Fórum Root.cz

Hlavní témata => Server => Téma založeno: Janko Hrasko 02. 09. 2020, 16:24:41

Název: DKIM: jak příjemce ví, že maily mají být podepsané
Přispěvatel: Janko Hrasko 02. 09. 2020, 16:24:41

Dobry den.

Potreboval bych dovysvetlit princip DKIM. Chapu, ze odesilatel vystavi v DNS pomoci "selector" verejny klic,aby mohl byt podpis emailu overenej.

Jak se ale prijemce dozvi, ze email z nejake domeny ma byt vubec podepsanej? Ku prikladu, domena example.com. Utocnik posle zlej email z teto domeny, nic nepodepise. Jak se prijemce ma dozvedet, ze email mel byt vubec podepsanej?

Název: Re:DKIM - jak reciver mail server vi, ze maily maji byt podepsane
Přispěvatel: 5nik 02. 09. 2020, 16:37:09

Dobrý den,
sice jsem to nikde explicitně neviděl napsané, nicméně k tomu by měl sloužit DMARC. DKIM skutečně nevynucuje podepisování na dané doméně. Pořád to je ale na podpoře příjemcova serveru, zda umí ověřovat DKIM a rozumí DMARCu.

Název: Re:DKIM: jak příjemce ví, že maily mají být podepsané
Přispěvatel: Miroslav Šilhavý 02. 09. 2020, 16:59:23

Citace: Janko Hrasko  02. 09. 2020, 16:24:41

Utocnik posle zlej email z teto domeny, nic nepodepise. Jak se prijemce ma dozvedet, ze email mel byt vubec podepsanej?

Pomocí DKIM nemůžete určit, že mail není legitimní. Dá se z něj dovodit pouze to, že je.

Tedy:
DKIM je a odpovídá => mail je důvěryhodný.
DKIM není => mail může být důvěryhodný a nemusí.
DKIM je a neodpovídá => záleží na nastavené politice (považovat za "možná" důvěryhodný nebo za s jistotou nedůvěryhodný)

Název: Re:DKIM: jak příjemce ví, že maily mají být podepsané
Přispěvatel: M_D 02. 09. 2020, 17:46:59

Samotné DKIM to neřeší. Dříve to řešil ADSP záznam v DNS, který to říkal:
_adsp._domainkey.example.com. in txt "dkim=all|discardable|unknown"
Nicméně je to historic, asi se to nikdy pořádně neujalo, dneska je existence platného DKIM podpisu jeden z faktorů při vyhodnocování  DMARC. V rámci DMARC jde jen předepsat jak moc přesně musí sedět doména podpisu s From doménou  (adkim=r|s).