Вышло RFC 4871: DomainKeys Identified Mail (DKIM) Signatures

вот информация по теме
http://www.dkim.org/

геморойно, не приживется...

хорошо если прижеветься, но точно не быстро.

Бедные, бедные почтовые серваки. Им и так сейчас приходится проверять на вирусы и спам тонны писем, а еще хотят на них навесить проверку по ключу :))

Хотя, конечно, это лучше, чем SPF.

А можете вкратце рассказать, как это работает? По ссылке огромный rfc, по второй ничего понятно не нашел. Т.е. если я хочу с воему серверу это прикрутить к примеру

А что не так с SPF? Чем это лучше?

> Хотя, конечно, это лучше, чем SPF.

Недоадмины то не могут spf прикрутить. А с dkim они не будут заморачиваться и подавно.

С SPF много что не так.

В двух словах, SPF ничем не помогает.

Чем нам поможет DKIM - надо изучать.

> Недоадмины то не могут spf прикрутить. А с dkim они не будут заморачиваться и подавно.

Как нам рассказывал вчера Ерик Алман, DKIM будет встроена в sendmail, и поэтому прикручивать ее не надо будет.

А DNS настраивать тоже sendmail будет? :)

> А можете вкратце рассказать, как это работает? По ссылке огромный rfc, по второй ничего понятно не нашел. Т.е. если я хочу с воему серверу это прикрутить к примеру

Генерится открытый и закрытый ключ, открытый ключ добавляется в TXT запись dns, также туда добавляется строка политики (например "я подписываю все письма"), при отсылке письма через сервер dkim-milter созадет подпись, используя закрытый ключ.

Когда приходит письмо на другой сервер, поддерживающий dkim, осуществляется проверка и, в зависимости от прописанной политики на том сервере и настроек dkim на проверяющем сервере, решается, что делать с письмом.

> хорошо если прижеветься, но точно не быстро.

Крупные почтовые системы типа Гугла или Яху уже довольно давно используют это =)

PS Правда мильтеры для сендмайла dk и dkim... не лишены багов так сказать ;)

afaik не "аутенцировать", а "аутентифицировать".

В по производительности не провиснет?

Thx, fixed.

У Yahoo есть спецификация, которая, по сути, делает тоже самое, и доступна она уже давно.

Вообще-то это практически и есть спека Yahoo :)

>В по производительности не провиснет?

ИМХО, при существующем потоке писем могут начаться проблемы с производительностью, надо будет upgrade серверам делать... Однако, если спама станет намного меньше, то потом можно и downgrade :))

С другой стороны, я не совсем понимаю, как эти технологии (SPF и DKIM) повлияют на спам. То есть, что будет мешать слать спам из под "политически правильных" адресов? Доменов то можно нарегистрировать кучу...

>В двух словах, SPF ничем не помогает.

- Эта мясорубка - полное дерьмо!
- Почему?
- Кофе не варит.

От чего не помогает? Подозреваю, что имелся ввиду спам. Естественно! Не для того он был придуман. Вот от поддельных писем с адресом support@microsoft.com, приходящих из сети бразильского dial-up провайдера, помогает очень даже замечательно.

Ну а для чего придумали цифровую подпись и для чего теперь предлагают засунуть её в DNS? Ровно для того же.

SPF создает проблему пересылки почты. Если разрешить отправку только с одного ip, появляется вероятность, что письмо не дойдет, поэтому в везде рекомендуют в конце ставить ?all или ~all.

>Не для того он был придуман.

rfc4408 читали?

The current E-Mail infrastructure has the property that any host injecting mail into the mail system can identify itself as any domain name it wants. Hosts can do this at a variety of levels: in particular, the session, the envelope, and the mail headers. Although this feature is desirable in some circumstances, it is a major obstacle to reducing Unsolicited Bulk E-Mail (UBE, aka spam). Furthermore, many domain name holders are understandably concerned about the ease with which other entities may make use of their domain names, often with malicious intent.

> То есть, что будет мешать слать спам из под "политически правильных" адресов? Доменов то можно нарегистрировать кучу...

На практике это не совсем так. Из-за dnsbl'ов время жизни таких доменов будет составлять несколько часов :)

"ви меня таки извините", но сколько того sendmail осталось на серверах? а в пересчете на количество доменов/аккаунтов? :)

>На практике это не совсем так. Из-за dnsbl'ов время жизни таких доменов будет составлять несколько часов :)

Ну если в dnsbl вносить сразу домен второго уровня, то, да, спамить будет труднее... А если третьего уровня, то сам себе регестрируешь домен на одну рассылку.

> при отсылке письма через сервер dkim-milter созадет подпись, используя закрытый ключ.

Что привязывает отправителя к одному серверу... Фигня это, MTA Mark был перспективнее. :-(

> "ви меня таки извините", но сколько того sendmail осталось на
> серверах? а в пересчете на количество доменов/аккаунтов? :)

Достаточно. :-)

> Что привязывает отправителя к одному серверу... Фигня это, MTA Mark был перспективнее. :-(

Пользователя не привязвает. Совсем никак. У пользователя может быть несколько адресов на разных серверах. В чём проблема? Только в том, что нельзя через некий сервер отправить письмо с обратным адресом на другогм сервере? Как бы не очень-то и проблема...

> Как бы не очень-то и проблема...

Как раз проблема. Лишний трафик не по теме: слать надо через ближайший smtp, если смотреть с точки зрения опримизации поцесса передачи данных.

Зато этот трафик исходящий - бесплатный, в отличие от получаемого спама.

> Зато этот трафик исходящий - бесплатный, в отличие от получаемого спама.

А для сервера ? Вот представь, поехал ты в командировку, допустим, в Чикаго. И пишешь своему чикагскому коллеге, пользуясь услугами чикагского провайдера через владивостокский сервер...
Ну-ну...

А Вас не напрягает, что для того, чтобы проверить ответ от чикагского коллеги, Вам всё равно придётся идти на владивостокский сервер?

> А Вас не напрягает, что для того, чтобы проверить ответ от чикагского
> коллеги, Вам всё равно придётся идти на владивостокский сервер?

напрягает. Но это только 50% проблемы, на не все 100%.