[Postfixbuch-users] DKIM-Impact
Patrick Ben Koetter
p at sys4.de
Mo Mär 17 09:03:32 CET 2014
Griasdi!
* Django [BOfH] <postfixbuch-users at listen.jpberlin.de>:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Ahoi!
>
> Bei einem meiner kunden bin ich vor kurzem kläglich gescheitert
> (m)einen aktuellen DKIM-Key im DNS zu hinterlegen. Ich bekam vom
> dortigen DNS-Admin als Antwort:
>
> - ---------%<---------------%<---------------%<---------------%<---------
> Leider muss ich Ihnen mitteilen das wir nur maximal
> 1024bit-DKIM-Schlüssel zulassen, um unsere Nameserver vor Angriffen
> durch DNS Amplification zu schützen.
> Der Standard zu DKIM schreibt 2048-bit-Schlüssel als Maximum vor. Zum
> Schutz vor Spammern ist ein 1024-bit-Schlüssel ausreichend.
> - ---------%<---------------%<---------------%<---------------%<---------
>
> Mal abgesehen davon, dass im RFC 4871 explizit *keine* Schlüssellänge
> definiert wurde, würde mich mal interessieren, wie hoch denn bei einem
> "richtigen MXer" die Last beim Signieren/Validieren ist, wenn:
> a) ein 1024er DKIM-Key verwendet wird, oder
> b) ein 4096er DKIM-Key zur Anwendung kommt.
>
> Kann dazu einer eine Einschätzung abgeben?
Ja, damit kann man böse Sachen machen und ja, je länger der Schlüssel, desto
fieser der Impact.
Die Antwort darauf ist Rate Limiting. Robert hatte darüber vor einer Weile
gebloggt: <https://sys4.de/de/blog/2013/06/20/rate-limiting-dns-mit-bind9/>.
Beachte dazu auch die Bemerkungen am Ende von Carsten Strotmann unserem Mann
für DNS. Wenn Dein Kunde so sicherheitsbewußt ist, magst Du ihm vielleicht
einen Kurs bei Carsten <http://www.linuxhotel.de/kurs/dnssec/> empfehlen. So
wie ich Carsten kenne, bleibt er keine Antwort schuldig und alle Teilnehmer
gehen erleuchtet ;) von dannen.
p at rick
--
[*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste Postfixbuch-users