AbcLinuxu:/ Poradna / Linuxová poradna / DKIM - nastaveny v DNS ale bez podpisu v mailu

Štítky: bez, DNS, doména, domény, Internet, mail, mailserver, MTA, podpis, politika, Postfix

Dotaz: DKIM - nastaveny v DNS ale bez podpisu v mailu

20.3.2014 16:41 xts | skóre: 10
DKIM - nastaveny v DNS ale bez podpisu v mailu

Přečteno: 1132×

Odpovědět | Admin

Zdravim,

tohle bude asi rychlovka, ale nikde na internetu to nemuzu najit.

Obcas rozesilam maily pro cca 3 domeny zakazniku. Mam korektne nastaveny DNS, rDNS, SPF.. a chtel bych pridat DKIM. Jenomze to vypada ze maillserver zakaznika nepodporuje DKIM (v mailu od nej v hlavicce neni podpis).

A ted me zajima: co se stane pokud necham zakaznika dopsat do DNS TXT zaznam pro DKIM, ja po nejakym experimentovani dokopu postfix aby pridal hlavicku s DKIM podpisem, ale mailserver jeho poskytovatele to podepisovat nebude? Neuskodim jim nejak? Nebude se ten nepodepsanej mail brat vic jako spam? Tedy konkretne 2 situace:

1, domena xxx (DKIM zaznam v DNS neni), mail je bez DKIM podpisu - tj. domena proste DKIM nepouziva

2, domena xxx (DKIM zaznam v DNS JE), mail je presto bez DKIM pospisu

je mail v [1] i [2] stejne (ne)duveryhodny? ADSP nastavovat nebudu, tj bude defaultne na unknown - tedy by to nemelo nicemu uskodit, dle clanku tady: "unknown – neznámá politika, některé e-maily z domény mohou být podepsané, jiné ne. Tomu, zda jsou dopisy podepsané nebo nepodepsané, nebudeme přikládat žádnou váhu."

Nicmene, podle toho je to cely zbytecny a servery k tomu opravdu neprihlizi?

A to same plati o parametru -t? Nebo to funguje tak ze to nemuze uskodit, ale pokud sedi DKIM podpis v mailu tak ho to akceptuje?

diky za odpovedi

Řešení dotazu:

Komentář #5 (Kriegel, 1 hlasů)
Komentář #1 (Petr Šobáň, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

Řešení 1× (xts (tazatel))

20.3.2014 18:27 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

Nemělo by se nic stát prostě v mailu nebude dkim tak se nebudu ho ani pokoušet ověřovat a stahovat z DNS ten veřejný klíč.

Tak jako GPG prostě není to podepsané tak vůbec nezjištuji jestli GPG veřejný klíč existuje.

Jinak: DKIM – podepisujeme e-maily na serveru kde je to popsáno pro postfix.

21.3.2014 07:40 H0ax | skóre: 36 | blog: Odnikud_nikam
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

Pokud má doména dkim v dns a v mailu není, tak bude mail u příjemce discarded popř. se provede jiná akce nastavená na příjemcově mailserveru. Kdyby se nestalo nic, tak by byl dkim k ničemu a spamy se zfalšovanou doménou by procházely klidně dál.

uid=0(root) gid=0(root) skupiny=0(root)

21.3.2014 08:17 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

bohužel mam zkusenosti ze vzhledem k male rozsirenosti DKIM se opravdu nestane nic. Max ti server přihodí pár bodu do spamassassina, ale na zaklade chybejiciho DKIM ti dneska email snad nikdo nezahodi.

21.3.2014 08:24 H0ax | skóre: 36 | blog: Odnikud_nikam
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

pokud dkim třeba ani necheckujou tzn nemaj třeba opendkim, tak to holt projde no :) nicméně doufam, že se dkim rozšíří a spf umře

uid=0(root) gid=0(root) skupiny=0(root)

Řešení 1× (xts (tazatel))

21.3.2014 11:36 Kriegel
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

V tom pripade by me zajimalo, jaky existujici selector z tech nekonecne mnoha moznosti si ten prijemce vybere a prohlasi, ze ac ho sender publikuje, tak ho nejak zapomnel do zpravy pribalit a tudiz ho prohlasi za invalidni...

A ted vazne. Pokud ve zprave chybi DKIM signatura, tak je to zprava jako kazda jina a na strane prijemce se nevaliduje (neni podle ceho). Pokud obsahuje DKIM header, prijemce muze podle uvedene kombinace SDID a selectoru provest kontrolu a dle vysledku "neco udelat nebo neudelat". Vetsinou pri uspesne validaci priradi zaporne body do celkoveho spam score.

To, cos napsals nedava smysl. DKIM, pokud je ve zprave, rika: "Ja (server) jsem to podepsal, tady mate cestu k verejnemu klici, overte si to, fakt nekecam... (protoze ten, co to tady nastavil, ma i pristup k domene v DNS, coz se predpoklada, ze ten, co to bude pripadne fejkovat, nema)". Vic nic. Zminene ADSP, pokud je specifikovano, oznamuje, jak se k DKIMu stavi sam sender. Pak tu je jeste DMARC, ktery kombinuje DKIM a SPF a navic definuje i akci, kterou by mel recipient provest v pripade invalidni verifikace.

21.3.2014 13:53 H0ax | skóre: 36 | blog: Odnikud_nikam
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

To ano. Nicméně se zbavíš spamů, které cílí na tvou doménu a dkim nemají a ty ho máš a falšujou sendera jako tvou doménu. A těch není zrovna málo.

uid=0(root) gid=0(root) skupiny=0(root)

21.3.2014 14:24 Kriegel
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

Nerozumim...

Jakoze ja, jako prijemce na zaklade toho, ze mi prijde email, kde sender ma mou domenu a nema DKIM, kdyz ja bezne podepisuju, je spam?

Tohle se resi napr. tak, ze ja sam jako administrator vim, z kterych systemu muzu cekat neco, co muze mit mou domenu jako sendera, e.g. autorizovany submission nebo dodatecna pravidla per IP pokud neco takoveho chodi na 25, popr. VPN. Na to netreba kontrolovat zadny DKIM, to vis uz predtim, nez udelas rcpt_to check a pripadne naservirujes 550. Jak uz jsem zminil, pokud neexistuje DKIM header, nema system, ktery by se snazil jakkoliv zjistit, jestli to neco, co mu prislo, ma byt podepsano, nema jak, protoze nevi, kam do DNS se ma podivat.

Problem, ktery popisujes mel byt resen implementaci SPF, nicmene kvuli tomu, jakym zpusobem se posta routuje/neroutuje a neni implementovan prepis obalkove from adresy (SRS), neni SPF rozsireno. DKIM v zdanem pripade neni nahrada SPF, primarne resi jinou vec a lze to provozovat naraz.

21.3.2014 14:45 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

ja sam jako administrator vim, z kterych systemu muzu cekat neco, co muze mit mou domenu jako sendera

Při použití různých přesměrování toto nefunguje. To je přesně důvod, proč vzniklo DKIM, které funguje na kryptografickém základě a nikoliv na základě seznamu IP. Důležité je, který server mail podepsal, nikoliv který server mi ho zrovna doručuje.

Problem, ktery popisujes mel byt resen implementaci SPF

SPF je systém, který trpí právě těmi problémy s přesměrováním, zatímco DKIM jimi netrpí, což je podle mě jeden z hlavních důvodů jeho existence.

DKIM v zdanem pripade neni nahrada SPF

Mě spíš přijde, že DKIM je validní řešení problému, zatímco SPF je od začátku z pohledu reálného mailového provozu nevhodné řešení se nepříjemnými vedlejšími efekty.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

21.3.2014 16:32 Kriegel
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

Při použití různých přesměrování toto nefunguje.

Ano, to jsem zminoval minule.

To je přesně důvod, proč vzniklo DKIM, které funguje na kryptografickém základě a nikoliv na základě seznamu IP. Důležité je, který server mail podepsal, nikoliv který server mi ho zrovna doručuje

Netusim, jestli tohle byl duvod, proc vznikl DKIM, u toho jsem nebyl. Kazdopadne, jak jsem psal minule, SPF se kouka na neco jineho, nez DKIM. Pokud se na to divas tak, ze je dulezite, kdo to podepsal, tak co je dulezite, kdyz to nepodepsal nikdo? Tyhle dve veci se mely doplnovat, ne nahrazovat jedna druhou. Zatimco SPF resi obalku, DKIM resi obsah. Co je mozne v te ktere "stage" je dano povahou SMTP protokolu. Neobhajuju jedno ani druhe, sam pouzivam pouze DKIM, nicmene to, co mi prijde na 25 a ma mou domenu jako sendera, rejectuju hned pred DATAma, protoze vim, ze to je jasny fejk (coz byl pripad zmineny H0axem, v pripade publikace SPF bych dal jasne najevo ostatnim, ze vsechno ode me jde pres ten dany server/servery) -- ano, nejsem korporace s 500k+ mailboxama a heterogennim prostredim ;)

SPF je systém, který trpí právě těmi problémy s přesměrováním, zatímco DKIM jimi netrpí, což je podle mě jeden z hlavních důvodů jeho existence.

Ano, vim. DKIM netrpi tim stejnym, protoze "je jiny". DKIM resi integritu zpravy. Pokud je overeni OK, muzu si byt jisty, ze message je preste takova, jaka byla v momente odchodu (tedy body + ty headers, ze kterych se ta podepsana hash pocita). Naproti tomu SPF uz behem MAIL FROM muze pridat na vahu fakt, ze to prislo z mist, odkud nemelo... To, ze existuje rada sluzeb tretich stran mailujicich s danou domenou, popr. lidi forwardujici to ci o ono je fakt, reseni existuje v podobe SRS, nicmene v praxi je skoro vubec neimplementovano a tim pada cele SPF na hubu.

Mě spíš přijde, že DKIM je validní řešení problému, zatímco SPF je od začátku z pohledu reálného mailového provozu nevhodné řešení se nepříjemnými vedlejšími efekty.

Muze byt, i kdyz v tomto pripade zde zadny realny problem prednesen nebyl. Jen jsem puvodne reagoval na to, ze proces overeni nebyl spravne popsan...

24.3.2014 11:30 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

co mi prijde na 25 a ma mou domenu jako sendera, rejectuju hned pred DATAma, protoze vim, ze to je jasny fejk

Nemám problém takové pravidlo použít pro sebe, který znám důsledky.

Muze byt, i kdyz v tomto pripade zde zadny realny problem prednesen nebyl.

Považoval jsem ho implicitně za zřejmý. Jedná se o možnost ověřit, zda byl e-mail odeslán pomocí k tomu určeného serveru, za pomoci údajů v DNS, a na základě této informace e-mail přijmout, odmítnout či postoupit dalším testům.

Jen jsem puvodne reagoval na to, ze proces overeni nebyl spravne popsan...

Nemám pocit, že bys to nějak moc vylepšil. Původní popis byl možná nepřesný, ale tvůj komentář budí dojem, že nelze u vybraných domén odmítnout/zahodit mail na základě absence DKIM podpisu, a to by byl teprve nesmysl.

Hlavní využití DKIM je takové, že u vybraných domén budou e-maily vždy správně podepsané, jinak je server má považovat za podvržené. Samozřejmě je to komplikovanější oblast, která se nedá shrnout do dvou vět a nesledoval jsem úplně aktuální vývoj.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

24.3.2014 13:37 Kriegel
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

Nemám pocit, že bys to nějak moc vylepšil. Původní popis byl možná nepřesný, ale tvůj komentář budí dojem, že nelze u vybraných domén odmítnout/zahodit mail na základě absence DKIM podpisu, a to by byl teprve nesmysl.

V puvodnim popise sam xtas definuje:

ADSP nastavovat nebudu, tj bude defaultne na unknown - tedy by to nemelo nicemu uskodit, dle clanku tady: "unknown – neznámá politika, některé e-maily z domény mohou být podepsané, jiné ne. Tomu, zda jsou dopisy podepsané nebo nepodepsané, nebudeme přikládat žádnou váhu."

nacez H0ax hlasi:

Pokud má doména dkim v dns a v mailu není, tak bude mail u příjemce discarded popř. se provede jiná akce nastavená na příjemcově mailserveru. Kdyby se nestalo nic, tak by byl dkim k ničemu a spamy se zfalšovanou doménou by procházely klidně dál.

atd.

Takze jsem vychazel z toho, ze xtas nepublikuje politiku (ADSP), mail neni podepsan. Netusim, co presne vybudilo dojem, ze neco "nelze". Lze cokoliv, otazkou zustava, jaky to ma smysl... Puvodni popis se mi zda vic nez jasny a na nej jsem taky reagoval, tedy porad trvam na tom, ze H0axuv post (vyse) neni korektni, protoze by se tak prijemce pripravil o dost velke procento legitimnich zprav, protoze pokud sender nezverejnuje svou politiku, vsechny zpravy bez DKIMu by byly pro prijemce podle H0axe "spatne", nehlede na to, ze jestli je neco ohledne DKIMu v DNS neni jak zjistit (ale to uz bylo popsano predtim). Jinak, jak je to momentalne se stavem ADSP: tady

24.3.2014 13:59 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

Myslím, že tady jde spíš o problém kontextu než korektnosti. Jinak tím aktuálním vývojem jsem neměl ani tak namysli ADSP to historic. Nehledě na to, že to jejich vysvětlení mi přijde úplně pitomé.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

24.3.2014 10:30 xts | skóre: 10
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

tohle by ale melo byt jen pri ADSP=discardable ne? Nebo pripadne prida spam score pokud je ADSP=all, ale pokud ADSP neni nastaveno nebo ADSP=unknown tak by to podle specifikace nemelo mail nejak ovlivnovat...

to co pises je presne to co nechci aby se stalo, podle vseho by se mailservery mely ridit nastavenym ADSP ale informaci je pomerne malo a kazda diskuze vypada jako tahle - pulka lidi napise ze to nevadi a pulka ze to vadi. Takze pokud by mailservery zacaly nepodepsany maily zahazovat nemuzu DKIM vubec pouzivat protoze je pro me v tu chvili nepouzitelny - proto se ptam.

24.3.2014 11:33 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

Samozřejmě, že záleží na nastavené politice. Někteří si to v diskuzi zjednodušují tím, že předpokládají politiku nastavenou tak, aby DKIM mělo patřičný účinek, protože nějaké poradní hlasy pro spamfiltr nepovažují za zásadní use case.

nemuzu DKIM vubec pouzivat protoze je pro me v tu chvili nepouzitelny

Zkus lepší zdůvodnění než je definice kruhem.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

24.3.2014 12:42 xts | skóre: 10
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

to je preklep, misto pouzivat si tam dosad treba nasadit.. ta domena neni moje, jejich mailserver DKIM nepouziva a vypada to ze v dohledny dobe ani nebude.

Takze pokud tim neco ziskam aniz bych jim uskodil tak dobry, pokud by jejich maily zacaly padat do spamu tak to udelat nemuzu.

24.3.2014 12:51 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

Pokud nepoužívají DKIM, tak nemají co mít zveřejněnou DKIM politiku v DNS. To je vše, co k tomu má smysl říct.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

24.3.2014 13:10 xts | skóre: 10
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

autori to vidi jinak, presne s timhle pocitaji:

   dkim=   Outbound Signing Practices for the domain (plain-text;
           REQUIRED).  Possible values are as follows:

           unknown   The domain might sign some or all email.

http://www.rfc-editor.org/rfc/rfc5617.txt

24.3.2014 13:18 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

Hodnotu, které je ekvivalentní nezveřejnění jsem si dovolil ignorovat, protože žádnou konkrétní politiku nepředstavuje. Vidím to tedy úplně stejně jako autoři, kteří zvolili i příhodný název unknown ve smyslu neznámé či nezveřejněné politiky.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

24.3.2014 13:44 xts | skóre: 10
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

jenze to je presne to co potrebuju a co je podstatou dotazu.

Stve me jejich hosting ze DKIM nepodporuje, ale dokud ho sami nenasadej tak s tim proste nehnu. tohle "The domain might sign some or all email" uplne presne sedi.

24.3.2014 10:41 xts | skóre: 10
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

v tohle tak nejak doufam, ale ty informace na webu i v diskuzich se hrozne lisi - viz tady.

Nicmene - pokud by se server nepokousel overovat DKIM pokud nebude v hlavicce mailu, tak to by prece nabouravalo podstatu DKIM - kazdy spam bez DKIM by prosel a kontrolovalo by se to jen u tech korektnich kde by zaznam v hlavicce mailu byl. Takze jestli jsem to spravne pochopil server by mel verejny klic (nebo minimalne jeho existenci) zjistovat vzdy, otazka je jak se pak zachova.

Samozrejme pokud by to fungovalo idealne tak ze to jen snizuje spam score, bylo by to super - tj. server projde mail, najde DKIM v hlavicce, pokud ho uspesne overi tak jde spamscore treba o 3 dolu (samozrejme za predpokladu ze neni nastaveno ADSP nebo je unknown).

Jenze co se stane pokud server najde v DNS verejny klic, ale v mailu nebude? Tedy presne pripad spamu a fake domeny kteremu se DKIM snazi zabranit - bude respeknovat moje nastaveni ADSP, nebo tomu prideli spam score, v nejhorsim pripade rovnou zahodi?

24.3.2014 11:01 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

DKIM cte selector jako TXT zaznam z DNS: $SELECTOR._domainkey.domena.cz.
Jak chces zjistit hodnotu $SELECTOR, kdyz v hlavicce mailu zadna nebude?

24.3.2014 12:38 xts | skóre: 10
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

a jak tedy probiha vyhodnoceni DKIM pokud ho neuvedu v hlavicce mailu, tj. jsem spammer?

priklad: mam domena.com, mam nastaveno treba mail._domainkey.domena.com, a mam nejtvrdsi nastaveni DKIM tj. ADSP=discardable

pak mi spammer posle mail z spam@domena.com, bez DKIM v hlavicce, a tedy vsechny mailsevery ho okamzite prijmou protoze moje nastaveni DKIM v DNS neoveruji?

mej jsem za to, ze pokud nastavim DKIM u svy domeny, nastavim ADSP=discardable rikam vsem ze neoverene maily z me domeny maji zahazovat - ale jak se to dozvi kdyz ta informace je v DNS a tu tedy nezjisti? Mel jsem za to ze na selektoru celkem nezalezi a z DNS se zjistuje jestli mam DKIM nastaveno a pripadne jak.

Jak to samotne overeni DKIM tedy probiha? Co chapu spatne z predchoziho odstavce, resp. jak je to spravne?

24.3.2014 12:55 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

Mícháš dvě věci dohromady. Politika je veřejná, klíč se získává podle selectoru.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

24.3.2014 14:02 xts | skóre: 10
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

takze pokud neuvedu v DNS zadnou politiku, nebo zadam

_domainkey.domena.tld "o=~" (pripadne dalsi parametry)

bude to to co chci?

tedy:

- nepodepsany maily budou proste normalni maily jako byly doted, jakoby domena DKIM nemela

- podepsany maily budou dle selektoru overeny, a tedy bez problemu, na overeny se stejne zadna politika nevztahuje

takhle to mam na svy zkusebni domene (bez politiky) , a gmail hlasi ze je to v poradku overeny.

24.3.2014 15:21 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

Na overene se vztahuji treba pravidla Spamassassinu DKIM_SIGNED, DKIM_VALID, DKIM_VALID_AU, USER_IN_DKIM_WHITELIST, atd.
To posledni ma velkou vahu pravidlech naseho mail serveru, protoze spousta spameru podvrhuje nasi domenu v odesilateli a tudiz jsem ji nemohl whitelistovat jako takovou.

24.3.2014 15:48 xts | skóre: 10
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

ja to myslel jinak - na overene dle DKIM se nevztahuje zadna DKIM politika.

To co pises je presne to co chci ziskat tim overenim. Ale nesmi to poskodit ty neoverene.

24.3.2014 11:34 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: DKIM - nastaveny v DNS ale bez podpisu v mailu

Takze jestli jsem to spravne pochopil server by mel verejny klic (nebo minimalne jeho existenci) zjistovat vzdy

Nesmysl, viz komentář alkoholika. Zjišťuje se politika, nikoliv existence klíče.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Založit nové vlákno • Nahoru

Tiskni Sdílej: