[IKI-aktivistit] dkim- avainten asetus iki-dns:ään?

Tero Kivinen kivinen at iki.fi
Tue Aug 20 17:14:11 EEST 2019 

Toke Lahti writes:
> käsititköhän nyt asian väärin?

En.

> Kyse ei ole siitä, että iki-osoite olisi forwardoitu gmailiin, jolloin maili kulkisi
> iki:n kautta gmailiin.

Yep.

> Kyse on siitä, että jos haluat, että sinulle vastataan vain ja ainoastaan
> iki-osoitteeseen, pitää lähettäjän osoitteeksi merkitä nimi at iki.fi.
> Ja koska iki.fi:llä ei ole smtp-serveriä, niin vastaanottaja, kuten gmail, on sitä
> mieltä, että lähettäjän osoite on väärennetty, koska se ei tule iki.fi:n
> smtp-serveriltä. Tässä vastaanottaja tietysti on myös oikeassa.

Mutta se tulee IKI:n smtp servereiltä gmailin mielestä. IKI:n SPF
sanoo että kaikki osoitteet ovat sallittuja ja sen takia gmail sanoo
SPF checkiin että neutral.

Gmaililla ei ole mitään mahdollisuutta tietää mikä on IKI:n smtp
serveri. Jos sinulla on from osoitteessa example.com, et voi mitenkään
tietää mistä osoitteesta viestin pitäisi tulla. Voit yrittää käyttää
SPF:ää tähän, mutta SPF ei ole mitenkään pakollinen etkä voi tehdä
mitään oletuksia jos SPF tietueita ei löydy.

IKI:n tapauksessa ne löytyy ja ne sanoo, että mikä tahansa IP-osoite
on kelvollinen. Sen jälkeen kun meillä on oma uloslähtevä SMTP serveri
IKI:n SPF tietueet tulee sanomaan samaa, eli mikä tahansa IP-osoite on
kelvollinen (sen lisäksi että varmaan lisäämme sinne pari jotka ovat
myös kelvollisia explisiittisesti). Eli uloslähtevän SMTP serverin
jälkeen mikään ei muutu. 

> Mitään ongelmia ei olisi, jos ikillä olisi smtp-serveri, jonka
> kautta ikiläiset voisivat mailinsa lähettää.

Pelkkä IKI:n smtp-serveri ei muuta asiaa mitenkään. Ihan samat
ongelmat tapahtuu. Huomaa että nuo ongelmat eivät johdu siitä että
>From osoitteessa oli @iki.fi osoite, vaan siitä että gmail tekee tuota
kaikille osoitteille ja kaikille posteille.

> Edelleenkin olis kiva kuulla joltain, joka tietää, minkälainen
> urakka palvelimen käyttöön virittäminen ja ylläpito olisi.

Ei pitäisi olla mitenkään hirmuisen iso, vaatii muutoksia
jäsenrekisteriin, eli se että voimme tallettaa sen salasanan jolla
voit authentikoida itsesi tuolle serverille. Luoda jäsenrekisteristä
sitten tiedosto joka siirretään tuonne uudelle asennettavalle
serverille ja sen jälkeen tietysti asentaa tuo serveri niin että se
osaa toimia lähettävänä serverinä. Jotta siitä olisi hyötyä niin
meidän pitää laittaa sinne palikat jotka allekirjoittavat viestit
DKIM:llä, koska se on ainoa tapa jolla voimme saada jotain etua omasta
serveristä, muuten se muuta tilannetta mitään.

Pitäisi onnistua yhdessä tai kahdessa iki:n tech-hackillassa...
-- 
kivinen at iki.fi

More information about the IKI-aktivistit mailing list