[IKI-aktivistit] dkim-avainten asetus iki-dns:ään?

[Tero Kivinen]

Tapio Sokura writes:
> IKI:n kautta kun ei vielä(?) ole mahdollista lähettää smtp:llä postia 
> ulospäin, niin olisiko mahdollista että IKI:n itsepalveluliittymään 
> toteutettaisiin mahdollisuus asettaa DKIM-avaimia? Käytännössä 
> tarvittava toiminnalisuus olisi pystyä asettamaan nimipalveluun 
> TXT-tietueita tyyliin
> 
> foobarquux._domainkey.iki.fi. IN TXT "v=DKIM1; h=sha256; k=rsa; s=email; 
> p=julkiavain_base64puppaa"

Hmm... luultavasti helpointa olisi tehdä seuraava geneerinen määritys:

<alias>._domainkey.iki.fi.   CNAME <alias>._domainkey.<alias>.iki.fi.

Eli silloin itse DKIM avain voisi olla omassa iki-domainissa. Tuo
mahdollistaisi saman asian, tosin vain niille jotka käyttävät
iki-domainia. Hmmm.. tosin pikaisesti DKIM rfc:tä katsomalla d=
SDID:in ei tarvitse olla mitenkään sidoksissa From riviin tms, joten
itse asiassa käyttäjä voi jo tehdä tuon nyt laittamalla vain
d=<alias>.iki.fi s=<alias>, jolloin se suoraan tekee haun käyttäjän
omalle nimipalvelimelle ja siellä olevaan
<alias>._domainkey.<alias>.iki.fi. tietueeseen.

> Tämä mahdollistaisi sen, että voisi asettaa omalle smtp-palvelimelle 
> DKIM-allekirjoittamisen päälle iki-osoitteita lähettäjänä käyttäessä ja 
> siten saada postin menemään paremmin läpi (ilman tuntien viivettä ja 
> roskapostilaariin päätymistä) esimerkiksi gmailiin. DKIM-avainten 
> määrälle ei nähdäkseni ole käytännössä teknistä rajaa. Sähköpostin 
> DKIM-headerissa kerrotaan mistä dns-tietueesta avain löytyy, eli jopa 
> jokainen iki-käyttäjä voisi laittaa oman avaimensa halutessaan, kunhan 
> DKIM-identifier eli DNS:stä kysyttävä nimi on jokaisella avaimella uniikki.

Ei kai ole mitään teknistä syytä miksi tuon sinun käyttämän DKIM
avaimen pitäisi olla nimenomaan iki.fi:n nimipalvelussa, voit kaiketi
ihan yhtä hyvin osoittaa mitä tahansa muuta paikkaa DNS:ssä.

Ongelmana tuollaisten satunnaisten merkkijonojen tunkemisessa iki:n
nimipalveluun on se että meidän pitää varmistaa tuon muoto ja
varmistaa että mitään mitä sinne laitetaan ei hajoita mitään
nimipalvelusoftaa mitä käytämme ja siinä aina on riski että joku pieni
tarkistus unohtuu ja sen jälkeen se rikkoo koko iki:n nimipalvelun kun
iki.fi nimipalvelutiedosto ei lataudu... Sen takia mielummin tunkisin
kaiken tuollaisen kaman käyttäjän omalle palvelimelle, joten jos
käyttäjä itse sinne sotkee jotain niin rikkoo vain omat asiansa.

Ja toisaalta yrittäisin mielummin käyttää aikaa siihen että
virittäisimme authentikoidun lähetyspalvelimen iki:lle kuin tekisin
tuollaisen lisäyksen jäsenrekisteriin. 

> Henkilökohtaisesti olen sitä mieltä että Google ja moni muukin 
> palvelutarjoaja pitää suurta osaa muusta sähköpostimaailmasta 
> panttivankinaan eikä huvittaisi hyppiä heidän pillin mukaan ollenkaan. 
> Ikävä kyllä ovat vaan ihan liian suuressa markkina-asemassa, että jotain 
> täytyy tehdä.

Yep. Pitää aina muistaa että et ole googlen asiakas, olet heidän
tuotteensa, joten heitä ei kiinnosta sinun ongelmat. Esim minulle
tulee hyvin paljon googlen DKIM allekirjoittamaa roskapostia ja se ei
yllättäen googlea kiinnosta koska osa noista mainostajista on heidän
oikeita asiakkaitaan...
-- 
kivinen at iki.fi