Hlavní navigace

Názor k článku DMARC: ověření odesilatelovy domény od Heron - "Mně by zajímalo, co by bylo špatného na...

  • Článek je starý, nové názory již nelze přidávat.
  • 23. 4. 2015 13:45

    Heron

    "Mně by zajímalo, co by bylo špatného na tom ponechat současné emailové řešení, jen prostě vynucovat pravidla, která jsou již k mání? Co by bylo špatného na tom, kdyby se vynucovala kombinace SPF+DKIM+DMARC a zbytek zahodit?"

    Je na tom špatné to, že ono "současné" řešení je skutečně současné. Včera neplatilo, zítra už bude něco nového a opět současného.

    Za posledních 25 let:

    Zákaz open relay. Do té doby se mohl email odeslat na kterýkoliv otevřený port 25. Po té už to nejde. -> Nutnost přenastavit.

    Zákaz portu 25 u ISP. Takže zákazníci museli používat pouze smtp server svého isp. -> Nutnost přenastavit.

    Zavedení SPF. Znovu si přečtěte předchozí bod ;-). Asi těžko do SPF dostanete všechny ISP uživatelů na vašem serveru. Vyřešeno submission portem o kterém dodneška nikdo neví, emaily se přece posílají protokolem HTTP, že ;-) -> Nutnost přenastavit.

    SPF dále nutí klienta pro odesílání používat jeden konkrétní server, zatímco před tím mohl klient email odeslat z jakéhokoliv serveru, kam měl přístup.

    DKIM, přiostření předchozího. Pokud by nebyl nasazen SPF, tak by si klient mohl vybrat, zda email pošle přes server domény (potom by byl podepsaný) nebo ze jiného serveru, potom by nebyl podepsaný (pěkný chaos, co?)

    Určitě jsem na hromadu věcí zapoměl, ale toto snad pro ilustraci stačí. Ke každému bodu můžu připsat, jak se to "krásně" řeší v praxi. (Například zákazník si vynutí, aby emaily posílané z vašeho systémy chodily From <user@doménaza­kaznika>. Potom k zákazníkovi přijde bývalej SEO konzultant přeorientovaný na security, a sdělí mu, že si musí nastavit SPF. Zákazník si nastaví SPF a potom volá vám, že VAŠE emaily lidi nedostávají, ale že rozhodně nemá problém na své straně, protože mu to funguje.)