Я использую OpenDKIM для проверки подписанных писем, поступающих на мой почтовый сервер, и использую его в качестве надстройки для спама (если dkim сломан, почта попадает в спам). Однако я получаю много ложных срабатываний со сломанным DKIM (ошибка проверки подписи), основной причиной которых является программное обеспечение списков рассылки, которое добавляет свои собственные заголовки / изменяет контент и т. Д.
Мне интересно, есть ли в OpenDKIM какая-либо встроенная функция (например, белый список), которая позволит мне уменьшить количество ложных срабатываний, поскольку невозможно связаться с каждым администратором каждого списка рассылки и сказать, что у них неправильная настройка, которая нарушает DKIM .
Пример заголовка ниже:
Return-Path: <ubuntu-translators-bounces@lists.ubuntu.com>
Delivered-To: receiver@example.com
Received: from localhost (localhost [127.0.0.1])
by example.com (Postfix) with ESMTP id 6AEAD20DC
for <receiver@example.com>; Sat, 12 Oct 2013 23:51:05 +0200 (CEST)
X-Virus-Scanned: amavisd-new at qhost.pl
Received: from example.com ([127.0.0.1])
by localhost (example.com [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id Ly8eSJhPPnln for <receiver@example.com>;
Sat, 12 Oct 2013 23:51:04 +0200 (CEST)
Received: from huckleberry.canonical.com (huckleberry.canonical.com [91.189.94.19])
by example.com (Postfix) with ESMTP id 1B86E20DB
for <receiver@example.com>; Sat, 12 Oct 2013 23:51:04 +0200 (CEST)
Authentication-Results: example.com;
dkim=fail reason="signature verification failed" (2048-bit key; unprotected) header.d=gmail.com header.i=@gmail.com header.b=qOy78FPq;
dkim-adsp=none (unprotected policy)
Received: from localhost ([127.0.0.1] helo=huckleberry.canonical.com)
by huckleberry.canonical.com with esmtp (Exim 4.76)
(envelope-from <ubuntu-translators-bounces@lists.ubuntu.com>)
id 1VV754-0003E4-AB; Sat, 12 Oct 2013 21:50:38 +0000
Received: from mail-pd0-f182.google.com ([209.85.192.182])
by huckleberry.canonical.com with esmtp (Exim 4.76)
(envelope-from <geochr22@gmail.com>) id 1VV74z-0003Dp-8S
for ubuntu-translators@lists.ubuntu.com; Sat, 12 Oct 2013 21:50:33 +0000
Received: by mail-pd0-f182.google.com with SMTP id r10so5800218pdi.13
for <ubuntu-translators@lists.ubuntu.com>;
Sat, 12 Oct 2013 14:50:32 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113;
h=mime-version:in-reply-to:references:date:message-id:subject:from:to
:cc:content-type;
bh=KsrgBYUoHW9iFEkIxojUNYYil4nlGAF8VpF6y+iwNd4=;
b=qOy78FPqJq/UqF2WTo50Z+qfLPjsweQqu6r6nnmoeMnnx7FGp7jaFfCD83FObGSjDU
TFHC8/+LU4PfV1xrAqDYHuTvvQbIxHwD7xGSYiEjYGPuHYln+dGd0Y7Kp7NGCWrega9m
8W6iKf8QiggPYj4JJpweB9dThWvbytVrDPjy9aHPAHHvPbZJ1mj7yNMjydPwJJnJ/wId
4qTu961jZZV5FuG+yatDW1imSbYO97HeeZnAIvNRpMQhMZbLbeY1bLVePbBwQ+hbBurU
f+kqRjk15s5a+ih/HNRI1KeCQFqYsca3Pa6WvLJN0PCjPpTxCV886FatSR8SzTZaUaxx
MkVg==
MIME-Version: 1.0
X-Received: by 10.66.218.226 with SMTP id pj2mr29160511pac.62.1381614632237;
Sat, 12 Oct 2013 14:50:32 -0700 (PDT)
Received: by 10.68.143.69 with HTTP; Sat, 12 Oct 2013 14:50:32 -0700 (PDT)
In-Reply-To: <CAKnT5bMdetLwWU1Q4RQ_NdKDLDUgq8H0zRNawXs8rWNiXW0nVw@mail.gmail.com>
References: <CADFCDMTBhMxn+e4OJvZD7QN1joYrhCR3-CgH2weEhOSu36UkrQ@mail.gmail.com>
<CAKnT5bMdetLwWU1Q4RQ_NdKDLDUgq8H0zRNawXs8rWNiXW0nVw@mail.gmail.com>
Date: Sun, 13 Oct 2013 00:50:32 +0300
Message-ID: <CAHyzMMutO3_4wKNT-G3=-m+bHQTiqoT74OWBNis=kMRXAPWfSg@mail.gmail.com>
Subject: Re: nothing here
From: nobody <nobody@gmail.com>
To: nobody <nobody@ubuntu.com>
Cc: "Translators, Ubuntu" <ubuntu-translators@lists.ubuntu.com>
X-BeenThere: ubuntu-translators@lists.ubuntu.com
X-Mailman-Version: 2.1.14
Precedence: list
List-Id: Discussion about translating Ubuntu
<ubuntu-translators.lists.ubuntu.com>
List-Unsubscribe: <https://lists.ubuntu.com/mailman/options/ubuntu-translators>,
<mailto:ubuntu-translators-request@lists.ubuntu.com?subject=unsubscribe>
List-Archive: <https://lists.ubuntu.com/archives/ubuntu-translators>
List-Post: <mailto:ubuntu-translators@lists.ubuntu.com>
List-Help: <mailto:ubuntu-translators-request@lists.ubuntu.com?subject=help>
List-Subscribe: <https://lists.ubuntu.com/mailman/listinfo/ubuntu-translators>,
<mailto:ubuntu-translators-request@lists.ubuntu.com?subject=subscribe>
Content-Type: multipart/mixed; boundary="===============1762773400059964515=="
Errors-To: ubuntu-translators-bounces@lists.ubuntu.com
Sender: ubuntu-translators-bounces@lists.ubuntu.com
Я изменил приведенное выше сообщение (удалил IP-адреса и логины), поэтому у него действительно может быть сломанный DKIM, но изначально он был нетронутым - только с помощью списка рассылки sofware @ ubuntu.com
Итак, еще раз, есть ли способ настроить OpenDKIM, чтобы он был более терпимым / игнорировал / проверял по-другому подпись DKIM для такой почты?
Существует стандартный механизм, позволяющий сделать проверку DKIM более устойчивой к модификации формата, например, с помощью фильтров или реле, но это должно выполняться на стороне отправки, а не на приеме, и все, что он делает, это становится более терпимым к таким вещам, как изменения в пробелах, а не чем изменяется фактическое сообщение. По сути, вы можете выбирать между расслабленным (более терпимым) и простым (более строгим) режимами для заголовков и тела при подписании, а система проверки позже будет использовать соответствующий режим для успешной проверки. Это не может быть изменено на принимающей стороне, потому что невозможно узнать, какой была бы подпись в другом режиме обработки.
Система подписи отправителя выбирает, какие заголовки включить или исключить из подписи, поэтому, если вы знаете, что реле или список собирается изменить или удалить заголовок, отправитель должен исключить его из проверки.
тем не мение, учитывая, что список рассылки обычно изменяет сообщение и заголовки, включая важные заголовки, такие как Тема, заголовок DKIM от исходного отправителя должен провал проверки.
В идеале программное обеспечение списков рассылки должно поддерживать DKIM и удалять старый заголовок DKIM и заменять его собственным, соответственно изменяя заголовок From, фактически принимая на себя ответственность за сообщение, а не за исходного отправителя.
В отсутствие этого, если вы на принимающей стороне, все, что вы можете сделать, это добавить в белый список определенные серверы.
Это сценарий «курица и яйцо» с внедрением DKIM: очень немногие люди применяют несоответствия DKIM на принимающей стороне, потому что это приведет к ложным срабатываниям, но это замедляет внедрение DKIM, потому что на такие стороны, как хосты списков рассылки и т. Д., Нет давления, чтобы исправить их. проблемы. Прямо сейчас, если вы строго соблюдаете несоответствия DKIM на принимающей стороне, вы все еще немного подопытный кролик, хотя DKIM существует уже много лет. Кажется, что почтовые хосты чаще всего используют несоответствие DKIM как фактор, способствующий обнаружению спама, что, согласно ИМО, плохо для внедрения DKIM, но я понимаю стоящую за этим проблему курицы и яйца.