Что плохого в DKIM-подписи почты без ключа в DNS?
На сайте, которым я управляю, мы рассылаем электронные письма для многих доменов клиентов.
Некоторые из них имеют наш ключ DKIM в DNS, некоторые нет.
Ошибка проверки подписи не приводит к отклонению сообщения.
Но так ли это на самом деле? В реальном мире я могу просто подписать ВСЕ с нашим ключом (не делая SRS) и быть счастливым?
3 ответа
Но так ли это на самом деле?
Да.
В реальном мире я могу просто подписать ВСЕ с нашим ключом (не делая SRS) и быть счастливым?
Да. Это часто делается без вреда для здоровья. Некоторые MTA недостаточно умны, чтобы подписывать сообщения ключами DKIM для каждого домена и могут работать только так, как вы описали, подписывая все одним ключом. Я лично изменил два MTA, чтобы добавить поддержку подписи DKIM для каждого домена.
Сообщения электронной почты часто имеют несколько заголовков DKIM-подписи, когда они проходят через Интернет. Нередко организации MTA подписывают DKIM-сообщения, а затем пересылают их на промежуточный узел через своего интернет-провайдера, который также подписывает DKIM. Таким образом, получатель этого сообщения увидит обе подписи DKIM.
TLDR;
DKIM = DomainKeys Идентифицированная почта. Когда получатель проверяет подпись DKIM, он просто проверяет подлинность отправителя сообщения. Например, если пришло сообщение электронной почты с заголовком DKIM-Signature и свойством a d= example.com, и эта подпись DKIM прошла проверку, то получатель может поверить, что сообщение было отправлено организацией, которая:
- имеет контроль над DNS для example.com
- находился во владении секретного ключа DKIM для example.com
- сообщение не было подделано при передаче
Это верно для такого количества заголовков DKIM-Signature, которое несет сообщение.
Практически никто не отклоняет электронные письма, основанные на неудачных подписях DKIM. При невозможности получить домены открытый ключ DKIM считается ошибкой. У значительного процента действительных потоков электронной почты нарушены подписи DKIM, особенно в сообщениях, которые прошли через список рассылки.
DMARC не меняет DKIM. Совсем. DMARC = доменная аутентификация сообщений, отчетность и соответствие. DMARC - это механизм аутентификации домена отправки сообщения электронной почты, как показано в заголовке сообщения From. DMARC наиболее эффективен в борьбе с фишингом, поскольку предоставляет отправителям электронной почты надежные средства сказать: "если отправитель конверта сообщения не выровнен с нашим доменом (SPF) или заголовок сообщения" От "не соответствует DKIM с нашим доменом, то сообщение не было отправлено нами, и вы должны (отклонить | изолировать | передать) его." DMARC также предоставляет некоторые отличные функции отчетности для владельцев доменов. DMARC обычно используется организациями (банками, крупными поставщиками электронной почты и т. Д.), У которых злоумышленники имеют стимулы выдавать себя за другого.
Таким образом, DMARC - это уровень политики поверх DKIM и SPF. Когда DMARC используется, он накладывает дополнительные требования по выравниванию на DKIM и SPF, чтобы пройти проверку DMARC. Только подписи DKIM, которые проходят и имеют свойство a d=, совпадающее с заголовком сообщения From, могут дать результат передачи DMARC. Каждый ключ DKIM по-прежнему может проходить или не проходить проверку DKIM, и последствия для DKIM не различаются до или после DMARC.
Политика DMARC может изменить этот результат. DMARC - это комбинация SPF и DKIM, которая изменяет расположение.
1) чтобы получить разрешение отправителя + пройти DKIM, вам потребуются записи TXT
2) и TXT/spf с вашим ip/ доменом [как spf].
Сообщения электронной почты, которые вы подписываете без фактического домена с ключами в нем, в конечном итоге TXT-запись окажется ненужной. (ПРИМЕЧАНИЕ: это не обязательно отказ, а репутация).