DKIM v roce 2010 – chcete zkusit ADSP?

Před třemi lety jsme vás informovali o technologii DKIM, která umožňuje poštovním serverům přidávat procházejícím dopisům elektronické podpisy. Cílem je přispět k ověření důvěryhodnosti elektronické korespondence a poskytnout další informace antispamovým a podobným filtrům. Podívejme se dnes, jakou cestu DKIM od té doby ušel.

Předchozí článek odkazovaný v perexu se jmenuje DKIM – dopisy ověřeného původu.

Šťastné konce už jsou okoukané, zkusme tedy šťastný začátek: počet DKIM podpisů v elektronické poště roste, a to docela razantně. Podle údajů, které publikoval Jim Fenton, už bezmála 15 % neodmítnutých dopisů přicházejících do Cisco Systems nese platný DKIM podpis. Bohužel se nezmiňuje, zda se objevuje i podepsaný spam. Ta informace by byla zajímavá, protože jedna z běžných námitek proti DKIM zní „Pokud se to uchytí, spameři začnou své dopisy podepisovat“.

Upřímně řečeno, i to by byla drobná výhra. Takový podpis ověřitelně spojí nevyžádanou korespondenci s vlastníkem domény a poskytne výchozí bod pro řešení incidentu. Distributoři spamu se ke svým dílkům zpravidla nehlásí. DKIM by mohl pomoci vytáhnout je na světlo, aby se s nimi mohli seznámit právníci adresátů všech těch báječných nabídek. Jistě si budou mít co říct.

Nebudu zde popisovat principy DKIM, najdete je ve výše odkazovaném článku. Zde se soustředím na změny a novinky od jeho vydání. Vývoj specifikací má v referátu pracovní skupina DKIM při IETF a vydala několik dokumentů rozličného ražení. V loňském roce vyšlo RFC 5672, které obsahuje opravy a vyjasnění některých problematických míst původní definice z RFC 4871.

Slibně znějí názvy RFC 5585 (přehled služby DKIM) a celkem čerstvého RFC 5863 (vývoj, nasazení a provoz DKIM). Ovšem jsou to hodně upovídané dokumenty, kde pro samou omáčku je problém dostat se k jádru věci. Pokud to s DKIM myslíte vážně, asi byste si RFC 5863 měli přečíst, ale připravte se na ne zrovna strhující dílko.

ADSP – podpisová politika domény

Podle mého soudu nejzajímavějším výstupem skupiny je specifikace podpisové politiky domény, vydaná v RFC 5617: DomainKeys Identified Mail (DKIM) Author Domain Signing Practices (ADSP), která přináší vztah mezi podpisem a doménou odesilatele.

Jednou z vlastností DKIM je, že podpis v hlavičce DKIM-Signature obsahuje všechny informace nutné ke svému ověření, včetně doménového jména pro získání veřejného klíče. To nemusí mít žádný vztah k odesilateli, což na jedné straně umožňuje, aby dopis podepsal kdokoli (a třeba každý) po cestě, ale na druhé straně vyvolává otazníky nad vypovídací hodnotou takového podpisu.

ADSP zavádí pojmy „autorova doména“ a „podpis z autorovy domény“. Autorovou doménou je doména z elektronické adresy uvedené v hlavičce From zkoumaného dopisu. Pokud dopis nese platný DKIM podpis, jehož doména (obsah položky d=) se shoduje s autorovou doménou, pak dopis má platný podpis z autorovy domény.

Jistě se shodneme, že pokud dopis odeslaný z tul.cz nese DKIM podpis s doménou lupa.cz, příliš nám to o jeho odesilateli neřekne. Víme jen, že prošel poštovním serverem Lupy. Ovšem pokud obsahuje (také) podpis z domény tul.cz, lze předpokládat, že odesilatel s ní má skutečně něco společného a důvěryhodnost dopisu vzroste.

A teď pozor! ADSP přichází ke slovu, pokud dopis nemá platný DKIM podpis z odesilatelovy domény. V takovém případě se zkoumající software obrátí na DNS a podívá se, jestli pro odesilatelovu doménu existuje ADSP záznam. Jeho jméno vznikne připojením pevně daného prefixu _adsp._domainkey před odesilatelovu doménu. Takže například pro doménu tul.cz by podpisová politika byla uložena pod jménem _adsp._domain­key.tul.cz.

Jedná se o záznam typu TXT, jehož hodnotou je řetězec dkim= politika. RFC 5617 zavádí tři možné hodnoty pro politiku:

  • unknown  – Podpisová politika není známa, dopisy mohou a nemusí být podepsány. Dopis je třeba posoudit podle jiných kritérií, samotná absence DKIM podpisu o něm nic neříká.
  • all  – Všechny dopisy z této domény nesou její DKIM podpis. Pokud jej dopis postrádá, je podezřelý a měl by v hodnocení dostat černý puntík. Ovšem samotná absence podpisu by neměla stačit na jeho zahození.
  • discardable  – Všechny dopisy z této domény nesou její DKIM podpis a pokud jej dopis nemá, může být zahozen.

Jakákoli jiná hodnota je interpretována jako unknown a stejně se systém bude chovat i v případě, že ADSP záznam neexistuje.

Pokud bychom si byli jisti, že všichni uživatelé z domény tul.cz posílají svou poštu přes její centrální servery a ty ji podepisují, mohli bychom do domény tul.cz vložit záznam

_adsp._domainkey   TXT   "dkim=discardable"

a povolit tak nemilosrdnou likvidaci dopisů, které podpis postrádají.

DKIM v kombinaci s ADSP přitvrdil. Původně byl koncipován jako pozitivní technologie, která bude především používána ve spojení s whitelisty k propuštění korespondence z důvěryhodných zdrojů. Jeho specifikace výslovně požaduje, aby dopis s neplatným podpisem byl dále zpracováván stejně jako dopis bez něj – tedy žádné trestání. ADSP koncept trestu na základě chybějícího či nekorektního DKIM podpisu zavádí.

Velký problém pro restriktivní podpisovou politiku představují domácí uživatelé. Pokud i z domova pracují s firemní korespondencí, snadno se může stát, že budou posílat dopisy s firemní adresou odesilatele přes poštovní server svého poskytovatele Internetu. Ten samozřejmě nepřipojí platný DKIM podpis z firemní domény a při politice all či discardable může dopis nepěkně skončit.

Pokud byste uvažovali o přísnější politice, je třeba zajistit, aby všechny dopisy vašich uživatelů procházely servery, které jim dodají potřebný podpis. Například požadovat striktně po domácích uživatelích, aby používali firemní webmail, který je umístěn v interní síti a dopisy z něj odcházející projdou standardním firemním řetězcem.

UX16

ADSP je koncept poměrně mladý, jeho specifikace vyšla v srpnu loňského roku. Vyskytuje se proto zcela ojediněle. Průzkum z loňského října našel ADSP záznamy jen pro 150 domén z půl miliónu, což jsou pouhé tři tisíciny procenta. Navíc skoro všechny záznamy obsahovaly politiku unknown, čili jako by nebyly. Pouhé 22 domény si troufly tvrdit, že podepisují všechny své dopisy. Statečných, kteří dovolili nepodepsané mazat, se nenašlo ani těch sedm, ale jen pět.

Zatím tedy ADSP jako kdyby nebylo. Dočká se v dohledné době většího rozšíření?

Anketa

Budou spameři ve velkém podepisovat spam?

5 názorů Vstoupit do diskuse
poslední názor přidán 26. 6. 2010 10:32
Zasílat nově přidané názory e-mailem

Školení App Store optimalizace

  •  
    Jak dostat svou mobilní aplikaci mezi lidi
  • Jak na akvizici uživatelů mobilních aplikací na českém i světovém trhu
  • Jak správně spustit, propagovat, měřit a vyhodnotit svoji aplikaci v Google Play i v Apple App Store

Detailní informace o školení App Store optimalizace »