Victor Sudakov wrote:
Это, как я понимаю, известная и описанная в RFC6377 багофича, когда
mail list manager дописывает футер в тело сообщения, и сообщение
становится неаутентичным. Видимо MLM на mailground.net тоже страдает
этой проблемой - и это неизбежно, если этот MLM не является DKIM-aware.
On 04/12/2018 13:10, Mikhail Golub wrote:
> 04.12.2018 14:28, Vsevolod Stakhov пишет:
>> On 04/12/2018 08:57, Mikhail Golub wrote:
>>> Т.е. во время приема письма проверка DKIM не пройдена -
>>> bodyhash_mismatch.
>>
>> Если это не simple/simple каноникализация, то это достаточно странно. С
>>
04.12.2018 14:28, Vsevolod Stakhov пишет:
On 04/12/2018 08:57, Mikhail Golub wrote:
Т.е. во время приема письма проверка DKIM не пройдена - bodyhash_mismatch.
Если это не simple/simple каноникализация, то это достаточно странно. С
relaxed обычно такой чепухи не бывает, а simple использовать
On 04/12/2018 08:57, Mikhail Golub wrote:
> Да, с DKIM все печально.
>
> Вот пример конкретного письма.
>
> 2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug:
> address=nore...@twoomail.com dkim_domain=twoomail.com - bodyhash_mismatch
> 2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug:
>
Да, с DKIM все печально.
Вот пример конкретного письма.
2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug:
address=nore...@twoomail.com dkim_domain=twoomail.com - bodyhash_mismatch
2018-12-04 01:52:41 1gTy13-000C3F-7I DKIM-Debug:
address=nore...@twoomail.com dkim_domain=@twoomail.com -
Mikhail Golub wrote:
Решил тоже вернуться к проверке DKIM.
Раньше я ничего полезного для себя в проверке DKIM во входящей почте не
получил.
А чего я собственно вообще заинтересовался DKIM-ом. Есть неплохой
почтовый клиент для Андроид, называется AquaMail. Так вот он рисует на
письме зелёный
Здравствуйте, Mikhail.
Вы писали 26 ноября 2018 г., 20:49:30:
> Доброго времени суток.
> Решил тоже вернуться к проверке DKIM.
> Раньше я ничего полезного для себя в проверке DKIM во входящей почте не
> получил.
> Промониторив несколько дней почту на ошибки DKIM понял, что на статус
>
Доброго времени суток.
Решил тоже вернуться к проверке DKIM.
Раньше я ничего полезного для себя в проверке DKIM во входящей почте не
получил.
Промониторив несколько дней почту на ошибки DKIM понял, что на статус
"invalid" не стоит обращать внимания ...
Ошибки типа "failed key import".
Что
> Подскажите pls, как исключить определённых локальных пользователей из
> проверки DKIM при приёме почты для них? По условию domain (эти
> пользователи в виртуальных доменах) не получилось:
>
> "cannot test domains condition in DKIM ACL"
${if forall{<, $recipients}\
Подскажите pls, как исключить определённых локальных пользователей из
проверки DKIM при приёме почты для них? По условию domain (эти
пользователи в виртуальных доменах) не получилось:
"cannot test domains condition in DKIM ACL"
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet
Victor Sudakov wrote:
Вроде работает как ожидается.
И даже красиво получилось с поддельным письмом:
Date: Mon, 19 Nov 2018 20:50:14 -0700
From offic...@ail.com Tue Nov 20 10:50:55 2018
From: PayPal Service
To: v...@vas.dcs.aber.ac.uk
Subject: Alert : Important about your account.
Victor Sudakov wrote:
>>Такой минимальной конфигурации достаточно для проверки DKIM во
>>входящей почте? (для доменов gmail.com, groups.io присутствие подписи
>>обязательно, для остальных - проверяем если она есть):
>>
>>dkim_verify_signers = gmail.com:groups.io:$dkim_signers
>>acl_smtp_dkim =
l...@lena.kiev.ua wrote:
>>Такой минимальной конфигурации достаточно для проверки DKIM во
>>входящей почте? (для доменов gmail.com, groups.io присутствие подписи
>>обязательно, для остальных - проверяем если она есть):
>>
>>dkim_verify_signers = gmail.com:groups.io:$dkim_signers
>>acl_smtp_dkim
> >>Такой минимальной конфигурации достаточно для проверки DKIM во
> >>входящей почте? (для доменов gmail.com, groups.io присутствие подписи
> >>обязательно, для остальных - проверяем если она есть):
> >>
> >>dkim_verify_signers = gmail.com:groups.io:$dkim_signers
> >>acl_smtp_dkim =
l...@lena.kiev.ua wrote:
Такой минимальной конфигурации достаточно для проверки DKIM во
входящей почте? (для доменов gmail.com, groups.io присутствие подписи
обязательно, для остальных - проверяем если она есть):
dkim_verify_signers = gmail.com:groups.io:$dkim_signers
acl_smtp_dkim =
> Такой минимальной конфигурации достаточно для проверки DKIM во
> входящей почте? (для доменов gmail.com, groups.io присутствие подписи
> обязательно, для остальных - проверяем если она есть):
>
> dkim_verify_signers = gmail.com:groups.io:$dkim_signers
> acl_smtp_dkim = acl_check_dkim
>
>
Здравствуйте, Vsevolod.
Вы писали 8 июня 2016 г., 3:12:27:
> Другое дело, что из-за хранения ключей в DNS и упорного нежелания
> переходить на тот же ed25519 приходится делать максимум RSA 1024 и
> ротировать селекторы с достаточной частотой, что очень сложно для
> рядового постмастера.
я
On 06/06/2016 13:58, Vladimir Sharun wrote:
> Всем привет :)
>
>> Не, ну хэш то подогнать наверняка можно, тут нет сомнений. Типа
>> получаем и сохраняем - расшифровываем - меняем тело - подгоняем хэш
>> - отправляем дальше. Переподписывать не надо.
>
> При использовании sha2 это уже
Всем привет :)
> Не, ну хэш то подогнать наверняка можно, тут нет сомнений. Типа получаем и
> сохраняем - расшифровываем - меняем тело - подгоняем хэш - отправляем дальше.
> Переподписывать не надо.
При использовании sha2 это уже существенная энергетическая и временная
проблема. Редукция
смартфона BlackBerry 10 по сети TELE2
Исходное сообщение
От: Vladimir Sharun
Отправлено: понедельник, 6 июня 2016 г., 13:09
Кому: Exim MTA на русском
Ответить: Exim MTA на русском
Копия: Exim MTA на русском
Тема: Re: [Exim-users] DKIM + transport_filter
Привет,
Я вообще встрял по вопросу
Привет,
Я вообще встрял по вопросу взломостойкости хэша, что реально, но не то чтобы
легко :)
Что раньше выполняется - для этого есть тестовые прогоны exim'а с включенным
дебагом:
месседж не отправляется, но кто на ком стоял - сразу видно.
> Теперь хотелось бы понять, что выполняется раньше
06.06.2016 13:04, Vladimir Sharun пишет:
Всем привет,
3.7 Computing the Message Hashes
Both signing and verifying message signatures start with a step of computing
two cryptographic hashes over the message. Signers will choose the parameters
of the signature as described in Signer Actions
Да-да, уже посмотрел. Спасибо.
Ушёл читать, короче.
Отправлено с моего смартфона BlackBerry 10 по сети TELE2
Исходное сообщение
От: Vladimir Sharun
Отправлено: понедельник, 6 июня 2016 г., 12:05
Кому: Exim MTA на русском
Ответить: Exim MTA на русском
Тема: Re: [Exim-users] DKIM
г., 11:33
Кому: Vladimir Sharun
Ответить: Exim MTA на русском
Тема: Re: [Exim-users] DKIM + transport_filter
Насколько я понимаю, DKIM работает с заголовками. Т.е. что бы вам этот хэш
использовать, его нужно будет поместить в специальный заголовок и сообщить DKIM
что его также нужно
ить тело письма после?
>
> Отправлено с моего смартфона BlackBerry 10 по сети TELE2
>
> Исходное сообщение
> От: Vladimir Sharun
> Отправлено: понедельник, 6 июня 2016 г., 11:02
> Кому: Exim MTA на русском
> Ответить: Exim MTA на русском
> Тема: Re: [Exim-users] DKIM
смартфона BlackBerry 10 по сети TELE2
Исходное сообщение
От: Vladimir Sharun
Отправлено: понедельник, 6 июня 2016 г., 11:02
Кому: Exim MTA на русском
Ответить: Exim MTA на русском
Тема: Re: [Exim-users] DKIM + transport_filter
Всем привет,
Тут непонятный момент есть: если ты взял хэш и от
Всем привет,
Тут непонятный момент есть: если ты взял хэш и от боди помимо хедеров,
поменял его (body) и есть иллюзия, что хэш верифицируется ?
--- Оригінальне повідомлення ---
Від кого: "Max Kostikov"
Дата: 6 червня 2016, 11:30:05
> 1. Да.
> 2. Так и надо, всё верно.
>
06.06.2016 10:43, Max Kostikov пишет:
Приветствую!
1. Неправильно поняли. Используется определённый набор заголовков.
Список рекомендованных есть в 5.4.1. RFC 6376
2. Делать это не в фильтре, а в самом транспорте.
1. То есть изменённое тело письма позволяет пройти валидацию DKIM, если
Ну, с pre-queue тоже не все так просто:
dlopen /usr/local/lib/kaspersky/kav4lms/libkavexim.so failed:
/usr/local/lib/kaspersky/kav4lms/libkavexim.so: unsupported file layout
То есть опять в руки напильник брать с паяльником. В любом случае, спасибо за
совет, буду ковырять.
выкиньте вы эту
экзим и система 64 бит?
Fri, 30 Mar 2012 12:12:31 +0400 от An An darkh...@mail.ru:
Ну, с pre-queue тоже не все так просто:
dlopen /usr/local/lib/kaspersky/kav4lms/libkavexim.so failed:
/usr/local/lib/kaspersky/kav4lms/libkavexim.so: unsupported file layout
То есть опять в руки
Exim 4.76 и FreeBSD 8.1 amd64
экзим и система 64 бит?
Fri, 30 Mar 2012 12:12:31 +0400 от An An darkh...@mail.ru:
Ну, с pre-queue тоже не все так просто:
dlopen /usr/local/lib/kaspersky/kav4lms/libkavexim.so failed:
/usr/local/lib/kaspersky/kav4lms/libkavexim.so: unsupported
An An wrote:
Exim 4.76 и FreeBSD 8.1 amd64
а если собрать libkavexim.so в /usr/local/src/kav4lms/exim-dlfunc?
единственное, что я бы подложил в
/usr/local/src/kav4lms/exim-dlfunc/exim-lib/exim-headers актуальные
версии этих же файлов из
/usr/ports/mail/exim/work/exim-4.7*/build-FreeBSD-amd64
Антивирус подключен как post-queue:
#kav4lms-filter-begin-2
kav4lms_filter:
--driver = manualroute
--condition = ${if or { {eq {$interface_port}{10026}} {eq
{$received_protocol}{spam-scanned}} }{0}{1}}
--transport = kav4lms_filter
--route_list = * localhost
--self = send
Так и не удалось мне решить проблему с [verification failed - body hash
mismatch (body probably modified in transit)].
Судя по всему, письмо передается на проверку антивирусу, а возвращаясь обратно,
второй раз проходит DKIM проверку. Больше нигде в конфиге не может письмо
инжектиться.
diff `hd mail1` `hd mail2`
дает какие-либо различия? (либо hexdump, в разных системах оно по-разному
зовется). кто-то из контент сканеров, либо сам экзим может фиксить переводы
строк.
а антивирус кто и как подключен?
я бы в любом случае пошел путем отключения поочереди всех контент сканеров
35 matches
Mail list logo