[Postfixbuch-users] Frage zu DKIM-Filter

Patrick Ben Koetter p at state-of-mind.de
Mo Dez 14 19:48:58 CET 2009


* Stefan Förster <postfixbuch-users at listen.jpberlin.de>:
> * Sascha Peters <postfix-list at novuage.de>:
> > Und wer würde wozu zu DKIM greifen? Meinte auch keine Personen sondern
> > Firmen bzw. Domains. Denn dazu hinterlegt man ja auch in der Domain
> > diesen Key.
> 
> Ich greife zu DKIM, weil ich als sendende Organisation nachweisen
> will, daß die Mails berechtigterweise mit dem Absender gesendet
> wurden, den sie tragen.
> 
> Patrick würde Dir jetzt wohl auch was von Reputation erzählen, aber
> das kann er besser als ich.

*RÄUSPER* *MIMIMIMIIIII*

Also... ;)

Es gibt zwei klassische Fehlannahmen in Verbindung mit DKIM:

Fehlannahme 1: Mail wurde rechtmäßig versendet
Eine gültige DKIM-Signatur besagt nicht, dass eine Mail rechtmäßig gesendet
wurde! Der Mailserver könnte mißbraucht werden und ohne es zu wissen ganz
stolz jeder ausgehenden Nachricht eine Signatur "Das habe ich gemacht..."
verpassen. Bestes Beispiel ist der spam von gmail.com, der DKIM-signiert
aufschlägt.

Fehlannahme 2: Absenderidentität ist belegt
Eine gültige DKIM-Signatur belegt nicht die Identität des Absenders!
Solange der Server gestattet, dass jeder jede Envelope-Sender-Adresse
verwenden darf, kann jeder eine beliebige Identität annehmen.

Und selbst wenn der Server den Gebrauch der Envelope-Sender-Adresse
limitiert, wird das bei Postfix "nur" auf Ebene des SASL Login-Namen
gemappt. Wenn jemand einen fremden MUA kontrolliert, der sich per SMTP AUTH
identifiziert hat, ist er dann auch der richtige Sender? Nein! Ein eindeutiger
Identitätsnachweis ist nur durch Signatur der Nachricht durch den Sender
möglich, also PGP, S/MIME etc.

Wozu dann DKIM?
DKIM belegt die Identität eines Servers. Ein Server, der über einen längeren
Zeitraum seine Identität nachweist, kann sich einen Namen (Reputation) machen.

Wenn lange nur Ham kommt, kann der Server sich einen guten Ruf erarbeiten. Ein
Spammer mit eigenen Ressourcen kann das nicht. Er ist nicht lange genug da, um
seiner Spammer-Domain einen guten Ruf zu verpassen.

Der gute Ruf kann bei der Klassifizierung in die Beurteilung einer Nachricht
einfliessen. Klassifizierung bedeutet im Moment Spam oder Ham, kann aber
theoretisch auf andere Fragestellungen angewendet werden.

DKIM zahlt sich sofort, aber erst auf lange Sicht richtig gut aus. Es ist im
besonderen eine der wenigen Methoden mit der man Gutartigkeit belegen kann.
Das halte ich für besonders wichtig, weil wir heute hauptsächlich Methoden
haben, um Fehlverhalten zu entdecken und zu bestrafen.

Damit sind wir sozusagen in der Steinzeit. Unsere Server können nur "Ich Dich
nicht kennen" und "Du Böse" sagen. DKIM fügt "Du Gut" hinzu. Das ist ein um
1/3 grösserer Wortschatz und IMO ein echter Fortschritt. ;)

HTH,

p at rick

-- 
state of mind
Digitale Kommunikation

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563




Mehr Informationen über die Mailingliste Postfixbuch-users