Mikhail Golub wrote:
Решил тоже вернуться к проверке DKIM.
Раньше я ничего полезного для себя в проверке DKIM во входящей почте не
получил.
А чего я собственно вообще заинтересовался DKIM-ом. Есть неплохой
почтовый клиент для Андроид, называется AquaMail. Так вот он рисует на
письме зелёный или красный замочек в зависимости от содержимого хедера
Authentication-Results. Лучше бы он, наверное, этого не делал...
Промониторив несколько дней почту на ошибки DKIM понял, что на статус
"invalid" не стоит обращать внимания ...
Ошибки типа "failed key import".
Что может быть полезным - статус "fail". Т.е. подпись есть, но проверка
не проходит.
И вот здесь засада :(
И ещё какая.
Домены, которые используют услуги Office 365, не проходят проверку.
Если бы только они.
Вот например твоё письмо, на которое я сейчас отвечаю - тоже не прошло
проверку:
dkim=fail (body hash mismatch; body probably modified in transit)
Это, как я понимаю, известная и описанная в RFC6377 багофича, когда
mail list manager дописывает футер в тело сообщения, и сообщение
становится неаутентичным. Видимо MLM на mailground.net тоже страдает
этой проблемой - и это неизбежно, если этот MLM не является DKIM-aware.
Письма, прошедшие через списки рассылки freebsd.org, тоже приходят с
невалидной подписью, т.к. MLM дописывает футер. Впрочем если подписать
письмо в рассылку с помощью PGP/MIME, то MLM не трогает тело и подпись
остаётся валидная.
Гораздо интереснее, когда в папке писем, не прошедших проверку, я
обнаружил письма от cust-security-announce AT cisco.com и
CGPupdate-report AT mail.stalker.com - удивлению моему не было предела.
Причины аналогичные: body modified in transit или headers modified in
transit. Эти-то могли бы заметить, серьёзные же люди.
Например:
mih.onmicrosoft.com; fail - bodyhash_mismatch -- это metinvestholding.com
datagr.onmicrosoft.com; fail - bodyhash_mismatch -- это Датагруп.
В privatbank.ua используются сервисы Google:
privatbank.ua; fail - signature_incorrect
Т.е. вполне себе уважаемые и не маленькие компании в Украине.
И если согласно FAIL не принять письмо ... - в общем не стоит :)
А красный замочек напротив такого письма AquaMail всё равно нарисует.
Разве что выполнять проверки только для конкретных доменов типа
google.com, paylal.com .., о чем и писал в своем вопросе Виктор.
Вот и сделай проверку для cisco.com - будет сюрприз.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
_______________________________________________
Exim-users mailing list
Exim-users@mailground.net
http://mailground.net/mailman/listinfo/exim-users
