<< 2024/05 >> | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 |
|
DKIM実装について
19/05/30 15:23 / PMailServer2
2.40a リリース時に少し触れましたが、DKIM の実装を行っています。
ぶっちゃけていうと、何年も前から実装は行っているのですが、どうしても気が乗らず8割位でずっと放置したままでしたが、一応動く所までは実装が終わりました。 と言ってもまだサーバー本体に組み込みまではできていませんが・・・ 割と近いバージョンで使えるようにはするのですが、本機能については以下のようになります。 1)正規化は simple のみ Ralaxed はとりあえず実装しません。(Relaxed って意味あるの?) 2)当面の間、送信側のみです。受信した際の検証(ベリファイ)はしません。 3)証明書等は OpenSSL で作成して下さい。 (マニュアルは作ります。秘密鍵・公開鍵だけなので OpenSSL インストール含め5分で作成できます。) 4)当面の間、製品版にも実装されますがベータ機能扱いになります。 なんとも何年も放置した上で中途半端な実装になりますが、未だになんの価値があるかがわかりません・・・ 確かに、改竄防止になるのはわかるのですが、それだけなんですよ。 最近のフィッシングメールや迷惑メールは、ヒューマンエラーを狙った物が多いので(うっかり URL をクリックした。飛んだ先が偽装サイトだった等)「spam サーバーが DKIM できちんと署名していたら通る」んですよね。 改竄防止自体は良いのですが、それを迷惑メールの判定に使っているというのがよくわかりません。 例えば、最近来た spam メールなのですが、ヘッダーに DKIM-Signature: v=1; a=rsa-sha256; q=DNS/txt; c=relaxed/relaxed; d=bairdbyronhg0.mbsrv.net; s=default; h=Content-Type:MIME-Version:Date: (省略) Sender:account-update@amazon.co.jp From: Amazon.co.jp なんてあるのですが、DKIM は PASS します。 で、これを nslookup で確認しますと (DKIM-Signature の s= (セレクタ)と _domainkey と d を繋げて default._domainkey.bairdbyronhg0.mbsrv.net を TXT で参照) v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w (省略) 出てきます。 ちゃんと DKIM の公開鍵を設定しているからです。 送信側も秘密鍵で署名している為、当然 DKIM は「改竄されていないから PASS です。」 中身はフィッシングサイトへの誘導ですけどね。(笑) なんとも中途半端な仕様なんですよ、DKIM というのは。 例えば「to: from: Subject: Sender: Return-path: は必須項目で必ずヘッダーに含める必要があり、且つ、sender: と接続時の FQDN の比較を行った上で判定を行う」などが必須項目である位まで定義されていれば価値がわからんでも無いのですが、これだと大規模サーバーの場合問題が多いんですよね。特に FQDN との比較が。 でもまぁ、世の中の流れが DKIM も迷惑メールの判定に使うよ。ということらしいので、ひとまず送信側の署名だけ実装しておこうと思った訳です。 しかし、サーバー側のコストがかかる割にはメリットが少ない機能ですね。(正規化や署名も CPU パワーやメモリを使うんですよ。不思議とそこを意識しない人が多いのですが) [更新日付:2019/05/30 15:23:51]
トラックバックを見る(0) Log Link [https://akisoftware.com/cgi-bin/blom.exe?akisoft+sl+a9c07d2bcdf4229c477ef789f8e2ee3c1ec004d3] TB Link [https://akisoftware.com/cgi-bin/blom.exe?akisoft+tb+a9c07d2bcdf4229c477ef789f8e2ee3c1ec004d3] 記事へのコメント 名前 : H.Matsuda (2019/07/18 00:00:23) 証明書の作成などがありますので(PMailServer2 側で生成なども実装する気は余りありません) SPF と比較すると若干敷居が高いかもですが、OpenSSL をインストールしたことがあるレベルであれば、わかるように解説は書く予定です。 DKIMのベリファイを実装している(PMailServer2以外の大多数の)サーバー宛に送れば、ヘッダーに検証結果を追記するはずですので、リリース後に、PASS されないようなことがあったらお知らせ頂けると助かります。 名前 : noppo (2019/07/17 21:39:57) 実装お疲れ様です。 比較的落ち着いてきたのでベータテストは 参加させて頂きます(^^;) 名前 : H.Matsuda (2019/07/11 17:22:01) 乗り気で無い機能に有償バージョンアップなど一切考えておりません(笑) もう少ししたら本業の忙しさが少し落ち着く予定なので、一気に仕上げたいと考えております。(それでも8月に入ってからになりますが・・・) |
@AKISoftOfficialをフォロー
掲示板 サポートBBS PMailServer BBS アクセスの多い記事
最新記事(カテゴリ別)
PMailServer2 Version 2.53 をリリースしました。
04/08 00:50 フリー版からの製品版移行時の MTA 並列数について 02/17 23:52 メールサーバーの開発を始めて20年 02/07 21:46 PMailServer2 Version 2.52a をリリースしました。 12/26 14:02 PMailServer2 Version 2.52 をリリースしました。 10/01 10:48 PMailServer2 Version 2.51b をリリースしました。 09/19 01:43 PMailServer2 Version 2.51b(仮) Memo 09/12 00:33 PMailServer2 Version 2.51a をリリース、及び脆弱性についてのお知らせ 09/05 01:15 PMailServer2 Version 2.51a Memo 08/21 00:48 アドレスV125(K5)のスターターリレーの交換 08/04 10:10 最新コメント
DKIM実装について
H.Matsuda [07/18 00:00]
noppo [07/17 21:39] H.Matsuda [07/11 17:22] K.Tabata [07/10 16:56] UUアクセス数
今日は 239回
昨日は 267回 トータル 307348回 3ヶ月記事別ランキング
プロフィール
Z80から68系、8086系を経由して
Pascalに移行。現在は Delphiをメインに C/C#も囓ってみたり。 「無い物は作れ」の精神で年がら年中なにかを作っています。 すぐ自前で作りたがるので無駄に工数が上がったりして自爆してみたりもします。 好きな物は麺類とお煎餅 Blom内検索
BLOM Version 1.39 ©2007-15 A.K.I Software all rights reserved. |