OpenDKIM - verificando o correio encaminhado por listas de discussão

Navegue suas respostas
1

Estou usando o OpenDKIM para verificar e-mails assinados que estão chegando ao meu servidor de e-mail e usá-lo como um add-on de spam (se o dkim estiver corrompido, o e-mail chegar ao Junk). No entanto, estou recebendo muitos falsos positivos com DKIM quebrado (a verificação de assinatura falhou), cuja causa principal é o software de listas de e-mail, que adiciona seus próprios cabeçalhos / modifica o conteúdo, etc.

Eu estou querendo saber se existe algum recurso embutido no OpenDKIM (como lista branca) que me permitirá diminuir falsos positivos, já que não é possível entrar em contato com todos os administradores de todas as listas de discussão e dizer que eles têm uma configuração inadequada que quebra o DKIM.

Exemplo de cabeçalho abaixo: 

Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: from localhost (localhost [127.0.0.1])
    by example.com (Postfix) with ESMTP id 6AEAD20DC
    for <[email protected]>; Sat, 12 Oct 2013 23:51:05 +0200 (CEST)
X-Virus-Scanned: amavisd-new at qhost.pl
Received: from example.com ([127.0.0.1])
    by localhost (example.com [127.0.0.1]) (amavisd-new, port 10024)
    with LMTP id Ly8eSJhPPnln for <[email protected]>;
    Sat, 12 Oct 2013 23:51:04 +0200 (CEST)
Received: from huckleberry.canonical.com (huckleberry.canonical.com [91.189.94.19])
    by example.com (Postfix) with ESMTP id 1B86E20DB
    for <[email protected]>; Sat, 12 Oct 2013 23:51:04 +0200 (CEST)
Authentication-Results: example.com;
    dkim=fail reason="signature verification failed" (2048-bit key; unprotected) header.d=gmail.com [email protected] header.b=qOy78FPq;
    dkim-adsp=none (unprotected policy)
Received: from localhost ([127.0.0.1] helo=huckleberry.canonical.com)
    by huckleberry.canonical.com with esmtp (Exim 4.76)
    (envelope-from <[email protected]>)
    id 1VV754-0003E4-AB; Sat, 12 Oct 2013 21:50:38 +0000
Received: from mail-pd0-f182.google.com ([209.85.192.182])
 by huckleberry.canonical.com with esmtp (Exim 4.76)
 (envelope-from <[email protected]>) id 1VV74z-0003Dp-8S
 for [email protected]; Sat, 12 Oct 2013 21:50:33 +0000
Received: by mail-pd0-f182.google.com with SMTP id r10so5800218pdi.13
 for <[email protected]>;
 Sat, 12 Oct 2013 14:50:32 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113;
 h=mime-version:in-reply-to:references:date:message-id:subject:from:to
 :cc:content-type;
 bh=KsrgBYUoHW9iFEkIxojUNYYil4nlGAF8VpF6y+iwNd4=;
 b=qOy78FPqJq/UqF2WTo50Z+qfLPjsweQqu6r6nnmoeMnnx7FGp7jaFfCD83FObGSjDU
 TFHC8/+LU4PfV1xrAqDYHuTvvQbIxHwD7xGSYiEjYGPuHYln+dGd0Y7Kp7NGCWrega9m
 8W6iKf8QiggPYj4JJpweB9dThWvbytVrDPjy9aHPAHHvPbZJ1mj7yNMjydPwJJnJ/wId
 4qTu961jZZV5FuG+yatDW1imSbYO97HeeZnAIvNRpMQhMZbLbeY1bLVePbBwQ+hbBurU
 f+kqRjk15s5a+ih/HNRI1KeCQFqYsca3Pa6WvLJN0PCjPpTxCV886FatSR8SzTZaUaxx
 MkVg==
MIME-Version: 1.0
X-Received: by 10.66.218.226 with SMTP id pj2mr29160511pac.62.1381614632237;
 Sat, 12 Oct 2013 14:50:32 -0700 (PDT)
Received: by 10.68.143.69 with HTTP; Sat, 12 Oct 2013 14:50:32 -0700 (PDT)
In-Reply-To: <CAKnT5bMdetLwWU1Q4RQ_NdKDLDUgq8H0zRNawXs8rWNiXW0nVw@mail.gmail.com>
References: <CADFCDMTBhMxn+e4OJvZD7QN1joYrhCR3-CgH2weEhOSu36UkrQ@mail.gmail.com>
 <CAKnT5bMdetLwWU1Q4RQ_NdKDLDUgq8H0zRNawXs8rWNiXW0nVw@mail.gmail.com>
Date: Sun, 13 Oct 2013 00:50:32 +0300
Message-ID: <CAHyzMMutO3_4wKNT-G3=-m+bHQTiqoT74OWBNis=kMRXAPWfSg@mail.gmail.com>
Subject: Re: nothing here
From: nobody <[email protected]>
To: nobody <[email protected]>
Cc: "Translators, Ubuntu" <[email protected]>
X-BeenThere: [email protected]
X-Mailman-Version: 2.1.14
Precedence: list
List-Id: Discussion about translating Ubuntu
 <ubuntu-translators.lists.ubuntu.com>
List-Unsubscribe: <https://lists.ubuntu.com/mailman/options/ubuntu-translators>, 
 <mailto:[email protected]?subject=unsubscribe>
List-Archive: <https://lists.ubuntu.com/archives/ubuntu-translators>
List-Post: <mailto:[email protected]>
List-Help: <mailto:[email protected]?subject=help>
List-Subscribe: <https://lists.ubuntu.com/mailman/listinfo/ubuntu-translators>, 
 <mailto:[email protected]?subject=subscribe>
Content-Type: multipart/mixed; boundary="===============1762773400059964515=="
Errors-To: [email protected]
Sender: [email protected]

Eu modifiquei a mensagem acima (removi IP's e logins), então pode realmente ter um DKIM quebrado, mas originalmente ele não foi tocado - apenas por softwares de listas de discussão @ ubuntu.com

Então, novamente, existe uma maneira de configurar o OpenDKIM para ser mais tolerante / ignorar / verificar de maneira diferente a assinatura do DKIM para esse e-mail?

    
por gds.jerry 14.10.2013 / 12:08

1 resposta

2

Existe um mecanismo padrão para tornar a verificação do DKIM mais tolerante à modificação de formato, como filtros ou retransmissões, mas tem que ser feito no final do envio, em vez de receber, e tudo o que faz é tornar-se mais tolerante em espaços em branco em vez de alterações na mensagem real. Basicamente, você pode escolher entre um modo relaxado (mais tolerante) e simples (mais rigoroso) para os cabeçalhos e o corpo ao assinar, e o sistema de verificação mais tarde usará o modo apropriado para verificar com sucesso. Isso não pode ser modificado no final do recebimento porque é impossível saber qual seria a assinatura com um modo de processamento diferente.

O sistema de assinatura do remetente escolhe quais cabeçalhos incluir ou excluir da assinatura, portanto, se você souber que um relé ou lista irá modificar ou remover um cabeçalho, o remetente deverá excluí-lo da verificação.

No entanto , uma vez que uma lista de discussão normalmente altera a mensagem e os cabeçalhos, incluindo cabeçalhos importantes como Assunto, o cabeçalho DKIM do remetente original deve falhar na verificação.

Idealmente, o software da lista de discussão seria compatível com DKIM e removeria o cabeçalho DKIM antigo e o substituiria por um próprio, mudando o cabeçalho De de acordo, assumindo agora a responsabilidade pela mensagem em vez do remetente original. .

Na falta disso, se você estiver no recebimento, tudo o que você pode fazer é colocar na lista de permissões servidores específicos.

Este é um cenário de galinha e ovo com adoção de DKIM: muito poucas pessoas reforçam as incompatibilidades de DKIM na extremidade receptora porque teria falsos positivos, mas isso retarda a adoção do DKIM porque há pouca pressão para partes como hosts da lista de discussão, etc. para corrigir esses problemas. Neste momento, se você forçar as incompatibilidades do DKIM no final do recebimento, você ainda será uma cobaia, mesmo que o DKIM já exista há anos. Parece mais comum que os hosts de email usem uma incompatibilidade de DKIM como um fator que contribui para a detecção de spam, que é má para a adoção do DKIM, mas eu entendo o problema do ovo e da galinha por trás dele.

    
por 25.06.2014 / 02:06

Tags

Emita a limpeza do verniz através do CloudFlare para verniz Como posso acessar um servidor na rede local usando seu nome público?