Vlákno názorů k článku DKIM podpisy pro důveryhodnější e-mail od vasek - Jen bych doplnil, že s DKIM umí dobře...

  • Článek je starý, nové názory již nelze přidávat.
  • 17. 4. 2015 21:45

    vasek (neregistrovaný)

    Jen bych doplnil, že s DKIM umí dobře pracovat i Amavis, není potřeba další software.

    Nějak mi připadá zbytečné nasazovat najednou jak DKIM, tak SPF. Pokud mail server podepisuje zprávy pomocí DKIM, tak tím pádem je i autorizuje a je jasné, že pocházejí ze známého/pověřeného serveru a lze se tím vyhnout mnoha nevýhodám SPF. Proti SPAMu DKIM ani SPF moc nepomůže (teda na straně gmailu mi kdysi pomohlo, aby zprávy nebral jako spam), dohledatelnost oprávněného zdroje (odesílacího serveru) je s DKIM realizovatelné stejně jako se SPF.

  • 17. 4. 2015 22:09

    j (neregistrovaný)

    DKIM nezaridi, ze mailserver mail vubec neprijme. Nejdriv ho musi prijmout, overit podpis a pak jej teprve muze pripadne zahodit, coz znamena, ze uz spotreboval spoustu prostredku a zcela zbytecne.

    DKIM resi pouze to, ze uzivatele nejsou schopni/ochotni podepisovat svoje maily. Zaroven se da (hypoteticky) predpokladat, ze uzivatele nejak autorizoval ten, kdo mail podepsal. Ma to smysl u firemnich mailu, protistrana muze predpokladat, ze mail skutecne odeslal majitel domeny (to prozmenu vubec neresi SPF).

    V boji proti spamu je SPF radove lepsi nastroj. Naopak, pokud budu chtit MTA DOSnout, poslu na nej hromady mailu z domen, ktery DKIM specifikujou => bude muset kazdej ten mail zvlast prepocitat a bude jich stacit radove min. Pokud mu bude jedno odkud ty maily prisly == nepouzije kuprikladu SPF.

  • 18. 4. 2015 8:28

    Filip Jirsák
    Stříbrný podporovatel

    S DKIM nezjistíte oprávněnost odesílacího serveru, ale pouze autora zprávy. Oprávněnost odesílacího serveru zjistíte právě přes SPF.

    Například někdo může poslat e-mailem článek pár svým známým, o kterých ví, že je to bude zajímat. Google ten e-mail podepíše DKIM podpisem. Já budu jeden z těch známých a usmyslím si, že je to tak důležitá článek, že o něm musí vědět svět, a rozešlu ho na tisíce e-mailů. DKIM na těch e-mailech bude pořád sedět a bude odkazovat na toho původního odesílatele, přitom tím lumpem, který to rozeslal, jsem já. Ono to, že SPF brání chybně udělanému přeposílání, má své důvody.

  • 18. 4. 2015 15:15

    vasek (neregistrovaný)

    Jenže to je pořád něco za něco. SPF svaluje jakoukoliv zodpovědnost za doručení a hlavně obsah mailu na server, který to přeposílá. Bez SRS se mail nemusí dostat ke konečnému příjemci, se SRS (pominu-li fakt, že pro SRS neexistují všude distribuční balíčky, což může přinášet bezpečností problémy) může být za případné SPAMování potrestaný přeposílací server.

    DKIM zařídí, že email byl původně odeslaný autorizovaným serverem. Co se s ním děje pak už je zodpovědností dalších osob nebo serverů.

    Když pak hledám kompromis, tak díky DKIM může protistrana alespoň zjistit, že mail "vzniknul" na serveru, který neslouží pouze jako relay pro spammery.

  • 18. 4. 2015 15:51

    Filip Jirsák
    Stříbrný podporovatel

    SPF svaluje jakoukoliv zodpovědnost za doručení a hlavně obsah mailu na server, který to přeposílá.
    Ani ne tak SPF, jako SMTP. A nejde jen o přeposílání. Prostě mail server nějakým způsobem dostane e-mail, a ten má svým jménem doručit. Pokud se mu to nepodaří, měl by vědět, odkud se u něj ten e-mail vzal, a ideálně stejnou cestou oznámit neúspěch při doručování.

    DKIM zařídí, že email byl původně odeslaný autorizovaným serverem.
    Což je nepochybně užitečná informace, nicméně dnešní problém se spamem není v tom, kde ty e-maily vznikají, ale kdo je rozesílá.

    Mimochodem tomu, aby někdo (buď server nebo človek) přeposlal email tisícům dalších lidé z principu nezabrání ani SPF, ani DKIM.
    Přeposlání nezabrání opravdu nic, ale SPF dokáže ukázat na toho, kdo je za to rozeslání e-mailu zodpovědný.

  • 18. 4. 2015 16:51

    vasek (neregistrovaný)

    Prostě mail server nějakým způsobem dostane e-mail, a ten má svým jménem doručit
    Právě. Pak nastane situace, kdy uživatel toho poštovního serveru nastaví přeposílání na třeba gmail. Pokud můj server nepozná, že nějaké zprávy jsou spamy a přepošle to dám a gmail to pozná, pak za to může být potrestaný můj server - kvůli SPF bude jako odesilatel uvedený účet na mém serveru a ne původní odesilatel zprávy a je pak na konečném serveru, jak se zachová.

    Což je nepochybně užitečná informace, nicméně dnešní problém se spamem není v tom, kde ty e-maily vznikají, ale kdo je rozesílá.
    No i zde může mít odesilatel platný SPF záznam. To je podobný problém jako s blacklisty. Můžu sice efektivně odmítat zprávy od blacklistovaných serverů, ale můžu přijít i o užitečné maily. Už se mi stalo, že nějaký útočník zneužíval účet na mnou spravovaném serveru. Je sice hezké, že si toho po nějaké chvíli člověk všimne a účet zablokuje, ale to se děje v mnohem větším měřítku a ta chvíle mezi nabouráním do účtu a jeho zablokováním poslouží k zaslání mnoha zpráv.

  • 18. 4. 2015 17:43

    Filip Jirsák
    Stříbrný podporovatel

    Pokud můj server nepozná, že nějaké zprávy jsou spamy a přepošle to dám a gmail to pozná, pak za to může být potrestaný můj server - kvůli SPF bude jako odesilatel uvedený účet na mém serveru a ne původní odesilatel zprávy a je pak na konečném serveru, jak se zachová.
    SPF v tomhle nehraje moc velkou roli, protože cílový server hlavně zná IP adresu vašeho serveru, takže váš server může potrestat tak jako tak.

    Nejlepší by bylo, kdyby existovaly standardní a používané hlavičky, do kterých by se zapisovaly údaje o přeposlání. Cílový server (třeba ten GMail) by se pak mohl řídit i tím, od koho ten e-mail k přeposlání dostal. DKIM (nebo i SPF) by pak sloužilo k ověření toho, zda ten záznam o přeposlání vložil někdo důvěryhodný.

    No i zde může mít odesilatel platný SPF záznam.
    No ale v tom případě jsme vyhráli. Protože přesně víme, na koho si došlápnout - a pokud to nepomůže, máme v DNS pěkně vyjmenované servery, které jsou vážnými adepty na blacklist (samozřejmě to blacklistování je potřeba dělat s rozmyslem, kdyby spamoval můj server a někdo zabanoval všechny servery, které mám uvedené v SPF, zabanuje i GMail).

  • 19. 4. 2015 4:11

    vasek (neregistrovaný)

    SPF v tomhle nehraje moc velkou roli, protože cílový server hlavně zná IP adresu vašeho serveru, takže váš server může potrestat tak jako tak.
    Už je to delší dobu, ale někde jsem četl o reálném případu, kdy v tom SPF hrálo velkou roli.

  • 18. 4. 2015 15:21

    vasek (neregistrovaný)

    Mimochodem tomu, aby někdo (buď server nebo človek) přeposlal email tisícům dalších lidé z principu nezabrání ani SPF, ani DKIM. Vtip je v tom, jakým způsobem to ten někdo přeposílá.

  • 18. 4. 2015 21:24

    lol (neregistrovaný)

    pokial viem, tak amavis riesi len overovanie dkim, sam nepodpisuje ked cez neho prechada. Opendkim (po starom sa tusim volal dkim-filter) riesi podpisovanie mailov pre domeny ku ktorym ma key.

    Posledny cas pozorujem ze plno MTA sa snazi podpisovat DKIM, v MIME sa odkazuju na selector "default" ale nemaju TXT zaznam default._doma­inkey.domain. Su to desiatky domen u roznych ISP. Vsetky pouzivaju ten isty selector, ako keby ich konfiguroval jeden a ten isty clovek a uplne sa vyprdol na DNS

  • 19. 4. 2015 4:05

    vasek (neregistrovaný)

    Umí podepisovat, sám ho tak mám nastavený.