[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Exim, DKIM, mailing lists

>>>>> Eugene Berdnikov <bd4@protva.ru> writes:
>>>>> On Wed, Oct 04, 2017 at 05:25:26PM +0000, Ivan Shmakov wrote:
>>>>> Eugene Berdnikov <bd4@protva.ru> writes: >

 >>> По моему скромному мнению, для рассылок следует ограничиться
 >>> подписью заголовков From, To, Cc, Date и Message-Id, плюс,
 >>> возможно, Reply-To, In-Reply-To и References.

 >> Задача определения, идет ли письмо в рассылку или нет, не кажется
 >> мне тривиальной.

 > Ну и решать её незачем.  Просто не нужно тянуть в подпись разный
 > мусор, тогда везде будет меньше проблем, в том числе в рассылках.

	«Мусор» не нужно тянуть в заголовок вовсе.  Вот только не
	уверен, что это относится к, e. g., List-*.

 >>> При этом не следует подписывать тело (body).

 >> Прошу прощения?  Другими словами, предоставить злоумышленнику
 >> возможность отправить условный «$$$ make money fast $$$» с моим
 >> заголовком и /действительной/ подписью моего MTA?

 > Злоумышленник будет больше озадачен тем, как подделать обратный адрес
 > на транспортном уровне, т. е. в envelope_from.  Потому как MTA именно
 > его обычно проверяют — применяют SPF, грейлистинг и т. д.

	А в чем собственно проблема?  Вот как раз год назад стал я
	получать нежелательную корреспонденцию со всяческих
	cameraforme.ru, network-asp.ru, lambdafsu.ru, …, school38.bid,
	etc. — со вполне себе действительными SPF.  И, к слову, DKIM. [1]

[1] news:87vax8xfdm.fsf@violet.siamics.net
    SPF? DKIM? spammers can do them too // news:comp.mail.misc

 > А те, кто ведётся на «make money fast», они не только про DKIM ничего
 > не слышали, они вообще не догадываются, что в письме может быть
 > какая-то ложь. :)

	Разве это важно?  Если десять пользователей узла отметят письма
	с @abuse.example.invalid как spam, то можно надеяться, что
	автоклассификатор отметит корреспонденцию с того же домена
	следующим ста самостоятельно.

	Другое дело, что узлам с тремя пользователями (или же без
	работающих автоклассификаторов) извлечь пользу из DKIM уже
	ощутимо сложнее.  Или?

[…]

 >> Если рассылка вносит сколь угодно существенные изменения, я так
 >> думаю, ее администратор уже вполне может взять на себя
 >> ответственность за распространение пересылаемых сообщений и
 >> настроить их подписывание ключом своего узла.

 > Достаточно просто снести нахрен все заголовки DKIM из входящего
 > письма перед форвардом в рассылку.

	Есть подозрение, что отсутствие DKIM-подписей может идти вразрез
	с рекомендациями некоторых популярных почтовых служб.  А значит
	такое поведение чревато массовым попаданием сообщений в Spam.
	(Из-за чего я и озадачился поддержкой DKIM, IIRC.)

	А значит необходимо либо сохранять исходную подпись (что, в свою
	очередь, предполагает достаточно консервативный подход к правке
	транзитных сообщений), либо озаботиться созданием собственной
	подписи (и со спокойной совестью добавлять [LIST] в Subject:,
	«unsubscribe» в тело, не говоря уже о рекламе…)

 > Но мы ведь сейчас обсуждаем что делать если админ шлюза даже этим не
 > озаботился.

	В свое время, администраторы рассылки по SWI Prolog не
	справились с DKIM.  В итоге, оная стала «группой Google.»

-- 
FSF associate member #7257  np. Absolution — Makkon   7D17 4A59 6A21 3D97 6DDB
Reply to: