înregistrare Logare
Puncte:0
Tom Johnson avatar Server

Îndoieli cu privire la verificarea DKIM (RFC6376)

drapel br
Tom Johnson

Buna dimineata,

https://www.rfc-editor.org/rfc/rfc6376#section-5 citeste:

„Supraviețuirea semnăturilor după tranzit nu este garantată și semnăturile nu pot fi verificate din nicio vină a Semnatarului. Prin urmare, un verificator NU TREBUIE să trateze un mesaj care are unul sau mai multe semnături proaste și fără semnături bune diferit de un mesaj cu nici o semnătură."

Ce înseamnă asta exact? Adică, pentru mine pare să spună că, dacă hash-ul unui mesaj nu corespunde cheii publice DKIM pentru un anumit mesaj, un verificator ar trebui să se comporte, deoarece nu a existat un fel de problemă. Este o exagerare, deoarece mesajele care nu au semnătură DKIM vor fi probabil tratate ca având o reputație cel puțin mai scăzută decât cele care au trecut pozitiv verificarea DKIM. Dar semnătura proastă DKIM este un semn explicit că ceva nu este în regulă cu mesajul.

Puteți clarifica cum trebuie înțeles mai sus? Este posibil să ratez ceva deoarece nu am citit încă acest articol în întregime și ceea ce am citat pare să se ciocnească de „6.2. Comunicați rezultatele verificării”.

Actualizați: citirea „6. Verifier Actions” pare să confirme presupunerile mele pe care le-am descris într-un comentariu (acea Verifier verifică doar dacă semnătura DKIM este bună sau rea, dar ce să faceți cu ea trebuie să fie determinat de Evaluator de Identitate și acest RFC a kind propune (deși nu impune) să implementeze serverul de recepție pentru a fi verificator și MUA pentru a fi evaluator de identitate:

„Un MTA de frontieră sau intermediar POATE verifica semnătura (semnăturile) mesajului. An MTA care a efectuat verificarea POT comunica rezultatul acesteia verificare prin adăugarea unui câmp de antet de verificare la intrare mesaje.”

72
2 + 0
rfc
Puncte:1
avatar Server
drapel cn
Tim Brigham

Îl ai singur:

Supraviețuirea semnăturilor după tranzit nu este garantată și semnăturile nu pot fi verificate din nicio vină a Semnatarului.

L-am citit astfel: A trimite către C. Mesajul este transmis prin B, astfel încât fluxul arată ca A->B->C

Partea B poate lua măsuri (cum ar fi eliminarea sau schimbarea antetelor) care invalidează semnătura. Penalizarea părții A care încearcă să facă ceea ce trebuie pentru comportamentul rău al lui B nu are sens și, prin urmare, nu ar trebui tratată altfel decât un mesaj fără semnătură.

0 + 1
anx avatar
drapel fr
anx
Penalizarea comportamentului prost al lui A pentru B pare să aibă suficient sens pentru a-i pedepsi pe expeditori pentru aplicarea proastă antispam a serviciului de retransmisie pe care îl utilizează - și asta presupune chiar și muncă *activă*, nu doar să se solicite *abținerea* de la comiterea de atrocități împotriva antetelor semnate. .
0
Răspunde
Puncte:0
anx avatar Server
drapel fr
anx

Acordați mare atenție cazurilor care sunt comparate exact. Nu se compara

  • o semnătură valabilă împotriva
  • o semnătură ruptă

Este doar solicitant să tratăm aceste cazuri la fel:

  • fara semnaturi
  • fără semnături utile

pare să spună [..] un verificator ar trebui să se comporte, deoarece nu a fost un fel de problemă

pentru că chiar nu este nicio problema cu mesaje având semnături suplimentare.Un mesaj care are semnături inutile ar trebui să fie nedureros pentru expeditor, pentru că nu rănește nici destinatarului.

Mi se pare mai ușor de înțeles de ce aceasta este o idee bună când mă gândesc la modul în care o caracteristică opțională într-un mediu divers poate reuși deloc: dacă tot ceea ce oferă este o îmbunătățire, sau nimic. Efortul de a implementa o funcție opțională nu ar trebui să aibă niciun dezavantaj - și cu siguranță nu atunci când semnătura dvs. a fost în regulă, dar a fost spartă de altcineva.

0 + 3
Tom Johnson avatar
drapel br
Tom Johnson
Multumesc pentru raspunsul tau. Da, am văzut ce îmi spui să fiu atent. Dar, într-un anumit sens, nu este conform cu practica - multe servere de recepție resping imediat mesajele cu semnături DKIM rupte, în timp ce acceptă e-mailuri fără semnătură DKIM (deși în același timp atribuie anumite puncte de reputație negative acelui mesaj) . A doua alegere este poate, într-un anumit sens, din necesitate - există încă multe servere care pur și simplu nu fac semnarea DKIM și respingerea lor ar fi practic prea multă problemă.
0
Răspunde
Tom Johnson avatar
drapel br
Tom Johnson
RFC6376 face diferența între Evaluator de Identitate și Verificator, așa că poate s-ar putea argumenta că aici serverele de recepție acționează atât ca Verificatori, cât și Evaluatori de Identitate, iar respingerea mesajelor DKIM este făcută de aceste servere care îndeplinesc rolul de Evaluatori de Identitate și nu de Verificatori. Cu toate acestea, se pune întrebarea dacă într-adevăr corespunde realității sau doar se joacă cu semantica. De asemenea, mi se pare că aproape toate serverele care efectuează verificarea DKIM joacă și rolul de Evaluatori de Identitate (respind mesajul sau îl marchează ca SPAM), este corectă impresia mea?
0
Răspunde
Tom Johnson avatar
drapel br
Tom Johnson
„ei resping mesajul sau îl marchează ca SPAM” - dacă semnătura DKIM este ruptă, adică.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.