[Postfixbuch-users] Frage zu DKIM-Filter

Patrick Ben Koetter p at state-of-mind.de
Mo Dez 14 20:57:41 CET 2009 

* Sascha Peters <postfixbuch-users at listen.jpberlin.de>:
> Patrick Ben Koetter schrieb:
> >* Stefan Förster <postfixbuch-users at listen.jpberlin.de>:
> >>* Sascha Peters <postfix-list at novuage.de>:
> >>>Und wer würde wozu zu DKIM greifen? Meinte auch keine Personen sondern
> >>>Firmen bzw. Domains. Denn dazu hinterlegt man ja auch in der Domain
> >>>diesen Key.
> >>Ich greife zu DKIM, weil ich als sendende Organisation nachweisen
> >>will, daß die Mails berechtigterweise mit dem Absender gesendet
> >>wurden, den sie tragen.
> >>
> >>Patrick würde Dir jetzt wohl auch was von Reputation erzählen, aber
> >>das kann er besser als ich.
> >
> >*RÄUSPER* *MIMIMIMIIIII*
> >
> >Also... ;)
> >
> >Es gibt zwei klassische Fehlannahmen in Verbindung mit DKIM:
> >
> >Fehlannahme 1: Mail wurde rechtmäßig versendet
> >Eine gültige DKIM-Signatur besagt nicht, dass eine Mail rechtmäßig gesendet
> >wurde! Der Mailserver könnte mißbraucht werden und ohne es zu wissen ganz
> >stolz jeder ausgehenden Nachricht eine Signatur "Das habe ich gemacht..."
> >verpassen. Bestes Beispiel ist der spam von gmail.com, der DKIM-signiert
> >aufschlägt.
> 
> Das ist ebenfalls klar, man kann damit aber wie ich vermutet haben,
> klar machen welcher Server die Mail versendet hat. Nämlich einer der

Ja, genau. Du kannst die Identität des Servers belegen.


> sonst auch dafür zuständig ist (vermutlich) weil er eine Valide DKIM
> Signatur hinbekommen hat. Damit meine ich nun nicht neue Domains die
> von Spammern rigistriert werden und Co.

Die "einer der sonst auch dafür zuständig ist" Verbindung bekommst Du nur mit
ADSP hin. Mit den Author Domain Signing Practices kannst Du Aussagen treffen
wie: "Ich signiere nichts", "Ich bringe hin und wieder Signaturen an", "Ich
signiere alles" und "Ich signiere alles und wenn Du eine unsignierte Mail
erhältst, dann wirf sie weg!"


> >Fehlannahme 2: Absenderidentität ist belegt
> >Eine gültige DKIM-Signatur belegt nicht die Identität des Absenders!
> >Solange der Server gestattet, dass jeder jede Envelope-Sender-Adresse
> >verwenden darf, kann jeder eine beliebige Identität annehmen.
> 
> Genau das meinte ich doch... danke!

Gern geschehen :)


> >Und selbst wenn der Server den Gebrauch der Envelope-Sender-Adresse
> >limitiert, wird das bei Postfix "nur" auf Ebene des SASL Login-Namen
> >gemappt. Wenn jemand einen fremden MUA kontrolliert, der sich per SMTP AUTH
> >identifiziert hat, ist er dann auch der richtige Sender? Nein! Ein eindeutiger
> >Identitätsnachweis ist nur durch Signatur der Nachricht durch den Sender
> >möglich, also PGP, S/MIME etc.
> 
> Wenn jemand meinen MUA kontrolliert, dann hat er doch auch Kontrolle
> über meine S/MIME. Denn die steckt doch auch im MUA, genau wie die

IMO hat er das nicht. Ihm fehlt das Passwort mit dem der private S/MIME-Key
nutzbar gemacht wird. Ohne Kennwort kein S/MIME, keine Signatur etc.

> SMTP-Auth Daten. Von der Seite her kann man nie sicher sein das
> einer den Inhalt geschrieben hat, es sei denn man ruft an und fragt
> Ihn ob er das geschrieben hat. Oder besser man schaut Ihn dabei in
> die Augen ;-)

Oder man weiß, dass der andere verantwortungsvoll mit seiner digitalen
Identität umgeht und den Key mit einem brauchbaren Kennwort geschützt hat. Da
kann man übrigens fast Krieg und Frieden als Passwort eingeben... ;)

> >Wozu dann DKIM?
> >DKIM belegt die Identität eines Servers. Ein Server, der über einen längeren
> >Zeitraum seine Identität nachweist, kann sich einen Namen (Reputation) machen.
> 
> Das macht Sinn und hab ich ja quasi auch spekuliert...
> 
> 
> >Wenn lange nur Ham kommt, kann der Server sich einen guten Ruf erarbeiten. Ein
> >Spammer mit eigenen Ressourcen kann das nicht. Er ist nicht lange genug da, um
> >seiner Spammer-Domain einen guten Ruf zu verpassen.
> >
> >Der gute Ruf kann bei der Klassifizierung in die Beurteilung einer Nachricht
> >einfliessen. Klassifizierung bedeutet im Moment Spam oder Ham, kann aber
> >theoretisch auf andere Fragestellungen angewendet werden.
> >
> >DKIM zahlt sich sofort, aber erst auf lange Sicht richtig gut aus. Es ist im
> >besonderen eine der wenigen Methoden mit der man Gutartigkeit belegen kann.
> >Das halte ich für besonders wichtig, weil wir heute hauptsächlich Methoden
> >haben, um Fehlverhalten zu entdecken und zu bestrafen.
> 
> Genau... also geht es quasi nur über die Längere Sicht, also das
> mitschreiben wie lange der Absender schon korrekte DKIM Verfahren an
> mich sendet, das prüft aber doch noch keine Software mittels
> Datenbank, sorry, hab den Artikel der c´t zwar gelesen aber noch
> nicht die Links und Co verfolgt.

Es lohnt sich! dkim-reputation.org ist wirklich gut zu integrieren.


> >Damit sind wir sozusagen in der Steinzeit. Unsere Server können nur "Ich Dich
> >nicht kennen" und "Du Böse" sagen. DKIM fügt "Du Gut" hinzu. Das ist ein um
> >1/3 grösserer Wortschatz und IMO ein echter Fortschritt. ;)
> 
> Vertauen baut sich langsam auf ;-)

Ja und das Tolle ist: "Langsam" und "Vertrauen" sind zwei Eigenschaften, die
sich Spammer nicht zulegen können.

p at rick


-- 
state of mind
Digitale Kommunikation

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563

Mehr Informationen über die Mailingliste Postfixbuch-users