[Postfixbuch-users] 7-Bit-Konvertierung für DKIM

Roland Ramthun mail at roland-ramthun.de
Di Aug 25 17:49:23 CEST 2009 

Hallo Liste,

ich hadere gerade etwas mit dem DKIM RFC.

In Punkt 5.3 des DKIM RFCs 4871 steht Folgendes:

5.3.  Normalize the Message to Prevent Transport Conversions

Some messages, particularly those using 8-bit characters, are subject to
modification during transit, notably conversion to 7-bit form. Such
conversions will break DKIM signatures.  In order to minimize the
chances of such breakage, signers SHOULD convert the message to a
suitable MIME content transfer encoding such as quoted-printable or
base64 as described in MIME Part One [RFC2045] before signing.  Such
conversion is outside the scope of DKIM; the actual message SHOULD be
converted to 7-bit MIME by an MUA or MSA prior to presentation to the
DKIM algorithm. [...]

Es gibt ja seit Mitte der 90er Jahre die 8BITMIME-Erweiterung für ESMTP,
die in den Default-Konfigurationen der meisten Mailserver heute auch
aktiv ist und eine gewisse Menge Bandbreite spart.

Nun muss man die 8-Bit-Kodierung aber offenbar wieder loswerden.

Es stellt sich die Frage, wie man das am besten macht.
Ich denke daran über smtpd_discard_ehlo_keywords 8BITMIME zu entfernt.

Dann sollte der Client ja in 7-Bit senden, als base64 oder
quoted-printable (vgl. oben).

Im MIME RFC 2045 steht nun noch folgendes:

Because quoted-printable data is generally assumed to be line-oriented,
it is to be expected that the representation of the breaks between the
lines of quoted-printable data may be altered in transport, in the same
manner that plain text mail has always been altered in Internet mail
when passing between systems with differing newline conventions.  If
such alterations are likely to constitute a corruption of the data, it 
is probably more sensible to use the base64 encoding rather than the
quoted-printable encoding.

"Line alteration in transport" würde die Signatur aber zerstören (der
Body wird ja selten "relaxed" geprüft).
Insofern scheint mir die Empfehlung des DKIM RFS für quoted-printable
doch nicht so gut zu sein. 
Am besten wäre es also, wenn alle E-Mails base64 kodiert wären, bevor
sie ins Signing gehen.
Das lässt sich bestimmt über amavisd-new lösen.

Stimmen die Überlegungen soweit?
Wie habt ihr eure Setups gelöst, was das Encoding angeht?

Danke für alle Antworten.

Mit freundlichen Grüßen
Roland Ramthun

Mehr Informationen über die Mailingliste Postfixbuch-users