The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Добавление DKIM подписи для отправляемых через Postfix сообщений

16.11.2009 21:13

Пошаговое руководство по настройке DKIM (DomainKeys Identified Mail) подписания исходящих почтовых сообщений средствами Postfix и Amavisd-new.

  1. Главная ссылка к новости (http://www.sergeysl.ru/freebsd...)
Автор новости: SergeySL
Тип: яз. русский / Практикум
Ключевые слова: dkim, auth, postfix, amavisd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Валенок (?), 23:24, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А зачем это все таки нужно? Вот нету у меня этого и что, от меня письма на gmail не придут? Так ведь приходят.
     
  • 1.2, аноним (?), 23:29, 16/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ЧТобы я от твоего имени письма на гмайл не посылал
     
     
  • 2.4, mx (??), 07:59, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > ЧТобы я от твоего имени письма на гмайл не посылал

    Плиз подробнее а то вроде гугл всегда смтп автризацию держал ...

     
     
  • 3.5, al (??), 09:12, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    И как тогда послать на гугол через маил.ру например?
    Вы думаете они там паролями обмениваются?
     
  • 3.6, sergej (??), 09:24, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Причем тут смтп авторизация?

    Я могу послать письмо с локалхоста и поставить любое поле From:

    DKIM как раз и нужен, чтобы отсеивать такие письма.

     
     
  • 4.7, mx (??), 09:38, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Я могу послать письмо с локалхоста и поставить любое поле From:

    и что ?
    А если снизу он припишет что привет от дядя федора ?
    Какой же дурак смотрит отправителя по полю фром то ?

     
     
  • 5.11, ze6ra (ok), 09:56, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Почтовый клиент и большая часть пользователей почтовых клиентов которой не до тонкости SMTP.

     

  • 1.3, _Vitaly_ (ok), 03:35, 17/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Будет ли смысл прикручивать DKIM, если
    - идут массовые рассылки с форума (уведомления всякие)
    - часть персональных писем через google apps.
    ?

    Gapps на отправку DKIM не поддерживает, поэтому policy прийдется делать "dkim=unknown". Лучше-то станет или не париться? SPF-запись и так есть.

     
  • 1.8, SergeySL (ok), 09:42, 17/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как реагировать на policy и наличие/отсутствие подписи - дело владельца сервера. Париться или нет, решать Вам :)
     
     
  • 2.10, Александр (??), 09:55, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Как реагировать на policy и наличие/отсутствие подписи - дело владельца сервера. Париться
    >или нет, решать Вам :)

    Дилема - ставить "не принимать все без подписи" - не получу и 1% от полезных писем, ибо тот же mail.ru даже TLS не может прикрутить, не говоря уже о DKIM, так же как и сотни других почтовиков. При этом, однако отобью десяток подложных писем от тех, кто рассылает спам якобы от адресатов на gmail.com.

    Поставлю - "предупреждать, но не отбивать" - будет без толку, но будет лишняя подсистема, о которой надо будет заботиться.

    Правда, если хочется пот@ахаться, то можно свой почтовик обвешать все чем не попадя, и постоянно поддерживать все эти примочки в работе. А потом, на закуску, подумать, какова в среднем стоимость для бизнеса одного не принятого полезного письма.

     
     
  • 3.13, SergeySL (ok), 09:59, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >сотни других почтовиков. При этом, однако отобью десяток подложных писем от
    >тех, кто рассылает спам якобы от адресатов на gmail.com.
    >
    >Поставлю - "предупреждать, но не отбивать" - будет без толку, но будет
    >лишняя подсистема, о которой надо будет заботиться.
    >
    >Правда, если хочется пот@ахаться, то можно свой почтовик обвешать все чем не
    >попадя, и постоянно поддерживать все эти примочки в работе. А потом,
    >на закуску, подумать, какова в среднем стоимость для бизнеса одного не
    >принятого полезного письма.

    Пока только индивидуальные параметры для нормальных доменов. Т.е., если Вы знаете, что gmail и yahoo подписывают, добавляете несколько правил в SpamAssassin и навсегда забываете, что с этих доменов может прийти СПАМ.


     
  • 3.20, _Vitaly_ (ok), 11:10, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    У меня проблема не с входящими, а исходящими. Моя-то почта на google apps и там все ок. Но есть здоровый форум, который шлет дикое количество уведомлений. И кажется yahoo его недолюбливает. Хотя обратная зона прописана и SPF тоже. Ну и естественно адрес, с которого шлется - не фейковый.

    Вот, в раздумьях, полегчает ли, если DKIM на отправку прикрутить.

    Еще сталкивался со странными проверялками, которые какого-то черта пытаются срезолвить юзера на исходящем сервере. Хотя в MX четко прописано, что юзера надо проверять на гугле.

     
     
  • 4.22, SergeySL (ok), 12:57, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Нужно либо попробовать (вроде ничего сложного), либо связаться с саппортом и все выяснить.
     

  • 1.9, Александр (??), 09:46, 17/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В жизни с подписями и SPF не все так гладко. На несколько процентов хостов, которые хотя бы пытаются проверить твои SPF или DKIM-подпись (т.е. не то чтобы я получу меньше спама, это кто-то от якобы меня не получит письмо - и это он экономит трафик, если умеет разбираться в этих признаках), найдется несколько му*аков, которые прикрутят эту проверку неверно.

    У меня такое как-то было - не доходила бизнес-почта адресату, у которого в крупной конторе админ поставил через одно место SPF-проверку, и эта проверка отбивала нормальные письма от хостов, которые в SPF вполне нормальны были указаны. От такого "антиспама" горя больше, чем без него - тем более что в жизни частенько важнее хоть как-то переслать письмо, чем спорить до хрипоты, кто вернее трактует RFC. Вывод неутешительный: не знаю, сколько писем от якобы моего имени кто-то не принял, сообразуясь с DKIM и SPF, но я лично от использования их получил проблему.

    С DKIM - аналогично ситуации с SPF, только вычислительных нагрузок чуть больше. Но - поскольку политику "отбивать все, что без валидной подписи" не поставишь, ибо не все абоненты умеют ее проставлять, то, получается, кроме десятой доли процента спама, якобы летящего от gmail, ничего и не помогает DKIM отбить. Проще контентные анализаторы использовать, либо совокупность признаков.

     
     
  • 2.12, SergeySL (ok), 09:57, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >У меня такое как-то было - не доходила бизнес-почта адресату, у которого
    >в крупной конторе админ поставил через одно место SPF-проверку, и эта
    >проверка отбивала нормальные письма от хостов, которые в SPF вполне нормальны
    >были указаны. От такого "антиспама" горя больше, чем без него -
    >тем более что в жизни частенько важнее хоть как-то переслать письмо,
    >чем спорить до хрипоты, кто вернее трактует RFC. Вывод неутешительный: не
    >знаю, сколько писем от якобы моего имени кто-то не принял, сообразуясь
    >с DKIM и SPF, но я лично от использования их получил
    >проблему.

    В нашей стране очень часто почтовые серверы в обратную зону DNS не вносят, и в прямой они не поймешь как называются. Это не проблема технологий, а проблема людей с кривыми руками.


    >С DKIM - аналогично ситуации с SPF, только вычислительных нагрузок чуть больше.
    >Но - поскольку политику "отбивать все, что без валидной подписи" не
    >поставишь, ибо не все абоненты умеют ее проставлять, то, получается, кроме
    >десятой доли процента спама, якобы летящего от gmail, ничего и не
    >помогает DKIM отбить. Проще контентные анализаторы использовать, либо совокупность
    >признаков.

    Естественно, нельзя ставить такую политику, однако, настройки фильтров должны быть более гуманными для подписанных сообщений. Контентные фильтры и совокупность признаков нужно использовать в любом случае.

     
     
  • 3.17, Sw00p aka Jerom (?), 10:44, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>В нашей стране очень часто почтовые серверы в обратную зону DNS не вносят, и в прямой они не поймешь как называются. Это не проблема технологий, а проблема людей с кривыми руками.

    это самая больная проблема
    приходится создавать вайтлисты
    а всех остальных реджектить бля в день чутьли не 100К таких режет только постфикс

     
  • 3.18, Sw00p aka Jerom (?), 10:45, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>В нашей стране очень часто почтовые серверы в обратную зону DNS не вносят, и в прямой они не поймешь как называются. Это не проблема технологий, а проблема людей с кривыми руками.

    а ещё хренова когда на дсл адреса ревер зону прописывают
    вот тогда дело за антиспамом

     
     
  • 4.25, Александр (??), 16:11, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Да не, все нормально, если зоны нормально сформированы: скажем, regexp-ом рубить почту с dsl-xxx-xxx-xxx-xxx... никакой проблемы нет. Хуже, если оператор не прописывает имя адресу и отказывается прописывать по просьбе клиента - и мыкается бедный клиент :(
     
     
  • 5.26, СуперПуперАноним (?), 16:26, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вот именно! Уже чёрт знает сколько времени воюю со своим провайдером. Ну никак, да и вроде шеф ИТ сектора знакомый... :(
     
  • 2.14, Aleksey (??), 10:23, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну некоторые и почту могут неправильно настраивать, однако это не повод отказываться от электронной почты.
     
     
  • 3.15, SergeySL (ok), 10:40, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну некоторые и почту могут неправильно настраивать, однако это не повод отказываться
    >от электронной почты.

    А это к чему и что значит: что использование DKIM - это хорошо, или использование DKIM - это плохо?

     
  • 2.21, _Vitaly_ (ok), 11:16, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >В жизни с подписями и SPF не все так гладко. На несколько
    >процентов хостов, которые хотя бы пытаются проверить твои SPF или DKIM-подпись
    >(т.е. не то чтобы я получу меньше спама, это кто-то от
    >якобы меня не получит письмо - и это он экономит трафик,
    >если умеет разбираться в этих признаках), найдется несколько му*аков, которые прикрутят
    >эту проверку неверно.

    IMHO, подстраиваться под товарищей, у которых руки растут позади ног, бесполезно. Есть еще гении, которые не глядя отлупы по SORBS-овским блеклистам лепят. А там сети пачками забанены (тот же мастерхост).

     

  • 1.16, Sw00p aka Jerom (?), 10:42, 17/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хех у гугла давно есть вайт листы нормальных смтп серверов
    и гугл знает откуда какой адрес имеет право послать письмо

    пс: а дким он не нужен
    используйте пиджипи гейты и подписывайте наздоровие

     
     
  • 2.19, SergeySL (ok), 10:51, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >пс: а дким он не нужен
    >используйте пиджипи гейты и подписывайте наздоровие

    Я исходил из соображений того, что нормальный сервер более вероятно пропустит подписанные сообщения, нежели отправит их в СПАМ. PGP требует настройку почтовых клиентов, в случае DKIM пользователи ни о чем не догадываются.

     
     
  • 3.23, Sw00p aka Jerom (?), 13:20, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    пиджипи гейт не требует клиентской настройки
    всё автоматом подписывает (шифрует если надо) и отправляет

    использовал десктопный вариант от пиджипи так он тоже как гейт работает (слушает на портах) и в оутлук встраивать не надо
    автоматом подписывает (шифрует) и на оборот
    надо только сгенерить ключи и добавить паблик ключи адрессатов

     
     
  • 4.24, SergeySL (ok), 13:21, 17/11/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >пиджипи гейт не требует клиентской настройки
    >всё автоматом подписывает (шифрует если надо) и отправляет
    >
    >использовал десктопный вариант от пиджипи так он тоже как гейт работает (слушает
    >на портах) и в оутлук встраивать не надо
    >автоматом подписывает (шифрует) и на оборот
    >надо только сгенерить ключи и добавить паблик ключи адрессатов

    Руки дойдут, обязательно попробую.

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру