LINUX.ORG.RU
ФорумAdmin

Насколько часто вы меняете ключи DKIM?

 ,


0

1

Посмотрел заголовки DKIM из писем от разных провайдеров на предмет значения s=. У большинства значения такие, из которых предположение о том, когда менялся ключ DKIM, сделать нельзя. Но несколько значений я все же выцепил. Например: s=2017, s=jul2015, s=20150623. У гугла s=20161025. Интересно, это действительно все настолько давние ключи?

Вы насколько часто их меняете?


Вы насколько часто их меняете?

Думаете, тут каждый второй свой почтовый сервер поддерживает? И, второй вопрос, зачем их менять часто?

Логично предположить, что только при первичной настройке сервера или при его переносе, компрометации etc.

vvn_black ★★★★★
()
Последнее исправление: vvn_black (всего исправлений: 1)
Ответ на: комментарий от vvn_black

Ну, если не свой, то «рабочий».

А насчет второго вопроса — я как раз и хочу понять, многие ли заморачиваются этим чисто на всякий случай, периодически, или только когда что-нибудь меняется.

Kzer-Za
() автор топика
Ответ на: комментарий от Harald

у меня настроен. ща посмотрю.

у меня s=mail . и никакой даты в разделе DKIM-Signature свойства письма я не вижу.

jura12
()
Последнее исправление: jura12 (всего исправлений: 2)
Ответ на: комментарий от vvn_black

только при первичной настройке сервера или при его переносе, компрометации etc.

Да, собственно, менять чтобы поменять — это плохая практика. DKIM работает почти как репутация (образно, конечно), и его сброс повлечёт за собой соответствующие трудности.

// Адресовано топикстартеру, а не автору комментария; последний вроде компетентен и в подобных разъяснениях ясельного уровня не нуждается.

mord0d ★★★★★
()

зачем их менять?

Rost ★★★★★
()
Ответ на: комментарий от Harald

у кого вообще он настроен

У тех, кто настроил, у тех и настроено. Или как обычно, глупо упускать возможность упустить возможность ?

У меня вот настроено зачем-то.

NHS7
()

насколько часто их меняете?

Не надо их менять ни с какой периодичностью, если нету подозрений в компрометации.

NHS7
()
Ответ на: комментарий от Kzer-Za

http://www.m3aawg.org/DKIMKeyRotation

DKIM keys should be rotated at least every six months. Doing so reduces the risk of active keys being compromised, either by attackers cracking or stealing them

Т.е. это универсальный рецепт на вообще все случаи любой жизни, поменяй Х немедленно, ты же не уверен, что этот Х злобные хакеры|Трамп|китайцы|инопланетяне не упёрли.

NHS7
()
Ответ на: комментарий от mord0d

DKIM работает почти как репутация

Верное замечание. Тот же SpamAssassin за правильно настроенный и валидный DKIM даёт всего +0.2, а просто за наличие DKIM и вовсе отнимает баллы -0.1. И от чёрных списков никакая подпись не спасёт.

vvn_black ★★★★★
()

Никогда не меняю. А зачем?

Legioner ★★★★★
()
Ответ на: комментарий от NHS7

Хз, opendkim по умолчанию этого не делает. Какие-то свои скрипты городить - ну хз, это же не такая простая операция. Надо с DNS все сделать как положено. При этом чтобы письма со старым ключом продолжали доходить какое-то время и тд. В общем рекомендация чисто теоретическая. На практике это делать сложно. Особой нужды в этом нет, значит никто делать не будет, ну разве что огромные сервисы, которые это все могут автоматизировать.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

В принципе несложно - старый селектор из DNS не удаляешь, просто добавляешь новый и начинаешь подписывать письма новым.

bigbit ★★★★★
()
Ответ на: комментарий от vvn_black

Иногда эти +0.2/-0.1 могут повлиять. Особенно на старте работы почтового сервера.

А СпамОтсосин я не люблю, он медленный. Но это мои половые трудности.

mord0d ★★★★★
()
Ответ на: комментарий от bigbit

И чё, там через 10 лет будет 20 левых селекторов? Небось какому-нибудь RFC такое будет противоречить и что-нибудь да сломается в какой-то момент. Всё равно чистить надо.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

Да хоть 1000. А сколько их у какого-нибудь _domainkey.amazonses.com я даже боюсь представить.

Сломаться и противоречить RFC это не может, т.к. именно для этого селекторы и задумывались. Наоборот не рекомендуется менять ключ в существующем селекторе, т.к. письма, подписанные этим ключом, перестанут проходить проверку. Рекомендуется как раз заводить новый.

Это всего лишь запись в DNS. Если мешает - удалить несложно.

bigbit ★★★★★
()
Ответ на: комментарий от bigbit

Да хоть 1000.

Ну да, а какой-нибудь gmail прочитает первые 8 и остальные проигнорирует. И даст отлуп твоим письмам.

А сколько их у какого-нибудь _domainkey.amazonses.com я даже боюсь представить.

Один, естественно. _domainkey.amazon.com. 7199 IN TXT "t=y; o=~; r=abuse@amazon.com"

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

gmail «прочитает» только тот, который указан в твоем письме. О существовании других он никак не узнает. Так же, как и ты не знаешь о существовании селекторов внутри _domainkey.amazonses.com.

Например, 224i4yxa5dv7c2xz3womw6peuasteono._domainkey.amazonses.com.

Ты пишешь какую-то ерунду.

bigbit ★★★★★
()
Последнее исправление: bigbit (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.