

Který DNS server je tak hloupě omezený?

Ano, zmiňované omezení na TXT/SPF záznam je pravdivé (RFC 1035 sekce 3.3). Důvod je prostý, textový řetězec obsahuje na začátku 1bajtovou délku. Nicméně TXT záznam může obsahovat libovolný počet takových textových řetězců (s omezením na celkovou délku dat záznamu 2^16 bajtů).

Většina DNS serverů toto omezení dodržuje, ale například v Knot DNS plánujeme zavést automatické rozsekání delších textových řetězců při vstupu ze zónového souboru. Není to sice dokonalé řešení problému, ale někteří uživatelé po tom volají.

Opravdu je dobrý nápad distribuovat DKIM skrze DNS? Není to další pomůcka pro zesílení DDoS útoků?

je to tak ako na wikipedii. Podobne to komentuje aj D.J.Bernstein vo svojom djbdns:

When are TCP queries sent?

If you're in one of the following situations, you need to configure your DNS server to answer TCP queries:
1. You want to publish record sets larger than 512 bytes. (This is almost always a mistake.)
2. You want to allow outgoing zone transfers, for example to a third-party server.
3. A parent server refuses to delegate a name to you until you set up TCP service.

If you aren't in any of those situations, you have no need to provide TCP service, and you should not set it up. DNS-over-TCP is much slower than DNS-over-UDP and is inherently much more vulnerable to denial-of-service attacks. (This applies to BIND too.)

K tomu sa da doplnit este DNSSEC

A ne https://tools.ietf.org/html/rfc4398? Zpetna kompatibilita?

"pro zavedení není potřeba doplňovat pro nový RR podporu v nejrůznějších webových rozhraních pro editaci DNS"

To je doufam vtip :) Prece kdyz mame specialni typ zaznamu pro certifikaty, ktery umoznuje ulozeni az 64 KB, tak proc to davat do TXT? Neni to opras? Ale nejaky duvod to musi mit, RFC4871 je o vic nez rok starsi nez RFC4398.

Pokud jste jeste nevidel prakticke pouziti CERT zaznamu, pak doporucuji podivat se na http://www.directtrust.org/. Pokud mate v USA lekarskou praxi a nejste schopen vystavit svoje S/MIME certifikaty pres CERT RR (a nebo LDAP), pak nemate narok na urcity typ statni podpory, protoze neumite komunikovat elektronicky.

Jen bych doplnil, že s DKIM umí dobře pracovat i Amavis, není potřeba další software.

Nějak mi připadá zbytečné nasazovat najednou jak DKIM, tak SPF. Pokud mail server podepisuje zprávy pomocí DKIM, tak tím pádem je i autorizuje a je jasné, že pocházejí ze známého/pověřeného serveru a lze se tím vyhnout mnoha nevýhodám SPF. Proti SPAMu DKIM ani SPF moc nepomůže (teda na straně gmailu mi kdysi pomohlo, aby zprávy nebral jako spam), dohledatelnost oprávněného zdroje (odesílacího serveru) je s DKIM realizovatelné stejně jako se SPF.

DKIM nezaridi, ze mailserver mail vubec neprijme. Nejdriv ho musi prijmout, overit podpis a pak jej teprve muze pripadne zahodit, coz znamena, ze uz spotreboval spoustu prostredku a zcela zbytecne.

DKIM resi pouze to, ze uzivatele nejsou schopni/ochotni podepisovat svoje maily. Zaroven se da (hypoteticky) predpokladat, ze uzivatele nejak autorizoval ten, kdo mail podepsal. Ma to smysl u firemnich mailu, protistrana muze predpokladat, ze mail skutecne odeslal majitel domeny (to prozmenu vubec neresi SPF).

V boji proti spamu je SPF radove lepsi nastroj. Naopak, pokud budu chtit MTA DOSnout, poslu na nej hromady mailu z domen, ktery DKIM specifikujou => bude muset kazdej ten mail zvlast prepocitat a bude jich stacit radove min. Pokud mu bude jedno odkud ty maily prisly == nepouzije kuprikladu SPF.

Jenže to je pořád něco za něco. SPF svaluje jakoukoliv zodpovědnost za doručení a hlavně obsah mailu na server, který to přeposílá. Bez SRS se mail nemusí dostat ke konečnému příjemci, se SRS (pominu-li fakt, že pro SRS neexistují všude distribuční balíčky, což může přinášet bezpečností problémy) může být za případné SPAMování potrestaný přeposílací server.

DKIM zařídí, že email byl původně odeslaný autorizovaným serverem. Co se s ním děje pak už je zodpovědností dalších osob nebo serverů.

Když pak hledám kompromis, tak díky DKIM může protistrana alespoň zjistit, že mail "vzniknul" na serveru, který neslouží pouze jako relay pro spammery.

Prostě mail server nějakým způsobem dostane e-mail, a ten má svým jménem doručit
Právě. Pak nastane situace, kdy uživatel toho poštovního serveru nastaví přeposílání na třeba gmail. Pokud můj server nepozná, že nějaké zprávy jsou spamy a přepošle to dám a gmail to pozná, pak za to může být potrestaný můj server - kvůli SPF bude jako odesilatel uvedený účet na mém serveru a ne původní odesilatel zprávy a je pak na konečném serveru, jak se zachová.

Což je nepochybně užitečná informace, nicméně dnešní problém se spamem není v tom, kde ty e-maily vznikají, ale kdo je rozesílá.
No i zde může mít odesilatel platný SPF záznam. To je podobný problém jako s blacklisty. Můžu sice efektivně odmítat zprávy od blacklistovaných serverů, ale můžu přijít i o užitečné maily. Už se mi stalo, že nějaký útočník zneužíval účet na mnou spravovaném serveru. Je sice hezké, že si toho po nějaké chvíli člověk všimne a účet zablokuje, ale to se děje v mnohem větším měřítku a ta chvíle mezi nabouráním do účtu a jeho zablokováním poslouží k zaslání mnoha zpráv.

Mimochodem tomu, aby někdo (buď server nebo človek) přeposlal email tisícům dalších lidé z principu nezabrání ani SPF, ani DKIM. Vtip je v tom, jakým způsobem to ten někdo přeposílá.

pokial viem, tak amavis riesi len overovanie dkim, sam nepodpisuje ked cez neho prechada. Opendkim (po starom sa tusim volal dkim-filter) riesi podpisovanie mailov pre domeny ku ktorym ma key.

Posledny cas pozorujem ze plno MTA sa snazi podpisovat DKIM, v MIME sa odkazuju na selector "default" ale nemaju TXT zaznam default._doma­inkey.domain. Su to desiatky domen u roznych ISP. Vsetky pouzivaju ten isty selector, ako keby ich konfiguroval jeden a ten isty clovek a uplne sa vyprdol na DNS

Umí podepisovat, sám ho tak mám nastavený.

"Používá k tomu principy elektronického podpisu, jehož důvěryhodnost se zajišťuje protokolem DNS."

Ahaaa, od te doby co jsou podpisy jistene pomoci DNS, jsou daleko podpisovejsi ...

A nějaká relevantní připomínka by nebyla?