[IKI-aktivistit] postia ei kuulu?
Ilari Stenroth
ilari.stenroth at iki.fi
Tue Mar 20 16:45:26 EET 2018
On 20.3.2018 16.15, Tapio Sokura wrote:
> Moi,
>
> On 20.3.2018 13:10, Tero Kivinen wrote:
>> SPF yrittää ratkaista sen ongelman että huomaat jos joku yrittää
>> väärentää lähettäjäosoitteen, eli se yrittää ratkaista phishing
>> ongelman ei roskapostiongelmaa. Tuohon riittää se että viestin
>
> Nyt kun aktivistilista pitkästä aikaa taas toimii, tuli mieleen kysyä,
> että onko IKI:ssä koskaan mietitty DKIM:n käyttämisen mahdollistamista
> iki-osoitteella postia lähettäville? Se voisi hieman auttaa
> päinvastaisessa suunnassa, eli iki-osoitteista lähetettyjen mailien
> perillemenoa.
>
> DKIM-speksi mahdollistaa allekirjoitusoikeuden delegoimisen ja
> rajoitamisen myös @-merkin vasemmalla puolella, mutta vaikuttaa siltä
> että sen rajoituksen käyttö/tuki on aika vähäistä käytännössä.
> Yhteensopivinta olisi antaa jokaisen ikiläisen allekirjoittaa millä
> vain @iki.fi-osoitteella DKIM:ssä. Ei ideaalista, mutta voisi
> käytännössä kuitenkin toimia, koska allekirjoitusavaimet voivat
> jokaisella ikiläisellä postipalvelinta pyörittävällä olla kuitenkin
> omansa. DKIM siis tukee useita "selectoreita", nimipalvelutietueita ja
> julkisia avaimia yhdelle domainille.
>
> Periaatteessa olen vastaan tällaisia sähköpostin antispam-ratkaisuja,
> jotka vaativat lähettäjältä tai vastaanottajalta ylimääräisten
> renkaiden läpihyppimistä. Ikävä kyllä moni merkittävä paikka (kuten
> gmail?) on näitä käytäntöjä ottanut käyttöön. Joten jos @iki.fi
> osoitteella lähetettäviin posteihin saisi DKIM-headerit, niin
> saattaisi helpottaa mailien läpimenoa.
>
> Toinen vaihtoehto DKIM:n käytön mahdollistamiseen olisi IKI:n tarjota
> DKIM-prosessoinnin suorittavaa submission-agenttia jäsenten
> lähettämälle postille. Tämä olisi isompi muutos ja poikkeus
> iki-perinteisiin, mutta epäilemättä olisi suuremman iki-käyttäjämäärän
> hyödynnettävissä. Lisäisi aika varmasti ylläpitovaivaa myös, kun
> pitäisi mm. spam-bottien oppimia lähetystunnuksia olla sulkemassa yms.
> Itse postipannujaan pyöritteleville ylempänä kuvatun vaihtoehdon
> toteuttaminen IKI:ssä vaatisi lähinnä admin-käyttöliittymän ja siihen
> liittyvien nimipalvelutietueiden päivittämisen toteutuksen.
>
> Ehkä jotkut sähköpostin antispam-ratkaisut saattaisivat tulkita asian
> myös niin, että jos joissain iki-osoitteesta lähetetyissä posteissa on
> DKIM-headerit, niin alkavat pitämään ilman DKIM-headereita olevia
> viestejä väärennöksinä.
>
> Kolmas ja ihan validi vaihtoehto on tietysti jatkaa nykyisellään ja
> jättää DKIM kokonaan huomiotta. DKIM rikkoo postituslistat ja SPF
> mailiforwardit. Eikä vielä puhuttu DMARC:sta mitään. Eläköön toimiva
> sähköposti...
Hei Tapio,
Hallitus on pohtinut DKIM-palvelua hartaasti. Postipalvelimet jotka
lähettävät tai välittävät DKIM-allekirjoittamatonta postia joutuvat
selkeästi herkemmin jäähylle ja IKI:lle on jo koitunut harmian mm.
Gmailin kanssa siitä, että meillä ei ole DKIM-allekirjoituksia. SMTP
submission serverin hostaaminen on kieltämättä haasteellista ja
vastuullista. Pitäisi olla automatiikkaa valvomassa väärinkäytöksiä ja
ehkä jopa virustorjuntaa, koska muuten IKI:n DKIM-avaimella
allekirjoitetut roska-/viruspostit laskevat koko iki.fi-domainin
reputation scorea erillaisissa roskapostitorjuntapalveluissa. Ongelma on
juuri tuo domain reputation ja DKIM:n myötä emme pysty enää kiistämään,
että roskaposti ei ole meiltä lähtöisin.
Hyviä ideoita otetaan vastaan...
T. Ilari
More information about the IKI-aktivistit
mailing list