Ivan Shmakov -> debian-russian@lists.debian.org @ Fri, 06 Oct 2017 20:20:26 +0000:
>> Хмутро. Раз уж пошло обсуждение DKIM (и у меня домашняя рассылка, >> ага, нарывалась на), не разъяснит ли кто сову? >> С DKIM, насколько я понимаю, ситуация сходна с SPF: если домен >> утверждает, что он подписывает, то письмо с From: из этого домена >> должно быть подписано ключом этого домена. > Не совсем; что делать в случае отсутствия или недействительности > DKIM-подписи определяет DMARC (RFC 7489.) Который, в свою > очередь, может полагаться на SPF и (или) DKIM. Ок, "должно", допустим, громко сказано. Факт: если подписи нет или она не валидна, письмо попадает в спам. Которого получатель в норме не читает, что логично. >> Если рассылка меняет какой-то из подписанных заголовков (в моем >> случае добавляет Reply-To, отсутствие которого было подписано), то >> подпись становится невалидной. И не надо говорить, что это не дело >> рассылки. Если бы все почтовые клиенты, начиная с гмейла, были в >> курсе, как реагировать на рассылочные заголовки, то да, а так нет. > Мне так казалось, что именно Gmail умеет «ответ в рассылку» > отдельной командой. (Кроме того, о том, что Reply-To: менять > не следует, стали говорить, IIRC, задолго до повсеместного > принятия DKIM.) В том-то и дело, что отдельной командой, о которой нормальный человек, не IT-специалист, тупо не в курсе. И нет, она не на видном месте. В результате факт: если Reply-To не выставить, ответ в рассылку не попадет. Вот если бы он, видя заголовки рассылки, хотя бы предлагал ответить в рассылку же при нажатии на обычную кнопку "ответить", можно было бы считать, что он в курсе, как на них надо реагировать. >> Прибить DKIM я могу. Но From: (не envelope from) хотелось оставить >> прежним. А он, зараза, из домена, которому положен DKIM, и его >> считают спамом. >> Подписать у себя не пробовал, но логично предположить, что это тоже >> не вариант, поскольку подпись будет ключом не того домена, что во >> From. > На этот случай раздел B.2.3 RFC 6376 как будто бы предлагает > использовать Sender:. О, вот это интересно. В смысле, подписать своим ключом, а при проверке сравнят мой домен с Sender, если он есть? >> Рассылочный софт у меня был простенький (mlmmj), аккуратно поменять >> From он не умеет, да и не хотелось этого. > Если он еще и Sender: менять не умеет — только править. Или > переходить на другой, умеющий. Вроде умеет. Добавить заголовок он умеет любой, но только фиксированный. >> Отсель мораль: верно ли я понимаю, что (вменяемый) DKIM-aware софт >> рассылок может только добавлять всякие List-*, а больше ничего делать >> он не может? Ну, если исходящий MTA настроен разумно, >> т. е. подписывает, в числе прочего, то, что видит получатель, >> т. е. тело, From и Subject. >> Т. е. SPF только .forward ломал, а DKIM еще и рассылки. Или нет? > Статистики на этот счет не имею, но есть подозрение, что в > большинстве случаев DKIM ломает рассылки, правящие Subject:, > Reply-To:, или тело — и не добавляющие при этом свои Sender: > и DKIM-подпись. Ну, при таком условии нормально. Спасибо.