Vlákno názorů k článku Stavíme vlastní e-mailový server: nastavení serveru, spam a IMAP od Michal Pastrňák - _dmarc.google.com. 300 ...
-
_dmarc.google.com. 300 IN TXT "v=DMARC1\; p=reject\; rua=mailto:mailauth-reports@google.com" _dmarc.microsoft.com. 3600 IN TXT "v=DMARC1\; p=reject\; pct=100\; rua=mailto:d@rua.agari.com\; ruf=mailto:d@ruf.agari.com\; fo=1" _dmarc.yahoo.com. 1800 IN TXT "v=DMARC1\; p=reject\; pct=100\; rua=mailto:dmarc_y_rua@yahoo.com\;" _dmarc.facebook.com. 3600 IN TXT "v=DMARC1\; p=reject\; pct=100\; rua=mailto:d@rua.agari.com,mailto:postmaster@facebook.com\; ruf=mailto:d@ruf.agari.com\;"
Zajímavý seznam malých firem, které neví, co dělají a mají tak rozbité e-maily, že se s nimi vlastně ani komunikovat nedá. Nemusím snad dodávat, že všichni používají i SPF a DKIM.
A proč by někdo měl chtít DKIM? V Česku třeba minimálně kvůli Seznamu? A to se minimálně firmám vyplatí, pokud chtějí rozesílat třeba newslettery.
Elektronický podpis v e-mailu může být bezva, ale co vlastně prokazuje? Že zprávu odeslal někdo konkrétní a že ji nikdo nezměnil. To je pro jednotlivce samozřejmě dobré, ale nechává to na příjemci, aby si alespoň poprvé ověřil, že je podpis pravý a že má právo třeba jednat za firmu. DKIM udělá v podstatě to samé, s tím rozdílem, že neověřuje jednotlivce, ale doménu (firmu). Navíc pomocí DMARC je zpráva zahozena, pokud není ani podepsána (nebo špatně), ani odeslána ze správného serveru. Toto je pro firmu mnohem větší benefit, než nějaký nic neříkající podpis nějaké konkrétní osoby.
Byl jsem svědkem toho, kdy jedna velmi "moudrá" paní účetní celkem velké stavební firmy "A" zanesla do systému nové číslo účtu dodavatele "B", protože jí to napsala jiná paní, se kterou před tím už několikrát komunikovala. Že si má takové věci potvrdit jiným nezávislým kanálem, to je pravda a byla blbost něco takového provést na základě e-mailu, ale ví to všechny účetní? Mimochodem, ten e-mail poslal "neposlušný propuštěný zaměstnanec" firmy "A", který si "vypůjčil" od dodavatele jeho adresu, okopíroval podpis (neelektronický) a měl asi za to, že zmizí za kopečky, než to někomu dojde. Jen zázrakem se na to přišlo a nic se mu neposlalo.
-
Filip JirsákStříbrný podporovatelDKIM udělá v podstatě to samé, s tím rozdílem, že neověřuje jednotlivce, ale doménu (firmu). Navíc pomocí DMARC je zpráva zahozena, pokud není ani podepsána (nebo špatně), ani odeslána ze správného serveru. Toto je pro firmu mnohem větší benefit, než nějaký nic neříkající podpis nějaké konkrétní osoby.
K čemu je vám informace, že někdo opravdu odeslal e-mail z domény seznam.cz? A nic neříkající podpis konkrétní osoby? Vám je jedno, jestli vám objednávku za několik milionů poslal ředitel firmy nebo vrátný? Vtipné je, že jste pak sám uvedl příklad, že doména opravdu není podstatná, podstatný je podpis konkrétního člověka… -
Pokud mám jako firma vlastní doménu a vlastní mailserver, potom chci, aby přes něj chodila všechna moje pošta. Pořád platí, že nelze e-mail považovat za dostatečně spolehlivý kanál pro důležitá data, ale pořád je pro mě lepší, když může neoprávněnou objednávku odeslat "jenom vrátný a uklízečka", navíc z adres, které mám pod kontrolou, než když to může udělat kdokoliv. Problém digitálních podpisů je v tom, že se využívají málo a lidé vlastně většinou neví, co s tím. Podpis "Pepík Novák, ředitel zeměkoule" si může udělat kdokoliv a stejně to neznamená, že opravňuje daného člověka ředitelovat zeměkouli. Na to je nejprve potřeba si tu informaci ověřit, což bohužel udělá málokdo. Já jsem naopak uvedl příklad, kdy došlo k takovému zneužití důvěry v e-maily, kterému by DMARC zabránil. Ano, nezabránil by tomu, aby něco podobného udělal vrátný firmy B, ale pořád to bude alespoň člověk, kterého bude možné dohledat a ne někdo zcela anonymní s účtem založeným na bílého koně.
Samozřejmě, že ideální by v podobné komunikaci bylo PGP, ale schválně zkuste obejít vaše účetní, sekretářky, klidně manažery, jestli ví, co to je a jak to správně použít, aby to bylo důvěryhodné. A až je proškolíte, tak můžete vyrazit ke všem vašim dodavatelům a odběratelům a provést to samé.
Takže z toho důvodu považuju DMARC za alespoň částečně funkční řešení, které funguje automaticky za exaktních podmínek a je schopné zabránit alespoň něčemu, zatímco podpis v emailu automaticky nic nevyřeší a stále zůstává závislost na rozhodování lidí, kteří o tom většinou nic neví. Je to smutné, ideální by bylo zkombinovat oboje, ale... -
Filip JirsákStříbrný podporovatel
To, aby všechna vaše pošta chodila přes vaše servery, zařídí SPF a/nebo DKIM. DMARC k tomu vůbec není potřeba. DMARC neřeší vůbec nic, protože za prvé čmuchá v hlavičce From v e-mailu, do které e-mailovému serveru nic není, a navíc z té hlavičky řeší jen e-mailovou adresu, kterou zase velmi často nevidí uživatel. Pokud chcete jako firma zajistit správnost hlaviček From ve vašich e-mailech, nastavte si DKIM a podepisujte jím i hlavičku From.
-
Filip JirsákStříbrný podporovatel
Nerozumím tomu „něčím to kontrolovat musíte“. SPF i DKIM jsou samostatné protokoly – při přijetí e-mailu se podíváte, zda doména odesílatele má SPF, pokud ano, ověříte ho. Pak se podíváte, zda má klíč pro DKIM, pokud ano, ověříte ho. V obou případech může správce domény odesílatele určit, jak se má zacházet s e-maily, které pravidlům nevyhovují. DMARC k tomu vůbec nepotřebujete.
Tak proc neprihlednout k tomu, co vam rika skrze DMARC odesilatel?
Přihlédnout k tomu můžu. Problém je v tom, že DMARC řeší odesílatele e-mailu (v těle e-mailu), ale údaje má uvádět ten, kdo e-mail transportuje. Jako kdyby pošťák měl potvrzovat, co je uvnitř balíku. To samozřejmě nemůže obecně fungovat. -
SPF i DKIM sice můžou tvrdit, že email má být odněkud a má být nějak podepsaný, ale na základě jejich výsledků se nedoporučuje žádná přímá akce, protože SPF ani DKIM neobsahuje informaci o tom, jak s takovými e-maily naložit. Přesně tuto informaci obsahuje DMARC - tedy já jako odesílatel sděluji příjemci, co má dělat, pokud kontroly neprojdou. DMARC samozřejmě musí řešit adresu odesílatele, protože to je přesně to, co mě zajímá. Mně je úplně jedno, kolika servery ten e-mail prošel, mně zajímá, kdo ho poslal a jestli ho měl právo poslat. Má to samozřejmě svoje mouchy, protože DMARCu stačí, když má e-mail správný podpis, NEBO je odeslán ze správného místa, což v praxi znamená, že pokud někdo e-mail cestou změní, stále mi může projít SPF a stále ho DMARC pustí. Proto je taky dobré si v klientu DKIM kontrolovat, aby byl alespoň uživatel upozorněn, že něco nemusí být v pořádku.
Ke konferencím - pokud je konference správně nastavená a vnitřku e-mailu se ani nedotkne, je vše v pořádku a normálně to funguje. Pokud do mailu jakýmkoliv způsobem zasáhne (třeba přidá patičky s unregister linkem), už se nejedná o původní mail a je to její zodpovědnost, ona by si měla provést na vstupu kontroly, jestli je vše v pořádku a ona by měla poskytnout další kontrolní mechanismy na výstupu. Zároveň by měla e-mail kompletně převzít pod sebe, včetně from, protože když to neudělá, jakákoliv její chyba může poškodit reputaci zcela nevinného původního odesílatele.
-
Filip JirsákStříbrný podporovatel
Za prvé, jak už jsem psal, SPF i DKIM umožňují sdělit příjemci doporučení, jak má s e-maily naložit. Za druhé, příjemcem jsem já, takže já si rozhodnu o tom, jak s nimi naložím. Od správce serveru mi stačí jen informace, zda e-maily vůbec nepodepisuje, podepisuje některé nebo podepisuje všechny (analogicky SPF místo „podepisuje“ je „odesílá přes svůj server“).
Adresu odesílatele ať si DMARC klidně řeší, ale pak to nemohou řešit servery po cestě (kterým do obsahu e-mailu vůbec nic není), může to maximálně řešit cílový server při ukládání do schránky – a pak ale zase nemůže adresu odesílatele nijak srovnávat s tím, kudy e-mail putoval. E-mail byl od začátku postaven na tom, že putuje přes několik serverů. Už jenom doručení na záložní mail server znamená, že ho do schránky dostanete odjinud, než od původního odesílajícího serveru.
Kontrolu toho, kdo vám e-mail poslal, umožňuje jen DKIM. SPF umožňuje kontrolovat jenom to, od koho jste e-mail dostal. Což třeba úplně stačí ke kontrole toho, zda mu máte odpovídat v případě chyby.
Pokud konference něco mění, je to na její zodpovědnosti. Ale že by poškozovala reputaci původního odesílatele – pokud původní odesílatel nechtěl, aby se na -emailu něco měnilo, měl ho podepsat.
Není ale pravda to, že pokud konference nic nemění, je všechno v pořádku. Když konference nic nezmění a přepošle e-mail, nebude souhlasit odesílatel uvedený v hlavičkách e-mailu s doménou uvedenou v obálce e-mailu. Což je naprosto v pořádku, e-mail s tím od začátku počítá – ale nepočítá s tím DMARC.
