Re: DKIM и списки рассылки
Eugene Berdnikov -> debian-russian@lists.debian.org @ Fri, 6 Oct 2017 23:56:08 +0300:
>> С DKIM, насколько я понимаю, ситуация сходна с SPF: если домен
>> утверждает, что он подписывает, то письмо с From: из этого домена должно
>> быть подписано ключом этого домена.
> Насколько я понимаю DKIM, в отличие от SPF он не имеет механизмов
> для анонсирования политик со стороны владельца домена.
Тут не знаю, пока не читал. Но факт: письмо с From из определенного
домена без DKIM складывается в спам. Кто именно из yandex.ru, mail.ru и
gmail.com определенный домен, а кто складывает в спам, я не помню, но
факт имел место.
Может, они и не через DNS договариваются, что надо проверять.
> Насчёт толерантности в RFC 6376 есть пункт 6.3:
> In general, modules that consume DKIM verification output SHOULD NOT
> determine message acceptability based solely on a lack of any
> signature or on an unverifiable signature; such rejection would cause
> severe interoperability problems.
Так оно не режектит. Оно в спам складывает. Человек, один фиг, не видит
письма.
>> Если рассылка меняет какой-то из подписанных заголовков (в моем случае
>> добавляет Reply-To, отсутствие которого было подписано), то подпись
>> становится невалидной. И не надо говорить, что это не дело
>> рассылки. Если бы все почтовые клиенты, начиная с гмейла, были в курсе,
>> как реагировать на рассылочные заголовки, то да, а так нет.
> Угу. Причём подписывать Reply-To настоятельно рекомендуется (п.5.4).
Что вполне понятно.
>> Прибить DKIM я могу. Но From: (не envelope from) хотелось оставить
>> прежним. А он, зараза, из домена, которому положен DKIM, и его считают
>> спамом.
> Думаю, это нарушает упомянутый п.6.3, то есть приёмник ведёт себя
> "антисоциально", выражаясь словами RFC 6376. Я нигде не встречал
> требования подписывать письмо, если в dns присутствуют dkim-овские
> записи. К тому же вопрос: какой домен проверять, который во From?
> Ведь содержимое d= в DKIM-Signature может отличаться от домена во From,
> в частности, d= может содержать домен верхнего уровня. Так что
> предположение получателя об их тождественности это лишь догадка,
> а использовать домыслы -- плохая практика.
Я подозреваю, что вариант "из наддомена" тоже проверяется. По смыслу,
соответствие между подписавшим доменом и доменом во From быть
должно. Иначе можно абсолютно честно подписать письмо с From из любого
другого домена.
>> Отсель мораль: верно ли я понимаю, что (вменяемый) DKIM-aware софт
>> рассылок может только добавлять всякие List-*, а больше ничего делать он
>> не может? Ну, если исходящий MTA настроен разумно, т.е. подписывает, в
>> числе прочего, то, что видит получатель, т.е. тело, From и Subject.
> Вменяемый софт может:
> 1. отодрать подпись от входящего письма -- перед этим её можно проверить,
> если хочется, а можно и не проверять;
Может. Тогда после пересылки оно попадет в спам у получателя.
> 2. если подпись не удаляется, то перед вставкой каждого заголовка
> проверять, не упомянут ли он в h=.
То есть добавить List-*. К чему и сводится мое предположение.
> Что касается рассылок, проверять подпись разумно на входе в рассылку,
> после чего подпись можно удалить, а на выходе подписать письмо заново.
> При этом возможны любые модификации, в том числе Subject'a и тела письма
> (добавление футеров и т.п.). Конечному получателю ведь без разницы,
> какой рилей подписал письмо: DKIM служит для защиты от спама, а не для
> аутентификации автора (для последнего есть SMIME и PGP).
Не автора, да. Но для подтверждения того, что подписавший релей
принадлежит домену, упомянутому в адресе. Иначе оно вообще не имеет
смысла. Дальше уже идет доверие релею, что он какими-то своими
средствами убедился, что письмо таки да, от владельца адреса.
Reply to: