Vlákno názorů k článku
Microsoft oznámil podporu DANE a DNSSEC ve své e-mailové službě
od mad - No, ja to chapu tak, ze tim, ze...
-
No, ja to chapu tak, ze tim, ze v dnssec vystavim otisky klicu, budu predpokladat, ze vsichni, kdo budou mit prijmout mail
z me domeny, budou vyzadovat, aby byl sifrovan tim vystavenym klicem. Kdyz ne, je to z jejich pohledu spam.A kdo si na to hrat nebude, klidne prijme podvrzeny spam, jakoby se nechumelilo.
Popravde vzhledem k nutnosti platit nebo menit certifikaty kazde 3 mesice (na serveru i v dns), k tomu, ze vyzadovani sifrovani a kontrola otisku je zalezitosti DRUHE strany, mi to neprijde az tak skvele.
Proste pokud si na to budu hrat, budu moct odmitat spoustu mailu casto na zaklade nekorektni konfigurace ciziho mail serveru. Je to lepsi nez DKIM, ale zavisle na DNS a DNSSEC, navic distribuce klicu a certifikatu muze byt problem a zbytecne casty stres - zejmena pri pouziti letsencrypt certifikatu zdarma.
Ja mam aktualne naopak problem s tim, ze nove TLD umoznujici za $5 mit komplet domenu s DNSSEC a valid MX, kdy komplet konfigurace je zalezitosti robota a trva pet minut, umoznuji spammerum 1-2 dny beztrestneho spamovani s validnimi URL pro "unsubscribe", s platnymi MX, SPF, DKIM i DNSSEC a DANE - a muj antispam vsechny tyhle zbytecne blbosti oceni snizenim pravdepodobnosti, ze jde o spam.
Cili kazdy dalsi podobne zbytecny mechanismus jen zvysuje pravdepodobnost, ze realni velci spammeri uspeji.
-
Bohužel to chápete úplně špatně. TLSA není ochrana proti spamu, ale proti odposlechu komunikace po síti. Nevystavují se tam klíče pro podpis zpráv, ale pro šifrování. Když vystavím otisk klíče v doméně, tak odesílací strana může ověřit, že můj mail server má používat daný klíč a poštu mi natlačí šifrovaně. Nehrozí tak odposlech nebo podvržení jiného klíče útočníkem. Podrobně je to popsáno v článku Bezpečnější předávání pošty s TLSA záznamy.
Měnit otisky v DNS každé tři měsíce také není nutné, protože se tam obvykle dávají otisky veřejných klíčů a ty se s vystavením nového certifikátu měnit nemusí. Obvykle se to ani nedělá. Prostě autorita znovu podepíše stejný klíč. Tím odpadá nutnost sahat do DNS.
SPF a DKIM nezaručují, že zmizí spam. Jen zaručují, že není možné podvrhnout doménu odesílatele. Takže spamovat z vlastní domény si může kdokoliv, tomu se těmito mechanismy bránit nedá. Nemůžou ale zneužívat moji doménu. Ergo pokud přijde mail s mojí doménou a vy ověříte platnost DKIM, pak víte, že mail odešel skutečně od oprávněného serveru. Opět mi to ale nijak nebrání vás z této domény spamovat. DKIM neřeší všechny problémy světa, jen jeden konkrétní s možností podvrhnout libovolnou doménu odesílatele.
-
Ještě bych k tomu dodal, že Let's Encrypt, o kterém se ve svém komentáři zmiňujete, vznikl nejen pro certifikáty (a tedy i šifrování) pro všechny a zdarma, ale hlavně také proto, že jako první na trhu nabídl automatizaci vydávání certifikátů, a to takovou, že pokud to dobře nastavíte, nemusíte se o to potom starat v podstatě vůbec. Mnoho lidí LE používá právě z tohoto důvodu, a právě proto si mohou dovolit mít certifikáty platné pouze 3 měsíce - což je mimochodem výborné bezpečnostní opatření (viz Scott Helme, Michal Špaček) a já jsem za ně rád. Pokud nadáváte na LE kvůli krátké platnosti certifikátu a nevyužíváte automatizaci, která to za vás vyřeší, tak je něco špatně.
