>>>>> Eugene Berdnikov <b...@protva.ru> writes:
>>>>> On Wed, Oct 04, 2017 at 05:25:26PM +0000, Ivan Shmakov wrote:
>>>>> Eugene Berdnikov <b...@protva.ru> writes: >
>>> По моему скромному мнению, для рассылок следует ограничиться
>>> подписью заголовков From, To, Cc, Date и Message-Id, плюс,
>>> возможно, Reply-To, In-Reply-To и References.
>> Задача определения, идет ли письмо в рассылку или нет, не кажется
>> мне тривиальной.
> Ну и решать её незачем. Просто не нужно тянуть в подпись разный
> мусор, тогда везде будет меньше проблем, в том числе в рассылках.
«Мусор» не нужно тянуть в заголовок вовсе. Вот только не
уверен, что это относится к, e. g., List-*.
>>> При этом не следует подписывать тело (body).
>> Прошу прощения? Другими словами, предоставить злоумышленнику
>> возможность отправить условный «$$$ make money fast $$$» с моим
>> заголовком и /действительной/ подписью моего MTA?
> Злоумышленник будет больше озадачен тем, как подделать обратный адрес
> на транспортном уровне, т. е. в envelope_from. Потому как MTA именно
> его обычно проверяют — применяют SPF, грейлистинг и т. д.
А в чем собственно проблема? Вот как раз год назад стал я
получать нежелательную корреспонденцию со всяческих
cameraforme.ru, network-asp.ru, lambdafsu.ru, …, school38.bid,
etc. — со вполне себе действительными SPF. И, к слову, DKIM. [1]
[1] news:87vax8xfdm....@violet.siamics.net
SPF? DKIM? spammers can do them too // news:comp.mail.misc
> А те, кто ведётся на «make money fast», они не только про DKIM ничего
> не слышали, они вообще не догадываются, что в письме может быть
> какая-то ложь. :)
Разве это важно? Если десять пользователей узла отметят письма
с @abuse.example.invalid как spam, то можно надеяться, что
автоклассификатор отметит корреспонденцию с того же домена
следующим ста самостоятельно.
Другое дело, что узлам с тремя пользователями (или же без
работающих автоклассификаторов) извлечь пользу из DKIM уже
ощутимо сложнее. Или?
[…]
>> Если рассылка вносит сколь угодно существенные изменения, я так
>> думаю, ее администратор уже вполне может взять на себя
>> ответственность за распространение пересылаемых сообщений и
>> настроить их подписывание ключом своего узла.
> Достаточно просто снести нахрен все заголовки DKIM из входящего
> письма перед форвардом в рассылку.
Есть подозрение, что отсутствие DKIM-подписей может идти вразрез
с рекомендациями некоторых популярных почтовых служб. А значит
такое поведение чревато массовым попаданием сообщений в Spam.
(Из-за чего я и озадачился поддержкой DKIM, IIRC.)
А значит необходимо либо сохранять исходную подпись (что, в свою
очередь, предполагает достаточно консервативный подход к правке
транзитных сообщений), либо озаботиться созданием собственной
подписи (и со спокойной совестью добавлять [LIST] в Subject:,
«unsubscribe» в тело, не говоря уже о рекламе…)
> Но мы ведь сейчас обсуждаем что делать если админ шлюза даже этим не
> озаботился.
В свое время, администраторы рассылки по SWI Prolog не
справились с DKIM. В итоге, оная стала «группой Google.»
--
FSF associate member #7257 np. Absolution — Makkon 7D17 4A59 6A21 3D97 6DDB
