DKIM: jak příjemce ví, že maily mají být podepsané

Dobry den.

Potreboval bych dovysvetlit princip DKIM. Chapu, ze odesilatel vystavi v DNS pomoci "selector" verejny klic,aby mohl byt podpis emailu overenej.

Jak se ale prijemce dozvi, ze email z nejake domeny ma byt vubec podepsanej? Ku prikladu, domena example.com. Utocnik posle zlej email z teto domeny, nic nepodepise. Jak se prijemce ma dozvedet, ze email mel byt vubec podepsanej?
« Poslední změna: 02. 09. 2020, 16:57:06 od Petr Krčmář »


5nik

  • ***
  • 133
    • Zobrazit profil
    • E-mail
Re:DKIM - jak reciver mail server vi, ze maily maji byt podepsane
« Odpověď #1 kdy: 02. 09. 2020, 16:37:09 »
Dobrý den,
sice jsem to nikde explicitně neviděl napsané, nicméně k tomu by měl sloužit DMARC. DKIM skutečně nevynucuje podepisování na dané doméně. Pořád to je ale na podpoře příjemcova serveru, zda umí ověřovat DKIM a rozumí DMARCu.

Re:DKIM: jak příjemce ví, že maily mají být podepsané
« Odpověď #2 kdy: 02. 09. 2020, 16:59:23 »
Utocnik posle zlej email z teto domeny, nic nepodepise. Jak se prijemce ma dozvedet, ze email mel byt vubec podepsanej?

Pomocí DKIM nemůžete určit, že mail není legitimní. Dá se z něj dovodit pouze to, že je.

Tedy:
DKIM je a odpovídá => mail je důvěryhodný.
DKIM není => mail může být důvěryhodný a nemusí.
DKIM je a neodpovídá => záleží na nastavené politice (považovat za "možná" důvěryhodný nebo za s jistotou nedůvěryhodný)

M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:DKIM: jak příjemce ví, že maily mají být podepsané
« Odpověď #3 kdy: 02. 09. 2020, 17:46:59 »
Samotné DKIM to neřeší. Dříve to řešil ADSP záznam v DNS, který to říkal:
_adsp._domainkey.example.com. in txt "dkim=all|discardable|unknown"
Nicméně je to historic, asi se to nikdy pořádně neujalo, dneska je existence platného DKIM podpisu jeden z faktorů při vyhodnocování  DMARC. V rámci DMARC jde jen předepsat jak moc přesně musí sedět doména podpisu s From doménou  (adkim=r|s).