[Postfixbuch-users] DKIM-Impact

So Mär 16 19:30:54 CET 2014

* Django [BOfH] <django at nausch.org>:
> Ahoi!
> 
> Bei einem meiner kunden bin ich vor kurzem kläglich gescheitert
> (m)einen aktuellen DKIM-Key im DNS zu hinterlegen. Ich bekam vom
> dortigen DNS-Admin als Antwort:
> 
> ---------%<---------------%<---------------%<---------------%<---------
> Leider muss ich Ihnen mitteilen das wir nur maximal
> 1024bit-DKIM-Schlüssel zulassen, um unsere Nameserver vor Angriffen
> durch DNS Amplification zu schützen.
> Der Standard zu DKIM schreibt 2048-bit-Schlüssel als Maximum vor. Zum
> Schutz vor Spammern ist ein 1024-bit-Schlüssel ausreichend.
> ---------%<---------------%<---------------%<---------------%<---------

Guter EInwand, daran (DEMO VERSION!) hatte ich noch gar nicht gedacht!

> Mal abgesehen davon, dass im RFC 4871 explizit *keine* Schlüssellänge
> definiert wurde, würde mich mal interessieren, wie hoch denn bei einem
> "richtigen MXer" die Last beim Signieren/Validieren ist, wenn:
>  a) ein 1024er DKIM-Key verwendet wird, oder
>  b) ein 4096er DKIM-Key zur Anwendung kommt.

Last? Es geht denen um die DATENMENGE im TXT Record.
Aber das ist eh Mumpitz, in so einem Fall wÃ¼rde man vielleicht Rate
limiting fÃ¼r DNS Anfragen machen. Aber in der Tat, die werfen eine
Interessanten Punkt in den RIng...

-- 
Ralf Hildebrandt
  GeschÃ¤ftsbereich IT | Abteilung Netzwerk
  CharitÃ© - UniversitÃ¤tsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de