Re: [Exim-users] DKIM

Victor Sudakov wrote: Это, как я понимаю, известная и описанная в RFC6377 багофича, когда mail list manager дописывает футер в тело сообщения, и сообщение становится неаутентичным. Видимо MLM на mailground.net тоже страдает этой проблемой - и это неизбежно, если этот MLM не является DKIM-aware.

Re: [Exim-users] DKIM

On 04/12/2018 13:10, Mikhail Golub wrote: > 04.12.2018 14:28, Vsevolod Stakhov пишет: >> On 04/12/2018 08:57, Mikhail Golub wrote: >>> Т.е. во время приема письма проверка DKIM не пройдена - >>> bodyhash_mismatch. >> >> Если это не simple/simple каноникализация, то это достаточно странно. С >>

Re: [Exim-users] DKIM

04.12.2018 14:28, Vsevolod Stakhov пишет: On 04/12/2018 08:57, Mikhail Golub wrote: Т.е. во время приема письма проверка DKIM не пройдена - bodyhash_mismatch. Если это не simple/simple каноникализация, то это достаточно странно. С relaxed обычно такой чепухи не бывает, а simple использовать

Re: [Exim-users] DKIM

On 04/12/2018 08:57, Mikhail Golub wrote: > Да, с DKIM все печально. > > Вот пример конкретного письма. > > 2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug: > address=nore...@twoomail.com dkim_domain=twoomail.com - bodyhash_mismatch > 2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug: >

Re: [Exim-users] DKIM

Да, с DKIM все печально. Вот пример конкретного письма. 2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug: address=nore...@twoomail.com dkim_domain=twoomail.com - bodyhash_mismatch 2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug: address=nore...@twoomail.com dkim_domain=@twoomail.com -

Re: [Exim-users] DKIM

Mikhail Golub wrote: Решил тоже вернуться к проверке DKIM. Раньше я ничего полезного для себя в проверке DKIM во входящей почте не получил. А чего я собственно вообще заинтересовался DKIM-ом. Есть неплохой почтовый клиент для Андроид, называется AquaMail. Так вот он рисует на письме зелёный

Re: [Exim-users] DKIM

Здравствуйте, Mikhail. Вы писали 26 ноября 2018 г., 20:49:30: > Доброго времени суток. > Решил тоже вернуться к проверке DKIM. > Раньше я ничего полезного для себя в проверке DKIM во входящей почте не > получил. > Промониторив несколько дней почту на ошибки DKIM понял, что на статус >

Re: [Exim-users] DKIM

Доброго времени суток. Решил тоже вернуться к проверке DKIM. Раньше я ничего полезного для себя в проверке DKIM во входящей почте не получил. Промониторив несколько дней почту на ошибки DKIM понял, что на статус "invalid" не стоит обращать внимания ... Ошибки типа "failed key import". Что

Re: [Exim-users] DKIM

> Подскажите pls, как исключить определённых локальных пользователей из > проверки DKIM при приёме почты для них? По условию domain (эти > пользователи в виртуальных доменах) не получилось: > > "cannot test domains condition in DKIM ACL" ${if forall{<, $recipients}\

Re: [Exim-users] DKIM

Подскажите pls, как исключить определённых локальных пользователей из проверки DKIM при приёме почты для них? По условию domain (эти пользователи в виртуальных доменах) не получилось: "cannot test domains condition in DKIM ACL" -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN 2:5005/49@fidonet

Re: [Exim-users] DKIM

Victor Sudakov wrote: Вроде работает как ожидается. И даже красиво получилось с поддельным письмом: Date: Mon, 19 Nov 2018 20:50:14 -0700 From offic...@ail.com Tue Nov 20 10:50:55 2018 From: PayPal Service To: v...@vas.dcs.aber.ac.uk Subject: Alert : Important about your account.

Re: [Exim-users] DKIM

Victor Sudakov wrote: >>Такой минимальной конфигурации достаточно для проверки DKIM во >>входящей почте? (для доменов gmail.com, groups.io присутствие подписи >>обязательно, для остальных - проверяем если она есть): >> >>dkim_verify_signers = gmail.com:groups.io:$dkim_signers >>acl_smtp_dkim =

Re: [Exim-users] DKIM

l...@lena.kiev.ua wrote: >>Такой минимальной конфигурации достаточно для проверки DKIM во >>входящей почте? (для доменов gmail.com, groups.io присутствие подписи >>обязательно, для остальных - проверяем если она есть): >> >>dkim_verify_signers = gmail.com:groups.io:$dkim_signers >>acl_smtp_dkim

Re: [Exim-users] DKIM

> >>Такой минимальной конфигурации достаточно для проверки DKIM во > >>входящей почте? (для доменов gmail.com, groups.io присутствие подписи > >>обязательно, для остальных - проверяем если она есть): > >> > >>dkim_verify_signers = gmail.com:groups.io:$dkim_signers > >>acl_smtp_dkim =

Re: [Exim-users] DKIM

l...@lena.kiev.ua wrote: Такой минимальной конфигурации достаточно для проверки DKIM во входящей почте? (для доменов gmail.com, groups.io присутствие подписи обязательно, для остальных - проверяем если она есть): dkim_verify_signers = gmail.com:groups.io:$dkim_signers acl_smtp_dkim =

Re: [Exim-users] DKIM

> Такой минимальной конфигурации достаточно для проверки DKIM во > входящей почте? (для доменов gmail.com, groups.io присутствие подписи > обязательно, для остальных - проверяем если она есть): > > dkim_verify_signers = gmail.com:groups.io:$dkim_signers > acl_smtp_dkim = acl_check_dkim > >

Re: [Exim-users] DKIM + transport_filter

Здравствуйте, Vsevolod. Вы писали 8 июня 2016 г., 3:12:27: > Другое дело, что из-за хранения ключей в DNS и упорного нежелания > переходить на тот же ed25519 приходится делать максимум RSA 1024 и > ротировать селекторы с достаточной частотой, что очень сложно для > рядового постмастера. я

Re: [Exim-users] DKIM + transport_filter

On 06/06/2016 13:58, Vladimir Sharun wrote: > Всем привет :) > >> ‎Не, ну хэш то подогнать наверняка можно, тут нет сомнений. Типа >> получаем и сохраняем - расшифровываем - меняем тело - подгоняем хэш >> - отправляем дальше. Переподписывать не надо. > > При использовании sha2 это уже

Re: [Exim-users] DKIM + transport_filter

Всем привет :) > ‎Не, ну хэш то подогнать наверняка можно, тут нет сомнений. Типа получаем и > сохраняем - расшифровываем - меняем тело - подгоняем хэш - отправляем дальше. > Переподписывать не надо. При использовании sha2 это уже существенная энергетическая и временная проблема. Редукция

Re: [Exim-users] DKIM + transport_filter

 смартфона BlackBerry 10 по сети TELE2   Исходное сообщение   От: Vladimir Sharun Отправлено: понедельник, 6 июня 2016 г., 13:09 Кому: Exim MTA на русском Ответить: Exim MTA на русском Копия: Exim MTA на русском Тема: Re: [Exim-users] DKIM + transport_filter Привет, Я вообще встрял по вопросу

Re: [Exim-users] DKIM + transport_filter

Привет, Я вообще встрял по вопросу взломостойкости хэша, что реально, но не то чтобы легко :) Что раньше выполняется - для этого есть тестовые прогоны exim'а с включенным дебагом: месседж не отправляется, но кто на ком стоял - сразу видно. > Теперь хотелось бы понять, что выполняется раньше

Re: [Exim-users] DKIM + transport_filter

06.06.2016 13:04, Vladimir Sharun пишет: Всем привет, 3.7 Computing the Message Hashes Both signing and verifying message signatures start with a step of computing two cryptographic hashes over the message. Signers will choose the parameters of the signature as described in Signer Actions

Re: [Exim-users] DKIM + transport_filter

Да-да, уже посмотрел. Спасибо. Ушёл читать, короче. Отправлено с моего смартфона BlackBerry 10 по сети TELE2   Исходное сообщение   От: Vladimir Sharun Отправлено: понедельник, 6 июня 2016 г., 12:05 Кому: Exim MTA на русском Ответить: Exim MTA на русском Тема: Re: [Exim-users] DKIM

Re: [Exim-users] DKIM + transport_filter

 г., 11:33 Кому: Vladimir Sharun Ответить: Exim MTA на русском Тема: Re: [Exim-users] DKIM + transport_filter ‎Насколько я понимаю,  DKIM работает с заголовками. Т.е. что бы вам этот хэш использовать, его нужно будет поместить в специальный заголовок и сообщить DKIM что его также нужно

Re: [Exim-users] DKIM + transport_filter

ить тело письма после? ‎ > > Отправлено с моего смартфона BlackBerry 10 по сети TELE2 > ‎ > Исходное сообщение   > От: Vladimir Sharun > Отправлено: понедельник, 6 июня 2016 г., 11:02 > Кому: Exim MTA на русском > Ответить: Exim MTA на русском > Тема: Re: [Exim-users] DKIM

Re: [Exim-users] DKIM + transport_filter

 смартфона BlackBerry 10 по сети TELE2 ‎   Исходное сообщение   От: Vladimir Sharun Отправлено: понедельник, 6 июня 2016 г., 11:02 Кому: Exim MTA на русском Ответить: Exim MTA на русском Тема: Re: [Exim-users] DKIM + transport_filter Всем привет, Тут непонятный момент есть: если ты взял хэш и от

Re: [Exim-users] DKIM + transport_filter

Всем привет, Тут непонятный момент есть: если ты взял хэш и от боди помимо хедеров, поменял его (body) и есть иллюзия, что хэш верифицируется ? --- Оригінальне повідомлення --- Від кого: "Max Kostikov" Дата: 6 червня 2016, 11:30:05 > 1. Да. > 2. Так и надо, всё верно. >

Re: [Exim-users] DKIM + transport_filter

06.06.2016 10:43, Max Kostikov пишет: Приветствую! 1. Неправильно поняли. Используется определённый набор заголовков. Список рекомендованных есть в 5.4.1. RFC 6376 2. Делать это не в фильтре, а в самом транспорте. 1. То есть изменённое тело письма позволяет пройти валидацию DKIM, если

Re: [Exim-users] DKIM и KAS

Ну, с pre-queue тоже не все так просто: dlopen /usr/local/lib/kaspersky/kav4lms/libkavexim.so failed: /usr/local/lib/kaspersky/kav4lms/libkavexim.so: unsupported file layout То есть опять в руки напильник брать с паяльником. В любом случае, спасибо за совет, буду ковырять. выкиньте вы эту

Re: [Exim-users] DKIM и KAS

экзим и система 64 бит? Fri, 30 Mar 2012 12:12:31 +0400 от An An darkh...@mail.ru: Ну, с pre-queue тоже не все так просто: dlopen /usr/local/lib/kaspersky/kav4lms/libkavexim.so failed: /usr/local/lib/kaspersky/kav4lms/libkavexim.so: unsupported file layout То есть опять в руки

Re: [Exim-users] DKIM и KAS

Exim 4.76 и FreeBSD 8.1 amd64 экзим и система 64 бит? Fri, 30 Mar 2012 12:12:31 +0400 от An An darkh...@mail.ru: Ну, с pre-queue тоже не все так просто: dlopen /usr/local/lib/kaspersky/kav4lms/libkavexim.so failed: /usr/local/lib/kaspersky/kav4lms/libkavexim.so: unsupported

Re: [Exim-users] DKIM и KAS

An An wrote: Exim 4.76 и FreeBSD 8.1 amd64 а если собрать libkavexim.so в /usr/local/src/kav4lms/exim-dlfunc? единственное, что я бы подложил в /usr/local/src/kav4lms/exim-dlfunc/exim-lib/exim-headers актуальные версии этих же файлов из /usr/ports/mail/exim/work/exim-4.7*/build-FreeBSD-amd64

Re: [Exim-users] DKIM и KAS

Антивирус подключен как post-queue: #kav4lms-filter-begin-2 kav4lms_filter: --driver = manualroute --condition = ${if or { {eq {$interface_port}{10026}} {eq {$received_protocol}{spam-scanned}} }{0}{1}} --transport = kav4lms_filter --route_list = * localhost --self = send

Re: [Exim-users] DKIM и KAS

Так и не удалось мне решить проблему с [verification failed - body hash mismatch (body probably modified in transit)]. Судя по всему, письмо передается на проверку антивирусу, а возвращаясь обратно, второй раз проходит DKIM проверку. Больше нигде в конфиге не может письмо инжектиться.

Re: [Exim-users] DKIM и KAS

diff `hd mail1` `hd mail2` дает какие-либо различия? (либо hexdump, в разных системах оно по-разному зовется). кто-то из контент сканеров, либо сам экзим может фиксить переводы строк. а антивирус кто и как подключен? я бы в любом случае пошел путем отключения поочереди всех контент сканеров