LINUX.ORG.RU

Вышло RFC 4871: DomainKeys Identified Mail (DKIM) Signatures


0

0

DKIM позволяет почтовому серверу аутентифицировать отправителя на основе открытых ключей домена. Информация об открытых ключах распространяется через DNS.

>>> Подробности

★★

Проверено: maxcom ()

Бедные, бедные почтовые серваки. Им и так сейчас приходится проверять на вирусы и спам тонны писем, а еще хотят на них навесить проверку по ключу :))

Хотя, конечно, это лучше, чем SPF.

mky ★★★★★
()
Ответ на: комментарий от mky

А можете вкратце рассказать, как это работает? По ссылке огромный rfc, по второй ничего понятно не нашел. Т.е. если я хочу с воему серверу это прикрутить к примеру

roy ★★★★★
()
Ответ на: комментарий от mky

> Хотя, конечно, это лучше, чем SPF.

Недоадмины то не могут spf прикрутить. А с dkim они не будут заморачиваться и подавно.

zenith ★★★
()
Ответ на: комментарий от zenith

> Недоадмины то не могут spf прикрутить. А с dkim они не будут заморачиваться и подавно.

Как нам рассказывал вчера Ерик Алман, DKIM будет встроена в sendmail, и поэтому прикручивать ее не надо будет.

Aceler ★★★★★
()
Ответ на: комментарий от roy

> А можете вкратце рассказать, как это работает? По ссылке огромный rfc, по второй ничего понятно не нашел. Т.е. если я хочу с воему серверу это прикрутить к примеру

Генерится открытый и закрытый ключ, открытый ключ добавляется в TXT запись dns, также туда добавляется строка политики (например "я подписываю все письма"), при отсылке письма через сервер dkim-milter созадет подпись, используя закрытый ключ.

Когда приходит письмо на другой сервер, поддерживающий dkim, осуществляется проверка и, в зависимости от прописанной политики на том сервере и настроек dkim на проверяющем сервере, решается, что делать с письмом.

Novel ★★★★
()
Ответ на: комментарий от chocholl

> хорошо если прижеветься, но точно не быстро.

Крупные почтовые системы типа Гугла или Яху уже довольно давно используют это =)

PS Правда мильтеры для сендмайла dk и dkim... не лишены багов так сказать ;)

Novel ★★★★
()
Ответ на: комментарий от Netspider

Вообще-то это практически и есть спека Yahoo :)

anonymous
()
Ответ на: комментарий от iogan18tm

>В по производительности не провиснет?

ИМХО, при существующем потоке писем могут начаться проблемы с производительностью, надо будет upgrade серверам делать... Однако, если спама станет намного меньше, то потом можно и downgrade :))

С другой стороны, я не совсем понимаю, как эти технологии (SPF и DKIM) повлияют на спам. То есть, что будет мешать слать спам из под "политически правильных" адресов? Доменов то можно нарегистрировать кучу...

mky ★★★★★
()
Ответ на: комментарий от alexkuklin

>В двух словах, SPF ничем не помогает.

- Эта мясорубка - полное дерьмо!
- Почему?
- Кофе не варит.

От чего не помогает? Подозреваю, что имелся ввиду спам. Естественно! Не для того он был придуман. Вот от поддельных писем с адресом support@microsoft.com, приходящих из сети бразильского dial-up провайдера, помогает очень даже замечательно.

anonymous
()
Ответ на: комментарий от anonymous

Ну а для чего придумали цифровую подпись и для чего теперь предлагают засунуть её в DNS? Ровно для того же.

bbk123 ★★★★★
()
Ответ на: комментарий от anonymous

SPF создает проблему пересылки почты. Если разрешить отправку только с одного ip, появляется вероятность, что письмо не дойдет, поэтому в везде рекомендуют в конце ставить ?all или ~all.

>Не для того он был придуман.

rfc4408 читали?

The current E-Mail infrastructure has the property that any host injecting mail into the mail system can identify itself as any domain name it wants. Hosts can do this at a variety of levels: in particular, the session, the envelope, and the mail headers. Although this feature is desirable in some circumstances, it is a major obstacle to reducing Unsolicited Bulk E-Mail (UBE, aka spam). Furthermore, many domain name holders are understandably concerned about the ease with which other entities may make use of their domain names, often with malicious intent.

mky ★★★★★
()
Ответ на: комментарий от mky

> То есть, что будет мешать слать спам из под "политически правильных" адресов? Доменов то можно нарегистрировать кучу...

На практике это не совсем так. Из-за dnsbl'ов время жизни таких доменов будет составлять несколько часов :)

zenith ★★★
()
Ответ на: комментарий от Aceler

"ви меня таки извините", но сколько того sendmail осталось на серверах? а в пересчете на количество доменов/аккаунтов? :)

alexkuklin
()
Ответ на: комментарий от zenith

>На практике это не совсем так. Из-за dnsbl'ов время жизни таких доменов будет составлять несколько часов :)

Ну если в dnsbl вносить сразу домен второго уровня, то, да, спамить будет труднее... А если третьего уровня, то сам себе регестрируешь домен на одну рассылку.

mky ★★★★★
()
Ответ на: комментарий от Novel

> при отсылке письма через сервер dkim-milter созадет подпись, используя закрытый ключ.

Что привязывает отправителя к одному серверу... Фигня это, MTA Mark был перспективнее. :-(


AS ★★★★★
()
Ответ на: комментарий от alexkuklin

> "ви меня таки извините", но сколько того sendmail осталось на
> серверах? а в пересчете на количество доменов/аккаунтов? :)

Достаточно. :-)

AS ★★★★★
()
Ответ на: комментарий от AS

> Что привязывает отправителя к одному серверу... Фигня это, MTA Mark был перспективнее. :-(

Пользователя не привязвает. Совсем никак. У пользователя может быть несколько адресов на разных серверах. В чём проблема? Только в том, что нельзя через некий сервер отправить письмо с обратным адресом на другогм сервере? Как бы не очень-то и проблема...

anonymous
()
Ответ на: комментарий от anonymous

> Как бы не очень-то и проблема...

Как раз проблема. Лишний трафик не по теме: слать надо через ближайший smtp, если смотреть с точки зрения опримизации поцесса передачи данных.

AS ★★★★★
()
Ответ на: комментарий от anonymous

> Зато этот трафик исходящий - бесплатный, в отличие от получаемого спама.

А для сервера ? Вот представь, поехал ты в командировку, допустим, в Чикаго. И пишешь своему чикагскому коллеге, пользуясь услугами чикагского провайдера через владивостокский сервер...
Ну-ну...

AS ★★★★★
()
Ответ на: комментарий от AS

А Вас не напрягает, что для того, чтобы проверить ответ от чикагского коллеги, Вам всё равно придётся идти на владивостокский сервер?

anonymous
()
Ответ на: комментарий от anonymous

> А Вас не напрягает, что для того, чтобы проверить ответ от чикагского
> коллеги, Вам всё равно придётся идти на владивостокский сервер?

напрягает. Но это только 50% проблемы, на не все 100%.

AS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.