Názory k článku
Šestnáct let stará chyba v OpenSSL v Debianu stále ovlivňuje DKIM

The security team at Seznam - a Czech search engine and email provider - did not believe me when I reported this issue. They assume that as they are not actively using that key (beta._domain­key.seznam.cz), that means that it cannot be used to forge emails. This is, of course, not true.

... a tak

Tak asi si nepaltil az cilene reklamy, takze mu neverily

Typicka reakce libovolnyho korporatu. Nareportujes jim bug a jeste z tebe delaji vola. Mnohem ucinejsi je jim to ci ono rovnou sejmout. V tomhle pripade zacit odesilat miliardy spamu podepsanych seznamem. Rek bych ze ze vsech blacklistu sveta uz by se nikdy nedostali.

DKIM neni jedina ochrana, ze? :-) A tam kde to s validaci mysli vazne zkontroluji nejen ten podpis v hlavickach, ale taky SPF. A tam kde tu validaci neresi muzete skodit i dnes bez ohledu na opatreni na vasi strane...

Jinymi slovy v praxi by se tenhle scenar nenaplnil tak, jak si predstavujete.

Ano, podvržený DKIM nestačí na to, projít přes DMARC - to ještě musíte poslat ze stroje, který je uvedený v SPF.
A když se vloudíte do tohoto stroje, nepotřebujete už hackovat DKIM.
DKIM si ovšem může zkontrolovat klient (v Thunderbirdu je na to doplněk), takže to hloupé je, pokud váš server nekontroluje DMARC (resp. striktně nevyžaduje SPF).

15. 5. 2024, 05:30 editováno autorem komentáře

Akorát že vůbec. DMARC specifikuje logický součet DKIM a SPF, nikoli jejich logický součin. Ke splnění podmínek DMARC tedy stačí buď DKIM nebo SPF.

To nevylučuje samostatné kontroly SPF, ale pro DMARC jako takový je zpráva podepsaná DKIM klíčem z domény odesílatele plně validní.