Vlákno názorů k článku SPF: proti spamu i přeposílání pošty od bmann - Osobne SPF nepouzivam, prijde mi jako spatna volba,...
-
bmann (neregistrovaný)
Osobne SPF nepouzivam, prijde mi jako spatna volba, viz. rozbiji preposilani a pridava praci jinde.
Pouzivam DKIM, ktery nerobiji preposilani.
Nekteri v diskuzi zminovali ze pouzivaji SPF + DKIM. Rad bych vedel proc. Muze te mi nekdo objasnit proc chtit pouzit SPF kdyz mam funckni DKIM (a pripadne i DMARC record)?
-
Ondřej CaletkaZlatý podporovatelTřeba proto, že SPF a DKIM jsou dva stavební kameny, na kterých stojí DMARC?
Jinak DKIM sice nerozbíjí přeposílání, ale zase celkem dobře rozbíjí e-mailové konference :)
-
bmann (neregistrovaný)
Na problem s konferencema jsem nenarazil, dobre vedet.
Jestli si pamatuji dobre tak v DMARC neni vyslovene volba, ktera by specifikovala, ze pouzivam jenom DKIM a nejak jsem si z toho vzal ze to pocita s obema. Ale ze defaultne pokud nepozivam SPF tak to nereportuje a hlasi jen problem u DKIM - a tak jsem SPF nepouzil ponevadz mi DKIM prijde dostatecny.
Ale moc jsem se v tom nestoural :-)Diky vsem za info ...
-
M. (neregistrovaný)
Problém s DKIM a konferencema je, pokud konferenční server dělá nějaké změny v mailu, což obvykle dělá. Takže jakmile tam narve do mailu třeba patičku, že mail je z "konference X s archívem na adrese Y", tak přestane souhlasit hash těla zprávy a pak je na koncovém příjemci, jak se s tím popere (stejný problém dělá konference i v případě, že mail je poslán s S/MIME digitálním podpisem). Pokud konfereční server dělá jen prostý mail aliasing, nemění subjekt/tělo, maximálně si přidá nějaké X-...: hlavičky, tak se DKIM nerozbije.
DMARC postupuje při ověřování (RFC7489):
"Receivers compare the RFC5322.From address in the mail to the SPF and DKIM results, if present, and the DMARC policy in DNS."
Takže se snaží použít oboje, pokud jedno není, označí si ho jako none a vyhodnocuje jen na základě toho druhého... -
Santiago (neregistrovaný)
> Jinak DKIM sice nerozbíjí přeposílání, ale zase celkem dobře rozbíjí e-mailové konference :)
Do dela zhruba v trech pripadech:
1) Konference pridava paticku do tela mailu
2) Konferencni adresa se vklada do Reply-to hlavicky
3) Konference pridava svuj tag do Subject hlavicky
Prvni pripad je hloupost, ktera mela uz davno vymizet. Narusuje i jine metody digitalniho podpisu, proto konferencni software je na to cast pripraven a v takovem pripade paticku nevklada.
Druhy pripad je rozporuplna zalezitost, ktera mela mnoho oponentu jiz dlouho pred DKIM, i kdyz pragmaticky prepisovani Reply-to casto smysl dava, zejmena pro soukrome konference.
Treti pripad je drobnost, ktera se da nahradit List-* hlavickama. Ackoliv osobne preferuju filtrovani podle tagu (nebot se tak do slozky s konferenci dostanou i soukrome odpovedi na mail z konference), tesknit po nich nebudu.
Takze celkem vzato DKIM sice muze rozbit e-mailove konference, ale neni problem je nastavit tak, aby s DKIM fungovaly korektne. Oproti tomu SPF je broken by design.
DKIM ma i sekundardni pozitivni dopad - v zasade je to digitalni razitko treti strany, ze obdrzela a preposlala e-mail od nekoho, koho typicky autorizovala. Zajistuje tedy urcitou miru duveryhodnosti a nepopiratelnosti u e-mailu, a to v mire rozsireni, ktere klasicky digitalni podpis e-mailu za 20 let zdaleka nedosahl.
-
Filip JirsákStříbrný podporovatelSPF rozbíjí pouze rozbité přesměrování. A teoreticky není problém nastavit přeposílání tak, aby se SPF fungovalo korektně (u praktického nastavení může být problém v konkrétních implementacích, úplně stejně jako u těch konferencí). Třeba právě ty e-mailové konference do obálkového odesílatele nekopírují původního odesílatele, ale dávají tam svůj e-mail - autoři už asi za ta léta zjistili, že dělat to jinak je špatně.
Ta "drobnost" v podobě úprav předmětu je dost podstatná věc. Oni e-mail občas používají i lidé, kteří o nějakých hlavičkách vůbec netuší, vůbec nepoužívají nějaké filtrování nebo štítky - jenom chtějí u e-mailu na první pohled vidět, že jim přišel přes konferenci.
-
M. (neregistrovaný)
Protože DMARC je zamýšlen jako kombinace SPF a DKIM. Zkrátka ideálně má souhlasit oboje při kontrole, ale stačí když souhlasí jen jedno.
Jinak, že se DKIM při přeposílání nerozbíjí, tak to není úplně pravda. Dle pozorování a sttistik, co vrací DMARC, tak někteří přeposílači DKIM dokáží rozbít také. :-(Samotné DKIM nic neříká o tom, zda je to OK, maximálně při použití ADSP záznamu mohu říci, že veškerá pošta měla by/musí být podepsána. Bohužel je ADSP využíváno zcela minimálně.
DMARC má smysl v tom, že ho dneska aplikuje řada velkých mailových hráčů (Gmail, Yahoo, Hotmail, ....), kteří jsou i jeho autorem. Další plus u DMARC je, že si můžu publikvoat záznam říkající, že přijímající servery mi mají posílat statisityky o tom, jak si vedou maily z mé domény - takže dostane přehled, kolik mauiů k nim došlo, odkud došly, zda souhlasily SPF a DKIM a jak s nima cílový server naložil.
-
Filip JirsákStříbrný podporovatel
Nekteri v diskuzi zminovali ze pouzivaji SPF + DKIM. Rad bych vedel proc. Muze te mi nekdo objasnit proc chtit pouzit SPF kdyz mam funckni DKIM (a pripadne i DMARC record)?
Jak se dá s DKIM+DMARC nastavit, že e-mail sFrom: user@example.comje věrohodný, pokud má v DKIM podpisu uvedenod=gmail.com? V SPF se to pro obálkového odesílateleMAIL FROM user@example.comnastaví snadno, do SPF záznamu proexample.comse dá reference na SPF progmail.com. -
M, (neregistrovaný)
V případě Google Apps na vlastní doméně to je na pár kliknutí v managementu, kdy vygeneruje DKIM klíče specifické pro danou doménu a bude s něma korektně podpisovat jako d=example.com místo d=google.com.
Ale pokud je otázka obecná, jak pověřit jinou doménu jako věrohodného podepisovatele na úrovni ADSP, tak ano, jde to. Jmenuje se to ATPS rozšíření pro DKIM. Stačí do domény example.com doplnit:
_adsp._domainkey.example.com IN TXT "dkim=all; atps=ys; asl=google.com;"
XLVJKS4VOMOGRLTOIW6R4JJOWRLAZXCF._atps.example.com IN TXT "v=atps01; d=google.com;"
a bude to znamenat, že za example.com se autoritativně podepisuje google.com.
Nicméně Authorized Third-Party Signatures (ATPS) jRFC6541 je stále ve stavu experimental, takže se na to nedá plně spoléhat, že to všechny DKIM validátory budou umět (řada to podporuje). -
Filip JirsákStříbrný podporovatel
Díky, byl to obecný dotaz (i když mne zajímá hlavně ten free GMail). A jde to delegovat i na víc klíčů? Tedy že e-maily pro doménu example.com může podepisovat buď klíč gmail.com nebo example.com? (Většinu e-mailů odesílám z GMailu, což řeší váš příklad, ale některé mohu odesílat přímo ze svého serveru. Pro sebe to samozřejmě mohu řešit odesíláním z mého serveru přes GMail, ale od jiných uživatelů nemůžu chtít přihlašovací údaje ke GMailu.)
-
M. (neregistrovaný)
Ano, můžu definovat větší počet domén, které mohou podepisovat za example.com.
Uvedený příklad automaticky znamená, že můlže podepisovat example.com sám sebe a/nebo to může podepisovat i google.com (případně idalší definovaný jako _atps DNS záznam).
U toho ADSP záznamu se jen patřičně rozšíří to asl=google.com,x.cz,y,cz. a patřičně přidají i ty jednotlivé _atps DNS záznamy pro každou doménu.
Dále, pokud se používá i DMARC, tak v DMARC DNS záznamu se také definuje, že pro DKIM připouští ty ATPS záznamy pomocí volby "atps=y" a můžu i vyjmenovat zde, které domén se připouští pomocí "asl=google.com,x.cz,y,cz". V doméně example.com musí samozřejmě existovat i ty jednotlivé _atsp DNS záznamy.
Zde je pěkný online generátor ADSP i DMARC záznamu s podporou pro to ATPS:
http://www.winserver.com/public/wcadsp/default.wct
http://winserver.com/public/wcdmarc/default.wct
