OpenDKIM - проверка почты, пересылаемой по спискам рассылки
Я использую OpenDKIM для проверки подписанных писем, поступающих на мой почтовый сервер, и использую их как спам-аддон (если dkim не работает, почта попадает в нежелательную). Тем не менее, я получаю много ложных срабатываний с испорченным DKIM (проверка подписи не удалась), основной причиной которого является программное обеспечение списков рассылки, которое добавляет собственные заголовки / изменяет содержимое и т. Д.
Мне интересно, есть ли какая-либо встроенная функция в OpenDKIM (например, белый список), которая позволит мне уменьшить количество ложных срабатываний, поскольку невозможно связаться с каждым администратором каждого списка рассылки и сказать, что у них неправильная настройка, которая нарушает работу DKIM,
Пример заголовка ниже:
Return-Path: <ubuntu-translators-bounces@lists.ubuntu.com>
Delivered-To: receiver@example.com
Received: from localhost (localhost [127.0.0.1])
by example.com (Postfix) with ESMTP id 6AEAD20DC
for <receiver@example.com>; Sat, 12 Oct 2013 23:51:05 +0200 (CEST)
X-Virus-Scanned: amavisd-new at qhost.pl
Received: from example.com ([127.0.0.1])
by localhost (example.com [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id Ly8eSJhPPnln for <receiver@example.com>;
Sat, 12 Oct 2013 23:51:04 +0200 (CEST)
Received: from huckleberry.canonical.com (huckleberry.canonical.com [91.189.94.19])
by example.com (Postfix) with ESMTP id 1B86E20DB
for <receiver@example.com>; Sat, 12 Oct 2013 23:51:04 +0200 (CEST)
Authentication-Results: example.com;
dkim=fail reason="signature verification failed" (2048-bit key; unprotected) header.d=gmail.com header.i=@gmail.com header.b=qOy78FPq;
dkim-adsp=none (unprotected policy)
Received: from localhost ([127.0.0.1] helo=huckleberry.canonical.com)
by huckleberry.canonical.com with esmtp (Exim 4.76)
(envelope-from <ubuntu-translators-bounces@lists.ubuntu.com>)
id 1VV754-0003E4-AB; Sat, 12 Oct 2013 21:50:38 +0000
Received: from mail-pd0-f182.google.com ([209.85.192.182])
by huckleberry.canonical.com with esmtp (Exim 4.76)
(envelope-from <geochr22@gmail.com>) id 1VV74z-0003Dp-8S
for ubuntu-translators@lists.ubuntu.com; Sat, 12 Oct 2013 21:50:33 +0000
Received: by mail-pd0-f182.google.com with SMTP id r10so5800218pdi.13
for <ubuntu-translators@lists.ubuntu.com>;
Sat, 12 Oct 2013 14:50:32 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113;
h=mime-version:in-reply-to:references:date:message-id:subject:from:to
:cc:content-type;
bh=KsrgBYUoHW9iFEkIxojUNYYil4nlGAF8VpF6y+iwNd4=;
b=qOy78FPqJq/UqF2WTo50Z+qfLPjsweQqu6r6nnmoeMnnx7FGp7jaFfCD83FObGSjDU
TFHC8/+LU4PfV1xrAqDYHuTvvQbIxHwD7xGSYiEjYGPuHYln+dGd0Y7Kp7NGCWrega9m
8W6iKf8QiggPYj4JJpweB9dThWvbytVrDPjy9aHPAHHvPbZJ1mj7yNMjydPwJJnJ/wId
4qTu961jZZV5FuG+yatDW1imSbYO97HeeZnAIvNRpMQhMZbLbeY1bLVePbBwQ+hbBurU
f+kqRjk15s5a+ih/HNRI1KeCQFqYsca3Pa6WvLJN0PCjPpTxCV886FatSR8SzTZaUaxx
MkVg==
MIME-Version: 1.0
X-Received: by 10.66.218.226 with SMTP id pj2mr29160511pac.62.1381614632237;
Sat, 12 Oct 2013 14:50:32 -0700 (PDT)
Received: by 10.68.143.69 with HTTP; Sat, 12 Oct 2013 14:50:32 -0700 (PDT)
In-Reply-To: <CAKnT5bMdetLwWU1Q4RQ_NdKDLDUgq8H0zRNawXs8rWNiXW0nVw@mail.gmail.com>
References: <CADFCDMTBhMxn+e4OJvZD7QN1joYrhCR3-CgH2weEhOSu36UkrQ@mail.gmail.com>
<CAKnT5bMdetLwWU1Q4RQ_NdKDLDUgq8H0zRNawXs8rWNiXW0nVw@mail.gmail.com>
Date: Sun, 13 Oct 2013 00:50:32 +0300
Message-ID: <CAHyzMMutO3_4wKNT-G3=-m+bHQTiqoT74OWBNis=kMRXAPWfSg@mail.gmail.com>
Subject: Re: nothing here
From: nobody <nobody@gmail.com>
To: nobody <nobody@ubuntu.com>
Cc: "Translators, Ubuntu" <ubuntu-translators@lists.ubuntu.com>
X-BeenThere: ubuntu-translators@lists.ubuntu.com
X-Mailman-Version: 2.1.14
Precedence: list
List-Id: Discussion about translating Ubuntu
<ubuntu-translators.lists.ubuntu.com>
List-Unsubscribe: <https://lists.ubuntu.com/mailman/options/ubuntu-translators>,
<mailto:ubuntu-translators-request@lists.ubuntu.com?subject=unsubscribe>
List-Archive: <https://lists.ubuntu.com/archives/ubuntu-translators>
List-Post: <mailto:ubuntu-translators@lists.ubuntu.com>
List-Help: <mailto:ubuntu-translators-request@lists.ubuntu.com?subject=help>
List-Subscribe: <https://lists.ubuntu.com/mailman/listinfo/ubuntu-translators>,
<mailto:ubuntu-translators-request@lists.ubuntu.com?subject=subscribe>
Content-Type: multipart/mixed; boundary="===============1762773400059964515=="
Errors-To: ubuntu-translators-bounces@lists.ubuntu.com
Sender: ubuntu-translators-bounces@lists.ubuntu.com
Я изменил вышеупомянутое сообщение (удалил IP-адреса и логины), так что у него действительно мог быть сломанный DKIM, но изначально он не был затронут - только списком рассылки sofware @ ubuntu.com
Итак, еще раз, есть ли способ настроить OpenDKIM, чтобы быть более терпимым / игнорировать / проверять другим способом подпись DKIM для такой почты?
1 ответ
Существует стандартный механизм для того, чтобы сделать проверку DKIM более терпимой к изменению формата, например фильтрами или реле, но это должно быть сделано на отправляющей стороне, а не на приеме, и все, что он делает, - это становится более терпимым к таким вещам, как изменения в пробелах, а не чем изменения к фактическому сообщению. По сути, вы можете выбрать между смягченным (более терпимым) и простым (более строгим) режимом как для заголовков, так и для тела при подписании, и система проверки позже будет использовать соответствующий режим для успешной проверки. Это не может быть изменено на принимающей стороне, потому что невозможно узнать, какая подпись была бы в другом режиме обработки.
Система подписи в отправителе выбирает, какие заголовки включить или исключить из подписи, поэтому, если вы знаете, что ретранслятор или список собирается изменить или удалить заголовок, отправитель должен исключить это из проверки.
Однако, учитывая, что список рассылки обычно изменяет сообщение и заголовки, включая такие важные заголовки, как Тема, заголовок DKIM от исходного отправителя должен не пройти проверку.
В идеале, программное обеспечение списка рассылки должно поддерживать DKIM, и оно удалит старый заголовок DKIM и заменит его своим собственным, соответственно изменив заголовок From, эффективно теперь принимая на себя ответственность за сообщение, а не оригинального отправителя.
В отсутствие этого, если вы находитесь на принимающей стороне, все, что вы можете сделать, - это внести в белый список определенные серверы.
Это сценарий типа "пустяк и яйцо" с принятием DKIM: очень немногие навязывают несоответствия DKIM на принимающей стороне, потому что это может иметь ложные срабатывания, но это замедляет принятие DKIM, потому что стороны, такие как хосты списков рассылки и т. Д., Испытывают небольшое давление, чтобы исправить проблемы. Прямо сейчас, если вы строго соблюдаете несоответствия DKIM на принимающей стороне, вы все еще немного подопытный кролик, хотя DKIM существует уже много лет. Почтовые хосты, как правило, чаще всего используют несоответствие DKIM в качестве фактора, способствующего их обнаружению спама, что, по мнению IMO, плохо для принятия DKIM, но я понимаю проблему курицы и яйца за этим.