title_parttitle_parttitle_part
静岡県浜松市であれこれソフトを開発している A.K.I Software のブログです。日々の開発日記やサーバー・セキュリティ関連の話題なども掲載。
<< 2024/03 >>12345678910111213141516171819202122232425262728293031
《《《 ネットワーク機器の購入は Amazon で! 》》》
Powered by BLOM やっぱり DKIM って微妙。
小さくも大きくも閉じたりもしません
09/05/29 01:50 / PMailServer2

photo


上のは試作段階で作っていた物です。全部独自実装なので単独でチェックできます。RSA等は、Windows の Crypt API を利用していますので OpenSSL 等もインストールする必要はありません。
WindowsNT 4.0 では利用出来ませんが、Windows 2000 以降であれば、どのプラットフォームでも動作します。

さて、一応は完成したのですが・・・
かなり思う所があって、本体にはまだ組み込んでおりません。

色々な記事では美味しいことが書かれていますが、どうにもDKIMの仕様に疑問符が浮かびまくりの私は実装した上でDKIMの問題点を挙げてみたいと思います。(勘違いがあるかもしれませんが)

1)メールを加工する系統の機能にはかなり不便。
メーリングリストには弱いという指摘はそこら中にありますが、それ以外にも PMail Server の場合はフッタを付けたりする機能がありますので、その度に再署名をする必要があります。特に Domain-Signature: の h で指定される部分に関しては制限掛けられるかもしれませんが、本文を加工する系統は全てアウトです。

2)大きな添付ファイルの処理コストが高い。
DKIM はヘッダ以外に本文なども含めるのですが、M単位のオーダーで添付ファイルがある場合、どうしても処理コストが高くなります。(今までの最高で 200M の添付ファイルをつけたメールを受けたことがあります。極端ですが)
分割したらしたで、1通辺りのコストは下がりますがトータルでのコストは変わらない(又は増える)ので、この辺りをどうするかです。(l タグで長さを指定できますが、そもそも l で長さを指定したら、それ以降を偽装されるのはわかりきっているので、根本的な仕様として微妙です。)

3)前回も書きましたが、SSP が曖昧。
SSP なんて作らず、SPF も RFC にして DKIM と SPF を共存するようにすれば良かったと思いますが、規格決めの政治的な問題があったのでしょう。(HD DVDとBlu-rayみたいなもんですね)

4)これは運用上の問題ですが、DKIM での正規化は simple / relaxed の2種類です。DomainKeys は simple / nofws の2種類です。そしてなぜか正式にRFCになっているDKIM では無く、DomainKeys で運用されている所が多いです。

5)処理コストに対する効果がやはり微妙。
まず、単純な spam には効果がほぼありません。spam を送信するサーバーで正しく署名すれば良いだけの話なので。
フィッシングには効果があるかもしれませんが、SSP が曖昧な時点で微妙。そもそも署名無しでフィッシングを送れば良いだけの話に。

フィッシングに対して技術的なアプローチを行ったのが DKIM と考えられるのですが、一般ユーザーは電子署名が正しいから安心とかそういうので判断するのでは無く、文面やイメージ(画像的な)で騙されてしまうことがあるので、的はずれな気がしないでもないです。
DKIM + SSP が完璧ならばサーバーで弾くことができますが、現実的な問題として完全に弾くのは現時点では不可能ですのでクライアント側でも判断が出来るような仕組みも必要なはずです。特に一般ユーザーの利用率の高い Outlook 系や Windows Mail 系などはさっさと対応するべきです。
(手前味噌ですが、PMail Server の Webmail は SPF 結果を表示するようにしていますしね)

今の所、DKIMの運用は完全では無く、様々な問題があることは明白ですので、もっと改良されて実用に耐えられるレベルの仕様になったらノリノリで対応するのですが・・・なんか納得がいかないです(^-^;

[更新日付:2009/05/29 01:50:48]
トラックバックを見る(0)
Log Link [https://akisoftware.com/cgi-bin/blom.exe?akisoft+sl+d3c1bc81aa48b7c12e169a7d41a045959cc2fc22]
TB Link [https://akisoftware.com/cgi-bin/blom.exe?akisoft+tb+d3c1bc81aa48b7c12e169a7d41a045959cc2fc22]

記事へのコメント

コメントはありません

名前
コメントキー
 
コメントする時はキーを正確に入力して下さい
コメント
アドレスを含んだコメントはできません
© 2008-10 A.K.I Software all rights reserved.