[Postfixbuch-users] DKIM-Impact

Andreas Schulze andreas.schulze at datev.de
Mo Mär 17 08:23:01 CET 2014


Am 16.03.2014 19:30 schrieb Ralf Hildebrandt:
> Aber in der Tat, die werfen eine Interessanten Punkt in den RIng...
Widerspruch Euer Ehren!

dann müsste man auch DNSSEC einstampfen.
(OK, vieleicht doch gar keine schlechte Idee :-/)

1. 1k Schlüssel sind historisch. Das kann jeder.
2. 2k Schlüssel sind empfohlen (BSI, MAAWG, ohne dass ich jetzt Quellen nennen kann)
3. 4k Schlüssel funktionieren auch

Die ResponseSize beim Nameserver ist nur dann wichtig, wenn man keinerlei ResponseRateLimits
im Nameserver hat.

Die eigentliche Lösung dieses Problem wäre aber korrkt konfiguriert
Filter an den Edgroutern, sodass keine Pakete mit gefälschten Source-Adressen aus dem Netz rausgehen.
Und das bei *jedem* Netzteilnehmer ...
Dann könnte niemand UDP-Pakete mit gefälschter Absenderadresse an einen Nameserver senden, der dann
die deutlich größere Antwort an das Opfer schickt.

Generell gilt, je kleiner der Schlüssel, desto häufiger sollte er gewechselt werden.

Andreas

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen



Mehr Informationen über die Mailingliste Postfixbuch-users