Mozete v sucasnosti verit vobec nejakemu SMTP serveru, ze vam poskytuje platne "mail from"? Nie.
SPF je tu na to, aby vam toto umoznil. SPF zaznam v nejakej domene specifikuje, ktorym SMTP serverom ohladom danej domeny verit mozete. Zvysok autentizacia je uz samozrejme na spravcovi dotycneho SMTP servera alebo serverov, co je u providerov zalezitostou nastavenia SMTP servera - ak sa prihlasite, potvrdi vasu adresu, inac nie.
Ak budete niekde na druhom konci sveta, tak ci tak sa musite prihlasit na server vasho ISP cez POP3/IMAP za ucelom citania posty, tak preco by vam malo vadit prihlasenie sa na SMTP server vasho ISP za ucelom posielania posty?
Ne, verit skutecne nemuzete. Neni take duvod verit - nikdo nerika, ze to FROM platne je, nebo ze to kdokoliv zarucuje. Na zaruceni autenticity odesilatele nejakeho dopisu al euz mechanismy existuji - ano, mluvim o elektronickem podpisu. Nevidim celkem duvod, proc zavadet dalsi mechanismus resici prakticky tentyz problem, kdyz uz jeden existuje. A jestli nevyhovuje - mela by nejprve, pravdepodobne, nastat diskuse proc vlastne nevyhoduje a jake jine vlastnosit pozadujeme - aby zase nevzniklo neco, co se takrka zase nebude pouzivat ...
Elektronicky podpis je z tohoto hladiska kanon na vrabce. Nie je ho mozne uplatnit na SMTP leveli. A vyzaduje o dost viac CPU casu na oboch stranach.
Ano, existuju pokusy o zavedenie el. podpisu na SMTP urovni, avsak SPF a podobne techniky poskytuju jednoduchsie riesenie, ktore ma sice nejake nevyhody ale je zarovnen jednoduche: miesto podpisovania mailu odosielatelom a jeho posielania zhocikade je maily poslany iba z niekolkych miest, ktore su v DNS uvedene ako doveryhodne a interna autentizacia/autorizacia je ponechana na tieto miesta.
Pokial hovorime o SPF, existuje uz pokial viem niekolko jeho implementacii, takze si myslim ze ma ovela vacsiu sancu sa naozaj uplatnit ako komplikovane riesenia typu SenderID
Ano, SPF je evolucia, kym podpisovanie mailov je revolucia. Otazka je, ci je Internet na tuto revoluciu pripraveny, a ja si myslim ze odpoved znie NIE.
Presne tohle jsme uz resili u DomainKeys... Ano, osobni elektronicky podpis je kanon na vrabce. DomainKeys i SPF se proste jednou zavedou (u SPF dokonce staci jen pridat radek do DNS), kdezto u klicu je problem s vhodnym klientskym SW a musi se o to porad nekdo starat (prichazeji/odchazeji zamestnanci), zatimco SPF se meni jen kdyz provadim nejake vyznamnejsi zmeny v siti.
To uz tu jednou bylo a jedeme dokola, takze jen velice strucne. Elektronicky podpis musite take jednou zavest. A klice muzete vydavat na sto let, budete-li chtit. Nevim, kolik klientskych softwaru tuto technilogii nepodporuje - z tech, co vitam ve svem okoli kazdy - takze i tento argument je, zrejme, umely. Nastaveni v souvislosti s prichody a odchody zamestnancu musite delat tak jako tak - preci jim nenechavate pristup na firemni servery a do firemnich schranek. Pridat do CRL jedno seriove cislo neni slozitejsi ukon nez pridat jeden zaznam do DNS. Takze i tohle je prast jako uhod.
Snaha zavest podobny system na trochu jine cile a motivace nez zajistit autenticitu uzivatelu - ve skutecnosti jde o to donutit uzivatele aby museli odesilat postu pres centralne kontrovatelny bod. Tohle skutecne elektronicky podpis neresi - ten dava drziteli certifikatu moznost zabranit mi uzivat jim vydany podpis - ale nedava mu jakoukoliv kontrolu nad obsahem dopisu. A to je prostor pro SPF ...
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
