[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: DKIM и списки рассылки

Ivan Shmakov -> debian-russian@lists.debian.org  @ Fri, 06 Oct 2017 20:20:26 +0000:

 >> Хмутро.  Раз уж пошло обсуждение DKIM (и у меня домашняя рассылка,
 >> ага, нарывалась на), не разъяснит ли кто сову?

 >> С DKIM, насколько я понимаю, ситуация сходна с SPF: если домен
 >> утверждает, что он подписывает, то письмо с From: из этого домена
 >> должно быть подписано ключом этого домена.

 > 	Не совсем; что делать в случае отсутствия или недействительности
 > 	DKIM-подписи определяет DMARC (RFC 7489.)  Который, в свою
 > 	очередь, может полагаться на SPF и (или) DKIM.

Ок, "должно", допустим, громко сказано. Факт: если подписи нет или она
не валидна, письмо попадает в спам. Которого получатель в норме не
читает, что логично.

 >> Если рассылка меняет какой-то из подписанных заголовков (в моем
 >> случае добавляет Reply-To, отсутствие которого было подписано), то
 >> подпись становится невалидной.  И не надо говорить, что это не дело
 >> рассылки.  Если бы все почтовые клиенты, начиная с гмейла, были в
 >> курсе, как реагировать на рассылочные заголовки, то да, а так нет.

 > 	Мне так казалось, что именно Gmail умеет «ответ в рассылку»
 > 	отдельной командой.  (Кроме того, о том, что Reply-To: менять
 > 	не следует, стали говорить, IIRC, задолго до повсеместного
 > 	принятия DKIM.)

В том-то и дело, что отдельной командой, о которой нормальный человек,
не IT-специалист, тупо не в курсе. И нет, она не на видном месте. В
результате факт: если Reply-To не выставить, ответ в рассылку не
попадет.

Вот если бы он, видя заголовки рассылки, хотя бы предлагал ответить в
рассылку же при нажатии на обычную кнопку "ответить", можно было бы
считать, что он в курсе, как на них надо реагировать.

 >> Прибить DKIM я могу.  Но From: (не envelope from) хотелось оставить
 >> прежним.  А он, зараза, из домена, которому положен DKIM, и его
 >> считают спамом.

 >> Подписать у себя не пробовал, но логично предположить, что это тоже
 >> не вариант, поскольку подпись будет ключом не того домена, что во
 >> From.

 > 	На этот случай раздел B.2.3 RFC 6376 как будто бы предлагает
 > 	использовать Sender:.

О, вот это интересно. В смысле, подписать своим ключом, а при проверке
сравнят мой домен с Sender, если он есть?

 >> Рассылочный софт у меня был простенький (mlmmj), аккуратно поменять
 >> From он не умеет, да и не хотелось этого.

 > 	Если он еще и Sender: менять не умеет — только править.  Или
 > 	переходить на другой, умеющий.

Вроде умеет. Добавить заголовок он умеет любой, но только фиксированный.

 >> Отсель мораль: верно ли я понимаю, что (вменяемый) DKIM-aware софт
 >> рассылок может только добавлять всякие List-*, а больше ничего делать
 >> он не может?  Ну, если исходящий MTA настроен разумно,
 >> т. е. подписывает, в числе прочего, то, что видит получатель,
 >> т. е. тело, From и Subject.

 >> Т. е. SPF только .forward ломал, а DKIM еще и рассылки.  Или нет?

 > 	Статистики на этот счет не имею, но есть подозрение, что в
 > 	большинстве случаев DKIM ломает рассылки, правящие Subject:,
 > 	Reply-To:, или тело — и не добавляющие при этом свои Sender:
 > 	и DKIM-подпись.

Ну, при таком условии нормально. Спасибо.
Reply to: