[IKI-aktivistit] postia ei kuulu?

[Ilari Stenroth]

On 20.3.2018 16.15, Tapio Sokura wrote:
> Moi,
>
> On 20.3.2018 13:10, Tero Kivinen wrote:
>> SPF yrittää ratkaista sen ongelman että huomaat jos joku yrittää
>> väärentää lähettäjäosoitteen, eli se yrittää ratkaista phishing
>> ongelman ei roskapostiongelmaa. Tuohon riittää se että viestin
>
> Nyt kun aktivistilista pitkästä aikaa taas toimii, tuli mieleen kysyä, 
> että onko IKI:ssä koskaan mietitty DKIM:n käyttämisen mahdollistamista 
> iki-osoitteella postia lähettäville? Se voisi hieman auttaa 
> päinvastaisessa suunnassa, eli iki-osoitteista lähetettyjen mailien 
> perillemenoa.
>
> DKIM-speksi mahdollistaa allekirjoitusoikeuden delegoimisen ja 
> rajoitamisen myös @-merkin vasemmalla puolella, mutta vaikuttaa siltä 
> että sen rajoituksen käyttö/tuki on aika vähäistä käytännössä. 
> Yhteensopivinta olisi antaa jokaisen ikiläisen allekirjoittaa millä 
> vain @iki.fi-osoitteella DKIM:ssä. Ei ideaalista, mutta voisi 
> käytännössä kuitenkin toimia, koska allekirjoitusavaimet voivat 
> jokaisella ikiläisellä postipalvelinta pyörittävällä olla kuitenkin 
> omansa. DKIM siis tukee useita "selectoreita", nimipalvelutietueita ja 
> julkisia avaimia yhdelle domainille.
>
> Periaatteessa olen vastaan tällaisia sähköpostin antispam-ratkaisuja, 
> jotka vaativat lähettäjältä tai vastaanottajalta ylimääräisten 
> renkaiden läpihyppimistä. Ikävä kyllä moni merkittävä paikka (kuten 
> gmail?) on näitä käytäntöjä ottanut käyttöön. Joten jos @iki.fi 
> osoitteella lähetettäviin posteihin saisi DKIM-headerit, niin 
> saattaisi helpottaa mailien läpimenoa.
>
> Toinen vaihtoehto DKIM:n käytön mahdollistamiseen olisi IKI:n tarjota 
> DKIM-prosessoinnin suorittavaa submission-agenttia jäsenten 
> lähettämälle postille. Tämä olisi isompi muutos ja poikkeus 
> iki-perinteisiin, mutta epäilemättä olisi suuremman iki-käyttäjämäärän 
> hyödynnettävissä. Lisäisi aika varmasti ylläpitovaivaa myös, kun 
> pitäisi mm. spam-bottien oppimia lähetystunnuksia olla sulkemassa yms. 
> Itse postipannujaan pyöritteleville ylempänä kuvatun vaihtoehdon 
> toteuttaminen IKI:ssä vaatisi lähinnä admin-käyttöliittymän ja siihen 
> liittyvien nimipalvelutietueiden päivittämisen toteutuksen.
>
> Ehkä jotkut sähköpostin antispam-ratkaisut saattaisivat tulkita asian 
> myös niin, että jos joissain iki-osoitteesta lähetetyissä posteissa on 
> DKIM-headerit, niin alkavat pitämään ilman DKIM-headereita olevia 
> viestejä väärennöksinä.
>
> Kolmas ja ihan validi vaihtoehto on tietysti jatkaa nykyisellään ja 
> jättää DKIM kokonaan huomiotta. DKIM rikkoo postituslistat ja SPF 
> mailiforwardit. Eikä vielä puhuttu DMARC:sta mitään. Eläköön toimiva 
> sähköposti...
Hei Tapio,

Hallitus on pohtinut DKIM-palvelua hartaasti. Postipalvelimet jotka 
lähettävät tai välittävät DKIM-allekirjoittamatonta postia joutuvat 
selkeästi herkemmin jäähylle ja IKI:lle on jo koitunut harmian mm. 
Gmailin kanssa siitä, että meillä ei ole DKIM-allekirjoituksia. SMTP 
submission serverin hostaaminen on kieltämättä haasteellista ja 
vastuullista. Pitäisi olla automatiikkaa valvomassa väärinkäytöksiä ja 
ehkä jopa virustorjuntaa, koska muuten IKI:n DKIM-avaimella 
allekirjoitetut roska-/viruspostit laskevat koko iki.fi-domainin 
reputation scorea erillaisissa roskapostitorjuntapalveluissa. Ongelma on 
juuri tuo domain reputation ja DKIM:n myötä emme pysty enää kiistämään, 
että roskaposti ei ole meiltä lähtöisin.

Hyviä ideoita otetaan vastaan...

T. Ilari