Re: DKIM и списки рассылки

Fri, 06 Oct 2017 13:37:03 -0700 

>>>>> Artem Chuprina <[email protected]> writes:

 > Хмутро.  Раз уж пошло обсуждение DKIM (и у меня домашняя рассылка,
 > ага, нарывалась на), не разъяснит ли кто сову?

 > С DKIM, насколько я понимаю, ситуация сходна с SPF: если домен
 > утверждает, что он подписывает, то письмо с From: из этого домена
 > должно быть подписано ключом этого домена.

        Не совсем; что делать в случае отсутствия или недействительности
        DKIM-подписи определяет DMARC (RFC 7489.)  Который, в свою
        очередь, может полагаться на SPF и (или) DKIM.

 > Если рассылка меняет какой-то из подписанных заголовков (в моем
 > случае добавляет Reply-To, отсутствие которого было подписано), то
 > подпись становится невалидной.  И не надо говорить, что это не дело
 > рассылки.  Если бы все почтовые клиенты, начиная с гмейла, были в
 > курсе, как реагировать на рассылочные заголовки, то да, а так нет.

        Мне так казалось, что именно Gmail умеет «ответ в рассылку»
        отдельной командой.  (Кроме того, о том, что Reply-To: менять
        не следует, стали говорить, IIRC, задолго до повсеместного
        принятия DKIM.)

 > Прибить DKIM я могу.  Но From: (не envelope from) хотелось оставить
 > прежним.  А он, зараза, из домена, которому положен DKIM, и его
 > считают спамом.

 > Подписать у себя не пробовал, но логично предположить, что это тоже
 > не вариант, поскольку подпись будет ключом не того домена, что во
 > From.

        На этот случай раздел B.2.3 RFC 6376 как будто бы предлагает
        использовать Sender:.

 > Рассылочный софт у меня был простенький (mlmmj), аккуратно поменять
 > From он не умеет, да и не хотелось этого.

        Если он еще и Sender: менять не умеет — только править.  Или
        переходить на другой, умеющий.

 > Отсель мораль: верно ли я понимаю, что (вменяемый) DKIM-aware софт
 > рассылок может только добавлять всякие List-*, а больше ничего делать
 > он не может?  Ну, если исходящий MTA настроен разумно,
 > т. е. подписывает, в числе прочего, то, что видит получатель,
 > т. е. тело, From и Subject.

 > Т. е. SPF только .forward ломал, а DKIM еще и рассылки.  Или нет?

        Статистики на этот счет не имею, но есть подозрение, что в
        большинстве случаев DKIM ломает рассылки, правящие Subject:,
        Reply-To:, или тело — и не добавляющие при этом свои Sender:
        и DKIM-подпись.

-- 
FSF associate member #7257  http://am-1.org/~ivan/    7D17 4A59 6A21 3D97 6DDB

Ответить