Re: DKIM Signatur
Hi Carsten, > Carsten Rosenberg hat am 01.07.2020 19:59 geschrieben: > > einige Server lehnen DKIM Mails ohne verfügbaren Key tatsächlich ab. > Der eigenen Reputation wird das wohl auch eher nicht zuträglich sein, > aber in den meisten Fällen geht die Mail trotzdem durch. > > Eine Signatur einer anderen Domain fließt meist einfach nicht in die > Bewertung ein. > > -- > > Für deinen Rspamd gibt es eine sehr bequeme Funktion, dass vor dem > Signieren der Pub-Key im DNS gesucht wird und mit dem lokalen > Private-Key verglichen wird. Kein/falscher DNS Eintrag -> keine Signatur. das habe ich tatsächlich auch so im Einsatz. Die aktuelle Frage habe ich allerdings für ein anderes System, welches auf opendkim setzt und dort gibt es die Funktion, soweit ich bisher gesehen habe, leider nicht. Wolfgang
Re: DKIM Signatur
Hallo Wolfgang, einige Server lehnen DKIM Mails ohne verfügbaren Key tatsächlich ab. Der eigenen Reputation wird das wohl auch eher nicht zuträglich sein, aber in den meisten Fällen geht die Mail trotzdem durch. Eine Signatur einer anderen Domain fließt meist einfach nicht in die Bewertung ein. -- Für deinen Rspamd gibt es eine sehr bequeme Funktion, dass vor dem Signieren der Pub-Key im DNS gesucht wird und mit dem lokalen Private-Key verglichen wird. Kein/falscher DNS Eintrag -> keine Signatur. # If `true` get pubkey from DNS record and check if it matches private key check_pubkey = true; # Set to `false` if you want to skip signing if public and private keys mismatch allow_pubkey_mismatch = false; Das macht sich sehr praktisch, wenn man viele Domains hat und nur die signiert werden sollen, die den pub.key im DNS hinterlegt haben. Viele Grüße Carsten On 01.07.20 14:45, Wolfgang Rosenauer wrote: > Hallo, > > nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp > oder einen Link. > > Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine > ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag > gibt? > > Hintergrund: ein Mailserver für viele Domains aber ohne direkte > Kontrolle über die DNS Zone und damit könnte es passieren, dass Benutzer > den Eintrag im DNS überhaupt nicht vornehmen. > > Eine zweite Variante: > Falls obiges blöd ist, könnte ich eine generische Signatur mit > entsprechendem DNS Key generieren, deren Domain (d=) aber nicht dem > Absender entspricht? Wie schädlich wäre das in der Praxis? DMARC hätte > damit wohl mindestens ein Problem? > > > > Danke, > Wolfgang >
Re: DKIM Signatur
On 01.07.2020 17:53, Wolfgang Rosenauer wrote: Der Fall aus der Google Seite ist natürlich der, bei dem From Domain und DKIM Domain nicht zueinanderpassen. Die Sektion hattest du gar nicht kommentiert. derartiges würde ich aus einem anderen Grund vermeiden; derartiges kommt eher dem Vergleich der realen Welt nahe: der Brief hat zwar eine Briefmarke der Dt. Post aber einen Absender von außerhalb Dtl. - wie vertrauenswürdig ist das? (f. derartiges mag es sogar gute Gründe geben ..., aber nicht generell) Walter smime.p7s Description: S/MIME Cryptographic Signature
Re: DKIM Signatur
On 01.07.2020 17:41, Wolfgang Rosenauer wrote: "Wenn Sie keinen eigenen DKIM-Domainschlüssel generieren, werden alle ausgehenden Nachrichten in Gmail mit diesem DKIM-Standardschlüssel signiert: d=*.gappssmtp.com" das ist aber was anderes als wovon Du sprichst ... Du sprichst davon eine DKIM-Signatur in den Mail-Header zu klatschen ohne den entsprechenden DNS-Part zur Verifikation irgendwo zu hinterlegen ... smime.p7s Description: S/MIME Cryptographic Signature
Re: DKIM Signatur
Korrektur > Wolfgang Rosenauer hat am 01.07.2020 17:41 > geschrieben: > > > Hi, > > > Walter H. hat am 01.07.2020 16:51 geschrieben: > > > > > > On 01.07.2020 14:45, Wolfgang Rosenauer wrote: > > > nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp > > > oder einen Link. > > > > > > Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine > > > ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag > > > gibt? > > > > das sollte man tunlichst nicht tun; > > > > eine DKIM-Signatur ohne entsprechende DNS-Einträge ist das Pendant eines > > SSL-Zertifikates ohne dazupassenden Root-Token im Browser ... > > > > im Fall von SSL würde Dir der Browser zwar erlauben dies zu umgehen, > > aber das tut man nur, wenn man weiß was man tut; im Fall von DKIM, > > würde ich derartiges nicht mal in eine Queue stellen oder irgendwie > > kennzeichnen, sondern gnadenlos rejecten; > > Genau deswegen die Frage. Ich habe in keinem RFC etwas gefunden, wie in dem > Fall reagiert werden sollte. > Allerdings habe ich bei GMail beobachtet, dass sie in dem Fall offenbar DKIM: > neutral (no-key) bewerten. > > Und auch folgende GSuite Hilfeseite hat mich auf die Idee gebracht: > https://support.google.com/a/answer/174124?hl=de > und dort der Absatz: > "Wenn Sie keinen eigenen DKIM-Domainschlüssel generieren, werden alle > ausgehenden Nachrichten in Gmail mit diesem DKIM-Standardschlüssel signiert: > d=*.gappssmtp.com" > > D.h. Du würdest das direkt rejecten? Der Fall aus der Google Seite ist natürlich der, bei dem From Domain und DKIM Domain nicht zueinanderpassen. Die Sektion hattest du gar nicht kommentiert. Wolfgang > Wolfgang
Re: DKIM Signatur
Hi, > Walter H. hat am 01.07.2020 16:51 geschrieben: > > > On 01.07.2020 14:45, Wolfgang Rosenauer wrote: > > nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp > > oder einen Link. > > > > Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine > > ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag > > gibt? > > das sollte man tunlichst nicht tun; > > eine DKIM-Signatur ohne entsprechende DNS-Einträge ist das Pendant eines > SSL-Zertifikates ohne dazupassenden Root-Token im Browser ... > > im Fall von SSL würde Dir der Browser zwar erlauben dies zu umgehen, > aber das tut man nur, wenn man weiß was man tut; im Fall von DKIM, > würde ich derartiges nicht mal in eine Queue stellen oder irgendwie > kennzeichnen, sondern gnadenlos rejecten; Genau deswegen die Frage. Ich habe in keinem RFC etwas gefunden, wie in dem Fall reagiert werden sollte. Allerdings habe ich bei GMail beobachtet, dass sie in dem Fall offenbar DKIM: neutral (no-key) bewerten. Und auch folgende GSuite Hilfeseite hat mich auf die Idee gebracht: https://support.google.com/a/answer/174124?hl=de und dort der Absatz: "Wenn Sie keinen eigenen DKIM-Domainschlüssel generieren, werden alle ausgehenden Nachrichten in Gmail mit diesem DKIM-Standardschlüssel signiert: d=*.gappssmtp.com" D.h. Du würdest das direkt rejecten? Wolfgang
Re: DKIM Signatur
On 01.07.2020 14:45, Wolfgang Rosenauer wrote: nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp oder einen Link. Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag gibt? das sollte man tunlichst nicht tun; eine DKIM-Signatur ohne entsprechende DNS-Einträge ist das Pendant eines SSL-Zertifikates ohne dazupassenden Root-Token im Browser ... im Fall von SSL würde Dir der Browser zwar erlauben dies zu umgehen, aber das tut man nur, wenn man weiß was man tut; im Fall von DKIM, würde ich derartiges nicht mal in eine Queue stellen oder irgendwie kennzeichnen, sondern gnadenlos rejecten; Walter smime.p7s Description: S/MIME Cryptographic Signature
DKIM Signatur
Hallo, nicht direkt Postfix spezifisch aber vielleicht hat jemand einen Tipp oder einen Link. Ich frage mich gerade, ob es "schädlich" ist, eine DKIM Signatur in eine ausgehende Mail zu packen, ohne dass es einen entsprechenden DNS Eintrag gibt? Hintergrund: ein Mailserver für viele Domains aber ohne direkte Kontrolle über die DNS Zone und damit könnte es passieren, dass Benutzer den Eintrag im DNS überhaupt nicht vornehmen. Eine zweite Variante: Falls obiges blöd ist, könnte ich eine generische Signatur mit entsprechendem DNS Key generieren, deren Domain (d=) aber nicht dem Absender entspricht? Wie schädlich wäre das in der Praxis? DMARC hätte damit wohl mindestens ein Problem? Danke, Wolfgang
