[Postfixbuch-users] Frage zu DKIM-Filter

Sascha Peters postfix-list at novuage.de
Mo Dez 14 20:03:22 CET 2009


Patrick Ben Koetter schrieb:
> * Stefan Förster <postfixbuch-users at listen.jpberlin.de>:
>> * Sascha Peters <postfix-list at novuage.de>:
>>> Und wer würde wozu zu DKIM greifen? Meinte auch keine Personen sondern
>>> Firmen bzw. Domains. Denn dazu hinterlegt man ja auch in der Domain
>>> diesen Key.
>> Ich greife zu DKIM, weil ich als sendende Organisation nachweisen
>> will, daß die Mails berechtigterweise mit dem Absender gesendet
>> wurden, den sie tragen.
>>
>> Patrick würde Dir jetzt wohl auch was von Reputation erzählen, aber
>> das kann er besser als ich.
> 
> *RÄUSPER* *MIMIMIMIIIII*
> 
> Also... ;)
> 
> Es gibt zwei klassische Fehlannahmen in Verbindung mit DKIM:
> 
> Fehlannahme 1: Mail wurde rechtmäßig versendet
> Eine gültige DKIM-Signatur besagt nicht, dass eine Mail rechtmäßig gesendet
> wurde! Der Mailserver könnte mißbraucht werden und ohne es zu wissen ganz
> stolz jeder ausgehenden Nachricht eine Signatur "Das habe ich gemacht..."
> verpassen. Bestes Beispiel ist der spam von gmail.com, der DKIM-signiert
> aufschlägt.

Das ist ebenfalls klar, man kann damit aber wie ich vermutet haben, klar 
machen welcher Server die Mail versendet hat. Nämlich einer der sonst 
auch dafür zuständig ist (vermutlich) weil er eine Valide DKIM Signatur 
hinbekommen hat. Damit meine ich nun nicht neue Domains die von Spammern 
rigistriert werden und Co.


> Fehlannahme 2: Absenderidentität ist belegt
> Eine gültige DKIM-Signatur belegt nicht die Identität des Absenders!
> Solange der Server gestattet, dass jeder jede Envelope-Sender-Adresse
> verwenden darf, kann jeder eine beliebige Identität annehmen.

Genau das meinte ich doch... danke!


> Und selbst wenn der Server den Gebrauch der Envelope-Sender-Adresse
> limitiert, wird das bei Postfix "nur" auf Ebene des SASL Login-Namen
> gemappt. Wenn jemand einen fremden MUA kontrolliert, der sich per SMTP AUTH
> identifiziert hat, ist er dann auch der richtige Sender? Nein! Ein eindeutiger
> Identitätsnachweis ist nur durch Signatur der Nachricht durch den Sender
> möglich, also PGP, S/MIME etc.

Wenn jemand meinen MUA kontrolliert, dann hat er doch auch Kontrolle 
über meine S/MIME. Denn die steckt doch auch im MUA, genau wie die 
SMTP-Auth Daten. Von der Seite her kann man nie sicher sein das einer 
den Inhalt geschrieben hat, es sei denn man ruft an und fragt Ihn ob er 
das geschrieben hat. Oder besser man schaut Ihn dabei in die Augen ;-)


> Wozu dann DKIM?
> DKIM belegt die Identität eines Servers. Ein Server, der über einen längeren
> Zeitraum seine Identität nachweist, kann sich einen Namen (Reputation) machen.

Das macht Sinn und hab ich ja quasi auch spekuliert...


> Wenn lange nur Ham kommt, kann der Server sich einen guten Ruf erarbeiten. Ein
> Spammer mit eigenen Ressourcen kann das nicht. Er ist nicht lange genug da, um
> seiner Spammer-Domain einen guten Ruf zu verpassen.
> 
> Der gute Ruf kann bei der Klassifizierung in die Beurteilung einer Nachricht
> einfliessen. Klassifizierung bedeutet im Moment Spam oder Ham, kann aber
> theoretisch auf andere Fragestellungen angewendet werden.
> 
> DKIM zahlt sich sofort, aber erst auf lange Sicht richtig gut aus. Es ist im
> besonderen eine der wenigen Methoden mit der man Gutartigkeit belegen kann.
> Das halte ich für besonders wichtig, weil wir heute hauptsächlich Methoden
> haben, um Fehlverhalten zu entdecken und zu bestrafen.

Genau... also geht es quasi nur über die Längere Sicht, also das 
mitschreiben wie lange der Absender schon korrekte DKIM Verfahren an 
mich sendet, das prüft aber doch noch keine Software mittels Datenbank, 
sorry, hab den Artikel der c´t zwar gelesen aber noch nicht die Links 
und Co verfolgt.


> Damit sind wir sozusagen in der Steinzeit. Unsere Server können nur "Ich Dich
> nicht kennen" und "Du Böse" sagen. DKIM fügt "Du Gut" hinzu. Das ist ein um
> 1/3 grösserer Wortschatz und IMO ein echter Fortschritt. ;)

Vertauen baut sich langsam auf ;-)


-- 

Gruß
Sascha



Mehr Informationen über die Mailingliste Postfixbuch-users