[IKI-aktivistit] dkim-avainten asetus iki-dns:ään?

Fri Aug 2 11:49:27 EEST 2019

Onko joku käytännössä kokeillut tätä? Että onko dkim-validaattorit sen verran "rentoja" etteivät välitä siitä että mailiosoite ja d= tagi eivät ole samalla tasolla, vaan toinen on toisen subdomainissa? Speksi tosiaan antaisi tähän mahdollisuuden kumpaankin suuntaan.

Mitä tulee dns zonen hajoamiseen, kovin monimutkaista validaattoria dns-tietueen formaatille ei pitäisi tarvita, nimipalvelinhan ei välitä siitä mitä txt-recordin sisällä on. Kunhan syntaksi on sellainen ettei tule parsintavirhettä, ts. tiedetään mistä txt:n data alkaa ja mihin loppuu. Jos txt-recordin sisällä on käyttäjä typottanut dkim-tietueen sisällön, niin siinä käyttäjä ampuu vain omaan jalkaansa, muut ikiläiset ja muu dns data säästyy.

Mutta täytyy varmaan kokeilla tuota dkimiä alidomainissa kun ehtii.

  Tapio

On August 2, 2019 12:15:33 AM UTC, Tero Kivinen <kivinen at iki.fi> wrote:
>Tapio Sokura writes:
>> IKI:n kautta kun ei vielä(?) ole mahdollista lähettää smtp:llä postia
>
>> ulospäin, niin olisiko mahdollista että IKI:n itsepalveluliittymään 
>> toteutettaisiin mahdollisuus asettaa DKIM-avaimia? Käytännössä 
>> tarvittava toiminnalisuus olisi pystyä asettamaan nimipalveluun 
>> TXT-tietueita tyyliin
>> 
>> foobarquux._domainkey.iki.fi. IN TXT "v=DKIM1; h=sha256; k=rsa;
>s=email; 
>> p=julkiavain_base64puppaa"
>
>Hmm... luultavasti helpointa olisi tehdä seuraava geneerinen määritys:
>
><alias>._domainkey.iki.fi.   CNAME <alias>._domainkey.<alias>.iki.fi.
>
>Eli silloin itse DKIM avain voisi olla omassa iki-domainissa. Tuo
>mahdollistaisi saman asian, tosin vain niille jotka käyttävät
>iki-domainia. Hmmm.. tosin pikaisesti DKIM rfc:tä katsomalla d=
>SDID:in ei tarvitse olla mitenkään sidoksissa From riviin tms, joten
>itse asiassa käyttäjä voi jo tehdä tuon nyt laittamalla vain
>d=<alias>.iki.fi s=<alias>, jolloin se suoraan tekee haun käyttäjän
>omalle nimipalvelimelle ja siellä olevaan
><alias>._domainkey.<alias>.iki.fi. tietueeseen.
>
>> Tämä mahdollistaisi sen, että voisi asettaa omalle smtp-palvelimelle 
>> DKIM-allekirjoittamisen päälle iki-osoitteita lähettäjänä käyttäessä
>ja 
>> siten saada postin menemään paremmin läpi (ilman tuntien viivettä ja 
>> roskapostilaariin päätymistä) esimerkiksi gmailiin. DKIM-avainten 
>> määrälle ei nähdäkseni ole käytännössä teknistä rajaa. Sähköpostin 
>> DKIM-headerissa kerrotaan mistä dns-tietueesta avain löytyy, eli jopa
>
>> jokainen iki-käyttäjä voisi laittaa oman avaimensa halutessaan,
>kunhan 
>> DKIM-identifier eli DNS:stä kysyttävä nimi on jokaisella avaimella
>uniikki.
>
>Ei kai ole mitään teknistä syytä miksi tuon sinun käyttämän DKIM
>avaimen pitäisi olla nimenomaan iki.fi:n nimipalvelussa, voit kaiketi
>ihan yhtä hyvin osoittaa mitä tahansa muuta paikkaa DNS:ssä.
>
>Ongelmana tuollaisten satunnaisten merkkijonojen tunkemisessa iki:n
>nimipalveluun on se että meidän pitää varmistaa tuon muoto ja
>varmistaa että mitään mitä sinne laitetaan ei hajoita mitään
>nimipalvelusoftaa mitä käytämme ja siinä aina on riski että joku pieni
>tarkistus unohtuu ja sen jälkeen se rikkoo koko iki:n nimipalvelun kun
>iki.fi nimipalvelutiedosto ei lataudu... Sen takia mielummin tunkisin
>kaiken tuollaisen kaman käyttäjän omalle palvelimelle, joten jos
>käyttäjä itse sinne sotkee jotain niin rikkoo vain omat asiansa.
>
>Ja toisaalta yrittäisin mielummin käyttää aikaa siihen että
>virittäisimme authentikoidun lähetyspalvelimen iki:lle kuin tekisin
>tuollaisen lisäyksen jäsenrekisteriin. 
>
>> Henkilökohtaisesti olen sitä mieltä että Google ja moni muukin 
>> palvelutarjoaja pitää suurta osaa muusta sähköpostimaailmasta 
>> panttivankinaan eikä huvittaisi hyppiä heidän pillin mukaan
>ollenkaan. 
>> Ikävä kyllä ovat vaan ihan liian suuressa markkina-asemassa, että
>jotain 
>> täytyy tehdä.
>
>Yep. Pitää aina muistaa että et ole googlen asiakas, olet heidän
>tuotteensa, joten heitä ei kiinnosta sinun ongelmat. Esim minulle
>tulee hyvin paljon googlen DKIM allekirjoittamaa roskapostia ja se ei
>yllättäen googlea kiinnosta koska osa noista mainostajista on heidän
>oikeita asiakkaitaan...